Le secteur de l'eau bénéficiera de l'appel au cyber-durcissement des infrastructures critiques

Déclenché par des cyberattaques à haut risque et par la couverture médiatique grand public qui en a résulté, le gouvernement fédéral s’oriente vers de nouvelles exigences en matière de cybersécurité des infrastructures critiques.

Un juillet Mémo du Bureau de la gestion et du budget (OMB) (PDF) a appelé les agences du gouvernement fédéral à établir des « normes de performance » spécifiques en matière de cybersécurité pour leurs secteurs respectifs – et, plus important encore, à budgétiser « l’examen et l’évaluation » par les agences fédérales des plans de cyber-renforcement préparés par les organisations tenues de respecter ces nouvelles normes.

Nécessaire : Examen fédéral et évaluation des plans

Ce niveau de supervision directe étend l'approche qui s'applique aujourd'hui uniquement aux infrastructures nationales les plus critiques, notamment le réseau électrique (réglementé par le ministère de l'Énergie, la Federal Energy Reliability Commission et la North Amerian Reliability Corp.) et le pétrole et le gaz. pipelines (Department of Homeland Security et Transportation Security Administration) – dans toute la gamme des industries américaines dont les gens dépendent, notamment la vente au détail, les produits pharmaceutiques, les produits chimiques, le transport et la distribution, l’alimentation et les boissons, et bien d’autres.

Le secteur de l'eau est susceptible de ressentir fortement cette activité réglementaire et de constater des changements substantiels en conséquence. Fortement vulnérables aux cyberattaques, les services d’eau ont un besoin urgent de normes de sécurité actualisées – et appliquées. En fait, l'administration Biden a récemment laissé entendre que l'Environmental Protection Agency (EPA) était sur le point d'émettre une nouvelle règle qui inclurait la cybersécurité dans les examens de l'assainissement des installations d'eau du pays – plus loin encore. soutenir des normes plus élevées en matière de cybersécurité.

Les enjeux sont élevés : un système municipal typique de traitement de l'eau filtre 16 millions de gallons d'eau chaque jour, et un pirate informatique réussi pourrait corrompre l'ensemble de l'approvisionnement en eau de la communauté. Il ne s’agit pas d’une crainte hypothétique : un groupe de hackers a récemment réussi à infiltrer un système de traitement de l’eau à Oldsmar, en Floride. En modifiant la quantité de lessive dans l’eau, ils ont mis une ville entière en danger. Et récemment, le gang du ransomware Clop a ciblé le Staffordshire du Sud service des eaux au Royaume-Uni. Même si ces attaques ne réussissent pas toujours, la gravité des risques est clairement mise en évidence.

Malgré les tentatives précédentes visant à améliorer les normes de sécurité du secteur de l’eau, celui-ci reste vulnérable. Même Loi américaine sur les infrastructures d'eau de 2018 (AWIA), qui a déclaré que les services d'eau doivent élaborer des plans d'intervention d'urgence qui répondent aux menaces de cybersécurité dans le cadre d'un un effort plus large pour améliorer l’infrastructure globale et la qualité, n’a pas modifié de manière significative la posture de cybersécurité du secteur. Le secteur englobe 50,000 XNUMX services publics distincts aux États-Unis, dont la plupart sont de petite taille et gérés par des municipalités ; Cette fragmentation, associée à la réticence générale des opérateurs à abandonner les pratiques existantes, a permis à l’élan en faveur du changement de s’essouffler.

Mais les précédents nous montrent que, lorsqu’elles sont bien appliquées, les réglementations fédérales peuvent faire la différence. Nous constatons déjà des progrès dans un autre secteur d’infrastructure critique vulnérable : le pétrole et le gaz. À la suite du très médiatisé Piratage du pipeline colonial en 2021, la Transportation Security Administration (TSA) du ministère de la Sécurité intérieure a rapidement publié deux Directives de sécurité, Avec une Mise à jour en 2022, redoublant d’efforts pour assurer une meilleure protection des infrastructures énergétiques à l’échelle nationale. Ces directives mettaient l’accent sur la gestion des informations d’identification et le contrôle d’accès, deux éléments qui auraient contribué à bloquer l’attaque du ransomware en premier lieu.

Malgré les réticences initiales des propriétaires et des exploitants de pipelines, ces exigences TSA, les premières en leur genre, conduisent déjà l'ensemble du secteur vers un environnement plus protégé. Les opérateurs se tournent désormais vers des mesures de sécurité centrées sur la proactivité et la prévention des attaques.

L’appel à la prévention des attaques mène à davantage de protection

La principale différence ici est que le Les directives de la TSA nécessitent des plans de mise en œuvre pour le cyber protection, pas seulement pour la détection et la réponse aux incidents. Une fois que les opérateurs étaient tenus de protéger
eux-mêmes, ne se contentent pas de réagir aux événements après coup – et une fois que le gouvernement fédéral a révisé ses plans de cyberprotection – le secteur pétrolier et gazier a commencé à bouger sérieusement.

Et désormais, grâce aux conseils donnés par l'OMB aux agences, la même supervision directe de la cyberprotection s'étendra également à d'autres secteurs, notamment celui de l'eau. En d’autres termes, l’évolution du secteur pétrolier et gazier est une indication de ce qui attend d’autres infrastructures critiques.

Le piratage d’Oldsmar en 2021 a montré au monde à quel point une attaque contre une usine d’eau peut être facile – et dévastatrice. Indépendamment des normes historiques de l'industrie, un besoin évident d’une meilleure cybersécurité est apparue, et il semble que le gouvernement soit prêt à aller de l’avant avec plus d’agressivité que jamais. Ses vastes efforts en faveur d’une meilleure sécurité des infrastructures critiques sont en passe de devenir le catalyseur dont de nombreux secteurs, comme celui de l’eau, ont désespérément besoin.

Les propriétaires et exploitants d’usines ne peuvent plus ignorer les risques ; réglementation plus lourde est un « quand » et non un « si ». Il est désormais temps pour eux de rechercher une cybersécurité meilleure et plus moderne.