Bien que le rapport récemment publié par le Bureau de l’Inspecteur Général de l’Agence de Protection de l’Environnement a soulevé des préoccupations concernant les pratiques de cybersécurité des systèmes d’eau des États-Unis, il y a plus à l’image qu’il n’y paraît initialement. Le rapport a souligné qu’environ un tiers des systèmes d’eau potable des États-Unis présentaient des lacunes en matière de cybersécurité, mais une compréhension plus approfondie de la méthodologie de recherche et de l’interprétation des résultats est nécessaire.
L’EPA OIG a mené une analyse de 1 062 systèmes d’eau potable et a constaté que 308 présentaient des vulnérabilités en matière de cybersécurité. Cependant, cette conclusion découle d’une « évaluation passive des vulnérabilités en matière de cybersécurité ». Cela signifie que les chercheurs ont examiné l’empreinte numérique des systèmes d’eau, qui comprend toutes les données publiquement disponibles sur Internet, mais n’ont pas creusé davantage dans les systèmes eux-mêmes, offrant ainsi une perspective limitée de la situation.
Il est crucial de noter que la majorité des vulnérabilités identifiées ont été classées comme à risque moyen ou faible par l’OIG, sur la base d’un algorithme de notation non divulgué. C’était le cas pour 211 des 308 systèmes jugés vulnérables. De plus, ces systèmes possèdent des « portails ouverts visibles de l’extérieur », un terme ambigu qui n’implique pas nécessairement un risque de sécurité significatif sans données supplémentaires sur la nature de ces portails et leur exposition. Ces systèmes desservent une population estimée à 82,7 millions.
Les 97 autres systèmes ont montré des vulnérabilités à haut risque ou critiques, bien que le rapport n’ait pas fourni de détails spécifiques à leur sujet. Ces systèmes desservent environ 26,6 millions de personnes.
Le rapport s’est concentré sur les menaces potentielles si ces vulnérabilités étaient exploitées, soulignant les risques pour l’infrastructure physique ou les systèmes d’exploitation des systèmes d’eau concernés. Néanmoins, l’absence d’exemples concrets ou d’attaques conceptuelles limite notre compréhension des risques réels.
Alors que le rapport soulève des préoccupations légitimes sur l’importance de la cybersécurité dans la gestion des infrastructures critiques comme les systèmes d’eau potable, il est important de le prendre avec des pincettes. Sans évaluations plus approfondies et plus actives, une image complète de l’état de la cybersécurité de ces systèmes ne peut être dressée. Les recherches futures doivent fournir une image plus complète des risques et des stratégies pour les aborder afin de garantir la sécurité et la sûreté de notre approvisionnement en eau.
