L’EPA retire son plan d’exiger des États qu’ils évaluent la cybersécurité et l’intégrité des programmes de systèmes publics d’approvisionnement en eau. Bien que l’agence affirme qu’elle continue de croire que des mesures de protection en matière de cybersécurité sont essentielles pour l’industrie de l’eau potable, cette décision a été prise après qu’une plainte a été déposée par les États dirigés par les républicains.
Dans une note qui accompagnait les nouvelles règles en mars, l’EPA a déclaré que les attaques de cybersécurité contre les systèmes d’eau potable et d’assainissement « ont le potentiel de désactiver ou de contaminer la fourniture d’eau potable aux consommateurs et à d’autres établissements essentiels tels que les hôpitaux ». Malgré la volonté de l’EPA de fournir des formations et un soutien technique pour aider les États et les organisations de systèmes publics d’approvisionnement en eau à mettre en œuvre des enquêtes sur la cybersécurité, cette démarche a suscité l’opposition de groupes de défense des intérêts commerciaux et de républicains. Les avocats d’État républicains qui s’opposaient aux nouvelles politiques proposées ont déclaré que l’appel à de nouvelles inspections pourrait submerger les régulateurs d’État. Les procureurs généraux de l’Arkansas, de l’Iowa et du Missouri ont tous poursuivi l’EPA, affirmant que l’agence n’avait pas autorité à établir ces exigences. Cela a conduit à l’interdiction temporaire de la proposition de l’EPA en juin.
Bien qu’il soit impossible de savoir si des règlementations en matière de cybersécurité seront mises en œuvre pour protéger le public à l’avenir, l’EPA a déclaré qu’elle comptait poursuivre son travail avec l’industrie pour « réduire les risques de cybersécurité pour l’approvisionnement en eau propre et sûre ». Elle encourage tous les États à « examiner de manière volontaire » la cybersécurité de leurs systèmes d’approvisionnement en eau, soulignant que toute action proactive pourrait atténuer les impacts sur la santé publique potentiels d’une intrusion.
Depuis l’attaque hautement médiatisée de Solarwinds en 2020, qui a exposé des dossiers gouvernementaux, et l’attaque par rançongiciel de Colonial Pipeline en 2021, qui a temporairement interrompu les opérations du système de pipeline pétrolier, il est évident que les entités gouvernementales et les agences publiques sont piratables et constituent des cibles privilégiées pour les méchants. L’administration Biden a lancé une stratégie nationale axée sur les alliances entre le secteur public et le privé pour transférer le fardeau de la cybersécurité aux organisations qui sont « les mieux placées pour réduire les risques pour nous tous ».
