Épisode 2 — Quand une cyberattaque pollue (vraiment)

La cybersécurité n’est plus seulement un sujet de données, de messagerie ou de serveurs. Dans certains contextes, elle peut aussi devenir un enjeu environnemental. Dès lors que des systèmes numériques pilotent des traitements d’eau, des rejets, des mesures d’émissions ou des équipements industriels, une compromission peut perturber des opérations physiques bien réelles.

La cyber peut avoir des conséquences environnementales très concrètes

On résume encore trop souvent la cybersécurité à la protection des données. Pourtant, dans un environnement industriel, une attaque peut aller bien plus loin : perturber une supervision, empêcher une remontée d’alerte, dégrader la visibilité sur un traitement ou fragiliser la fiabilité des données de conformité.

Ce sujet n’a rien de théorique. Dans son document Secteur de l’eau – État de la menace informatique, l’ANSSI explique que le secteur de l’eau est particulièrement exposé en raison de plusieurs facteurs : l’héritage d’installations anciennes, la dispersion géographique des sites, des budgets parfois faibles, et l’usage généralisé de la télégestion, qui a accru la surface d’attaque des systèmes.

Le secteur de l’eau montre pourquoi le risque est réel

L’ANSSI indique qu’entre janvier 2021 et août 2024, 46 entités du secteur de la gestion de l’eau ont été touchées par un événement de sécurité d’origine informatique traité par l’agence. Parmi les 28 compromissions signalées, 8 ont mené au déploiement d’un rançongiciel. Cela ne signifie pas que chaque incident a entraîné un impact environnemental direct, mais cela confirme que des acteurs français du secteur sont bel et bien visés.

L’ANSSI mentionne également le cas des stations d’assainissement d’Oloron-Sainte-Marie, touchées en 2021 par un rançongiciel après exploitation d’une faille dans un logiciel de supervision. L’agence précise que les attaquants n’ont pas pris le contrôle des stations, mais ce cas rappelle une réalité importante : dès lors que des systèmes de supervision ou de télégestion sont exposés, ils peuvent devenir une porte d’entrée vers des environnements critiques.

Le précédent Oldsmar : quand le numérique touche au physique

Le cas le plus connu reste celui d’Oldsmar, en Floride. En 2021, des acteurs non autorisés ont accédé au système SCADA d’une usine de traitement d’eau et ont modifié le niveau de soude caustique injectée dans l’eau. L’incident a été documenté par la CISA, l’agence américaine de cybersécurité. Même s’il ne s’agit pas d’un cas français, il montre très clairement qu’une cyberattaque peut modifier un paramètre de traitement et produire un effet physique immédiat.

Le Government Accountability Office (GAO) américain rappelle d’ailleurs qu’une cyberattaque sur des systèmes d’eau ou d’assainissement peut conduire à des niveaux dangereux de bactéries ou de produits chimiques dans l’eau. Ce type d’avertissement est important, car il élargit le sujet : on ne parle plus seulement d’IT, mais bien de sécurité opérationnelle, de continuité de service et de protection de l’environnement.

Le vrai angle mort : la fiabilité des données environnementales

Un autre point souvent sous-estimé concerne les données de conformité. De plus en plus d’entreprises s’appuient sur des capteurs, des logiciels de supervision, des exports automatiques et des tableaux de bord pour suivre leurs rejets, leurs consommations ou leurs émissions.

Le danger n’est donc pas seulement un arrêt de production ou une panne visible. Le danger peut aussi être une fausse impression de conformité : données inexactes, mesures non remontées, alertes non vues, ou tableaux de bord trompeurs.

C’est exactement pourquoi l’ANSSI insiste sur la sécurité des systèmes industriels, la classification des environnements, la maîtrise des flux entre IT et OT, ainsi que le maintien en condition de sécurité.

Ce que cela change pour une entreprise industrielle

Vu sous l’angle QSE, la lecture du risque change complètement. On ne protège plus seulement un système d’information : on protège aussi la capacité de l’entreprise à mesurer, prouver, piloter et corriger.

Autrement dit, la cybersécurité devient aussi un sujet de maîtrise environnementale. Une entreprise peut être sérieuse sur le fond, engagée dans une démarche responsable, disposer de procédures et d’indicateurs… et pourtant être fragilisée si ses systèmes de supervision, de télégestion ou de mesure ne sont pas suffisamment sécurisés.

3 actions concrètes pour les TPE-PME industrielles

1 - Isoler les systèmes qui pilotent l’environnement

Les systèmes qui supervisent l’eau, l’air, les rejets, les effluents ou d’autres paramètres critiques ne devraient pas être exposés comme un poste bureautique classique. L’ANSSI recommande une architecture maîtrisée, une séparation des flux et une attention particulière aux interfaces entre IT et OT.

2 - Sécuriser les accès à distance et maintenir les systèmes

Dans son analyse du secteur de l’eau, l’ANSSI souligne explicitement le rôle de la télégestion et des logiciels de contrôle à distance dans l’exposition du secteur. L’enjeu n’est pas d’interdire toute maintenance distante, mais de la sécuriser : authentification forte, comptes maîtrisés, journalisation, limitation des accès et correction des vulnérabilités.

3 - Former les opérateurs, pas seulement l’IT

Les automaticiens, mainteneurs, opérateurs et responsables de site sont souvent les premiers à détecter une anomalie de supervision ou un comportement incohérent d’un système. L’ANSSI a d’ailleurs publié un guide dédié à la formation sur la cybersécurité des systèmes industriels, preuve que le sujet dépasse largement le seul service informatique.

Conclusion

Une cyberattaque peut aujourd’hui produire bien plus qu’un incident informatique. Dans certains secteurs, elle peut perturber des opérations physiques, brouiller des données de conformité et fragiliser la maîtrise environnementale d’un site.

Le sujet n’est donc plus seulement : « protégeons nos données ». Le sujet devient : sommes-nous capables de garantir la fiabilité de nos opérations, de nos mesures et de notre conformité, même en cas d’incident cyber ?

➡ Chez ALLFOCUS, j’accompagne les entreprises qui veulent relier qualité, gestion des risques, conformité et cybersécurité de manière pragmatique, sans ajouter de complexité inutile.

À suivre — Épisode 3 : pourquoi l’ISO 27001 parle déjà à votre système QSE.

Pour aller plus loin

Nous avons besoin de votre consentement pour charger les traductions

Nous utilisons un service tiers pour traduire le contenu du site web qui peut collecter des données sur votre activité. Veuillez consulter les détails dans la politique de confidentialité et accepter le service pour voir les traductions.