Des hackers attaquent les fournisseurs d'eau potable britanniques

Depuis le début de l'année dernière, les fournisseurs d'eau potable britanniques ont été ciblés par des hackers lors de cinq cyberattaques enregistrées. Ces incidents ont été signalés à l'Inspecteur de l'eau potable (DWI) et partiellement révélés à Recorded Future News via des demandes d'accès à l'information. Bien qu'aucune de ces attaques n'ait compromis l'approvisionnement réel en eau potable sûre, elles ont affecté les organisations gérant les systèmes d'eau. Cette augmentation de l'activité cybernétique, la plus élevée sur une période de deux ans, souligne les avertissements des services de renseignement britanniques concernant la menace croissante posée par des acteurs cybernétiques malveillants à l'infrastructure critique nationale.\n\nEntre janvier 2024 et octobre 2025, le DWI a reçu 15 rapports de fournisseurs d'eau dans le cadre du Règlement sur les réseaux et systèmes d'information (NIS), partie du cadre juridique supervisant la sécurité de l'eau au Royaume-Uni. Cinq de ces rapports concernaient des incidents de cybersécurité liés à des systèmes hors du strict périmètre NIS, tandis que les autres cas étaient des problèmes opérationnels non liés à des cyberattaques. En raison des règles NIS actuelles, seuls les incidents cybernétiques causant une perturbation directe des services essentiels doivent être signalés. Cela signifie que si des fournisseurs étaient piratés de manière similaire à la campagne de pré-positionnement Volt Typhoon, ils ne seraient pas légalement tenus de le divulguer. Le DWI a précisé que les cinq rapports de cybersécurité ont été partagés volontairement car ils présentaient des risques potentiels pour la résilience de l'approvisionnement en eau.\n\nLes responsables britanniques prévoient de modifier ces exigences de déclaration via le prochain projet de loi sur la cybersécurité et la résilience, qui vise à renforcer les défenses cybernétiques et à améliorer la transparence. Un porte-parole du gouvernement a souligné que ce projet de loi, qui sera présenté au Parlement plus tard cette année, est conçu pour protéger les services publics vitaux contre des menaces cybernétiques de plus en plus sophistiquées et incessantes.\n\nLes experts en cybersécurité considèrent la déclaration volontaire comme un signe positif. Don Smith, vice-président de la recherche sur les menaces chez Sophos, a souligné que les fournisseurs d'infrastructures critiques font face à des attaques quotidiennes de groupes criminels, donc les incidents sont inévitables malgré les efforts de conformité. Partager des rapports au-delà des exigences réglementaires aide tous les opérateurs à mieux comprendre à la fois les menaces cybernétiques courantes et avancées, favorisant une culture d'échange d'informations qui élargit la sensibilisation globale.\n\nBien que des attaques par ransomware contre les systèmes informatiques des compagnies des eaux aient eu lieu, comme chez South Staffs Water au Royaume-Uni et Aigües de Mataró en Espagne, les perturbations de l'approvisionnement réel en eau restent rares. Une exception notable s'est produite en décembre 2023 lorsqu'un groupe de hackers pro-iranien a provoqué plusieurs jours sans eau dans une zone reculée d'Irlande en ciblant des équipements de technologie opérationnelle (OT). Le gouvernement américain avait émis des avertissements concernant des vulnérabilités dans les automates programmables Unitronics (PLC), largement utilisés dans l'infrastructure du secteur de l'eau, qui sont une préoccupation majeure pour les défenseurs des infrastructures critiques.\n\nLes efforts pour renforcer la sécurité des systèmes d'eau aux États-Unis ont rencontré des revers, notamment lorsque des groupes de l'industrie de l'eau ont collaboré avec des législateurs républicains pour bloquer des initiatives fédérales malgré la montée des attaques par ransomware et parrainées par des États. Par ailleurs, les autorités canadiennes ont récemment signalé des hacktivistes manipulant la pression de l'eau dans une entreprise locale au milieu d'une série d'intrusions dans des systèmes de contrôle industriel.\n\nAu Royaume-Uni, le Centre national de cybersécurité conseille aux fournisseurs d'eau de maintenir une segmentation appropriée entre leurs systèmes informatiques (IT) et opérationnels (OT) pour limiter l'impact des intrusions cybernétiques. L'agence a également publié en août un cadre d'évaluation cybernétique pour aider les organisations à renforcer leur résilience. Smith recommande de prioriser les défenses contre les menaces cybernétiques courantes et banales plutôt que de se concentrer excessivement sur des attaques rares et exotiques. Il avertit que le risque majeur pourrait venir d'un ransomware paralysant une infrastructure critique simplement parce que les bases n'ont pas été correctement sécurisées, plutôt que d'adversaires hautement sophistiqués. Les faits clés incluent cinq cyberattaques contre les fournisseurs d'eau britanniques signalées entre 2024 et 2025, aucune ne perturbant l'approvisionnement réel en eau mais affectant les systèmes organisationnels ; les cadres juridiques actuels n'exigent la déclaration que des incidents causant une interruption de service ; et une législation à venir vise à élargir la déclaration et à renforcer les défenses cybernétiques. Les parties prenantes directement impliquées sont les fournisseurs d'eau, l'Inspecteur de l'eau potable et les agences gouvernementales britanniques comme le Centre national de cybersécurité. Les groupes périphériques potentiellement impactés incluent le grand public dépendant d'un approvisionnement en eau ininterrompu et les partenaires internationaux surveillant la sécurité des infrastructures critiques. Les impacts immédiats observés impliquent une vulnérabilité organisationnelle accrue et une tendance vers une transparence volontaire, tandis que les parallèles historiques incluent des incidents passés de ransomware au Royaume-Uni et en Irlande causant des perturbations limitées. Les projections f