Lors d’une table-ronde organisée par Veolia et l’Association des maires de Vaucluse (AMV) à l’Isle-sur-la-Sorgue, le sujet ô combien brûlant de la cybersécurité a été mis sur la table, sous le thème « Cybersécurité et eau : collectivités, services publics, entreprises… Tous concernés ». Les collectivités locales, souvent mal préparées, se retrouvent en première ligne face à une menace de plus en plus pressante. Justement, cette rencontre a permis de rappeler les enjeux critiques liés à la protection des infrastructures publiques et de donner quelques pistes pour se prémunir contre des attaques qui frappent de plus en plus fort. Décryptage !
Cybersécurité : toutes les organisations sont sur la sellette
« Peu importe la taille ou le secteur, toutes les organisations sont désormais des cibles potentielles de cyberattaques », a averti Olivier Campos, directeur de Veolia Eau Provence-Alpes, lors de la 4e matinale climat organisée dans la Région Sud. Dans des secteurs critiques comme l’eau, l’urgence est claire : il faut prendre conscience des risques et agir pour renforcer la sécurité. Ces rendez-vous sont pensés pour les acteurs en première ligne, permettant aux experts, élus, et collectivités d’échanger sur leurs expériences et sur les meilleures pratiques pour faire face à ces menaces.
Les cyberattaques, c’est un peu comme les prédateurs, en cela qu’elles ciblent les plus vulnérables. Célia Nowak, déléguée régionale Paca de l’ANSSI, a bien mis en lumière cette réalité lors de son intervention. Avec 1 Français sur 2 déjà victime d’une compromission de données, selon la CNIL, il est temps d’agir. La multiplication des campagnes de phishing, la compromission de noms de domaines, tout cela montre que la menace est massive, diffuse et frappe là où la protection est insuffisante. « On n’est jamais assez préparé », a souligné Jérôme Poggi, responsable de la sécurité des systèmes d’information à la ville de Marseille. Une vérité qui résonne encore plus fort alors que les collectivités et entreprises doivent désormais redoubler d’efforts pour ne pas se retrouver les prochaines victimes de cette « pêche au chalut » numérique.
Il faut savoir que les collectivités sont en première ligne face aux cyberattaques, et cet article d’une agence spécialisée rappelle à quel point il est urgent d’agir, d’autant plus que plus d’1 sur 10 a déjà été touchée, selon une étude du Clusif de 2023. Le message est clair, il faut se protéger avant qu’il ne soit trop tard. Entre le RGPD et la directive NIS, les règles évoluent pour renforcer la sécurité des infrastructures publiques, mais encore faut-il passer à l’action. Sans mesures préventives solides, c’est comme jouer à la roulette russe avec les données des citoyens.
Le spectre des cyberattaques plane en permanence
Aujourd’hui, le risque de cyberattaque pèse sur les collectivités comme une véritable épée de Damoclès numérique. C’est ce que souligne le commandant Nidhal Ben Aloui, conseiller cyber pour la région de gendarmerie Paca. Et le ransomware est sans doute l’arme la plus redoutée, car elle frappe là où ça fait mal : les finances ! Rien qu’en 2022, la France a versé 888 millions d’euros en rançons, une somme astronomique qui montre à quel point ces attaques sont devenues rentables pour les pirates. Face à ce danger permanent, le commandant insiste sur l’importance de réagir vite et de prévenir les autorités. Plus tôt on agit, plus on a de chances de limiter les dégâts, voire d’identifier les attaquants.
Mais même avec une réactivité exemplaire, on ne sort jamais indemne d’une cyberattaque. Jérôme Poggi, responsable de la sécurité des systèmes d’information à la ville de Marseille, en sait quelque chose. Le 14 mars 2020, à 7h31, ses services ont été frappés par une attaque. Il lui a fallu plusieurs mois pour remettre le système en état de marche. Entre gestion des cimetières, état civil, ou impact sur le moral des équipes, les conséquences se font sentir bien au-delà du simple réseau informatique. « On n’est jamais assez préparé », prévient-il, conscient que ces crises touchent tous les aspects de la collectivité.
C’est là que la notion de mode dégradé prend tout son sens. Franck Galland, expert en sécurité des infrastructures, le rappelle : il faut anticiper, car une crise de cette ampleur s’étire sur le long terme. Pouvoir continuer à fonctionner, même partiellement, est indispensable pour limiter l’impact sur les services essentiels. Cette logique d’anticipation a d’ailleurs été mise à l’épreuve dans un exercice de crise en Île-de-France, à l’approche des JO de Paris, où une cyberattaque simulée a visé une station d’épuration Veolia. Prévenir, se préparer et protéger les accès sensibles, voilà le triptyque sur lequel toutes les collectivités doivent se reposer pour éviter de tomber sous cette épée de Damoclès 2.0.
Le défi de la sécurisation de l’approvisionnement en eau à l’ère numérique
Dans un monde où la connectivité est devenue la norme, sécuriser l’approvisionnement en eau est une priorité absolue, et chez Veolia, cette mission prend la forme d’une prévention rigoureuse des cybermenaces, en partenariat étroit avec les collectivités locales. Meriem Riadi, directrice des systèmes d’information chez Veolia Eau France, le rappelle : tout commence par la sensibilisation des acteurs humains, ceux qui sont aux manettes. La sécurité, ce n’est pas seulement une question de technologie, c’est avant tout une question de comportement et de vigilance. Ensuite, il s’agit d’appliquer des mesures techniques solides, en limitant notamment les accès à distance, car chaque ouverture numérique peut potentiellement devenir une porte d’entrée pour des attaquants.
Olivier Campos, directeur de Veolia Eau Provence-Alpes, enfonce le clou : les systèmes de gestion des infrastructures d’eau sont de plus en plus connectés, et cette connectivité expose les réseaux à des attaques cybernétiques. Un simple coup de souris malveillant pourrait, dans le pire des cas, perturber l’approvisionnement en eau ou l’assainissement, avec des répercussions dramatiques sur la santé publique et l’environnement. D’où l’urgence d’avoir une stratégie qui couvre la prévention, la détection des incidents, mais aussi la réaction, en étant capable de restaurer rapidement les systèmes grâce à des sauvegardes et des exercices de crise réguliers.
L’enjeu est tel qu’il ne viendrait à personne l’idée d’ouvrir un établissement sans le mettre aux normes de sécurité physique, comme l’a fait remarquer Léo Gonzales, PDG de Devensys cybersécurité. Alors pourquoi tolérer de telles lacunes en matière de cybersécurité? Les élus et dirigeants doivent prendre leurs responsabilités et investir dans des solutions de prévention. Comme dans d’autres domaines – juridique, sûreté incendie, ou même l’entretien des véhicules – il faut prévoir le pire pour éviter que les coûts explosent après coup. Les collectivités ne sont pas seules dans ce combat. Célia Nowak de l’ANSSI et le commandant Nidhal Ben Aloui de la gendarmerie rappellent que des diagnostics gratuits sont disponibles pour les collectivités, afin d’évaluer leur niveau de protection. L’ANSSI et la gendarmerie offrent des outils concrets, des guides, et même des contacts pour réagir en cas d’urgence. Et ils insistent tous sur une même idée : la question n’est pas de savoir si vous serez attaqué, mais quand cela arrivera. Mieux vaut donc être prêt.