L’EPA se retire de son plan visant à exiger aux États d’évaluer la cybersécurité et l’intégrité des programmes de systèmes d’eau publics. Si l’agence affirme qu’elle continue de croire que des mesures de protection en matière de cybersécurité sont essentielles pour l’industrie de l’eau potable, la décision a été prise après que des États dirigés par le parti républicain aient intenté une action en justice contre elle pour avoir proposé la règle.
Dans une note accompagnant les nouvelles règles en mars, l’EPA a déclaré que les attaques de cybersécurité contre les systèmes d’eau et d’eaux usées « ont le potentiel de désactiver ou de contaminer la distribution d’eau potable aux consommateurs et à d’autres établissements essentiels tels que les hôpitaux ». Malgré la volonté de l’EPA de fournir une formation et un soutien technique pour aider les États et les organismes de systèmes d’eau publics à mettre en œuvre des enquêtes en matière de cybersécurité, le déménagement a suscité l’opposition de groupes de défense des États républicains et des groupes professionnels. Les avocats d’État républicains qui s’opposaient aux nouvelles politiques proposées ont déclaré que l’appel à de nouvelles inspections pourrait submerger les régulateurs d’État. Les procureurs généraux de l’Arkansas, de l’Iowa et du Missouri ont tous intenté une action en justice contre l’EPA, affirmant que l’agence n’avait pas autorité à établir ces exigences. Cela a conduit à ce que la proposition de l’EPA soit temporairement bloquée en juin. Si les réglementations en matière de cybersécurité visant à protéger le public seront mises en œuvre à l’avenir, cela reste incertain. L’EPA a déclaré qu’elle comptait continuer à travailler avec l’industrie pour « réduire les risques de cybersécurité pour l’eau propre et sûre ». Elle encourage tous les États à « examiner volontairement » la cybersécurité de leurs systèmes d’eau, soulignant que toute action proactive pourrait prévenir les impacts sur la santé publique potentiels en cas d’attaque par piratage.
Depuis le piratage Solarwinds hautement médiatisé en 2020 qui a exposé les dossiers du gouvernement et l’attaque par rançongiciel de Colonial Pipeline en 2021 qui a temporairement mis hors service le système de pipeline d’huile, il est évident que les entités gouvernementales et les agences publiques sont piratables et constituent des cibles de choix pour les mauvais acteurs. L’administration Biden a lancé une stratégie nationale axée sur les alliances public-privé pour transférer la charge de la cybersécurité aux organisations qui sont « mieux placées pour réduire les risques pour nous tous ».
