L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a annoncé qu’elle propose des analyses de sécurité gratuites pour les infrastructures critiques, telles que les services d’eau, afin de contribuer à protéger ces unités cruciales contre les attaques de pirates informatiques.
Le programme a été co-développé avec l’Agence de protection de l’environnement (EPA), le Conseil de coordination du secteur de l’eau (WSCC) et l’Association des administrateurs nationaux de l’eau potable (ASDWA). Il demande à tous les exploitants de systèmes d’eau potable et d’eaux usées de s’inscrire à le programme.
« Vous pouvez réduire le risque de cyberattaque contre votre service public en analysant en externe vos réseaux à la recherche de vulnérabilités causées par des appareils accessibles au public. » lit la description du programme
« (CISA) peut aider votre système d’eau potable et de traitement des eaux usées à identifier et à résoudre les vulnérabilités grâce à un abonnement gratuit au service d’analyse des vulnérabilités. »
Le programme fonctionne en demandant aux agents de CISA d’exécuter des scanners spécialisés qui identifient les points de terminaison exposés à Internet d’une installation et découvrent les vulnérabilités ou les erreurs de configuration de ceux connus pour être exploités par les pirates.
CISA envoie ensuite des rapports hebdomadaires contenant des recommandations d’action, tandis que des analyses ultérieures déterminent si les services publics des eaux ont pris les mesures nécessaires pour atténuer les problèmes précédemment révélés.
Pour les failles et vulnérabilités de gravité critique connues pour être activement exploitées, les rapports initiaux sont générés dans les 24 heures et de nouvelles analyses sont effectuées toutes les 12 heures.
Pour les failles à moindre risque, la réévaluation a lieu entre 1 et 6 jours, en fonction de l’indice de gravité des problèmes découverts.
L’agence de cybersécurité note que ses scanners automatisés n’accéderont pas aux réseaux privés et ne pourront pas non plus effectuer de modifications, il n’y a donc aucun risque d’exposition des données pour les parties prenantes.
Pour vous inscrire au programme, envoyez un e-mail à l’adresse vulnérabilité@cisa.dhs.gov avec pour objet « Demande de services d’analyse des vulnérabilités », y compris le nom et l’adresse de l’utilitaire, et un agent CISA vous répondra avec des conseils sur les étapes suivantes.
La sécurité des installations de traitement des eaux a récemment été sous le feu des projecteurs en raison de récentes violations.
La tentative délibérée de Rambler Gallo de compromettre l’installation de traitement des eaux de Discovery Bay en Californie illustre les dangers posés par une gestion inadéquate des accès, qui ont affecté la santé et la sécurité de 15 000 résidents.
Alors que l’organisme américain Water and Wastewater Systems (WWS) signale une augmentation des attaques de ransomware contre les services publics, il est clair que la sécurisation des services d’eau n’est pas seulement une priorité de santé publique, mais également cruciale pour la sécurité nationale.