J’ai vu pour la première fois l’intérieur d’une usine de traitement des eaux en 2015. J’étais en train d’effectuer une visite sur place dans une installation municipale du New Jersey, où j’étais le directeur de la cybersécurité de l’État. Ce n’était pas une inspection; le directeur de l’usine m’avait demandé de visiter.
Les changements dans l’établissement au fil des ans l’avaient mis mal à l’aise. Les machines analogiques ont cédé la place aux systèmes numériques et les processus critiques de traitement de l’eau sont désormais automatisés. L’usine a nécessité peu d’intervention humaine dans les opérations quotidiennes. Grâce aux technologies d’accès à distance, davantage d’activités de maintenance et de surveillance ont été effectuées hors site par un tiers. Tout cela était excellent pour l’efficacité, en particulier pour son fonctionnement limité en ressources, mais qu’en est-il du risque? Optimiser le coût et la vitesse signifiait connecter davantage de technologies numériques et en réseau à son usine. La sécurité n’était plus simplement une question de portails, de gardes et d’armes à feu. C’était devenu une question de bits et d’octets.
Au début du mois de février, le malaise du directeur de l’usine est devenu la réalité d’un autre lorsque quelqu’un aurait tenté d’empoisonner l’approvisionnement en eau dans la ville d’Oldsmar, sur la côte du golfe du Mexique, en Floride. a brièvement multiplié par 100 la quantité d’hydroxyde de sodium dans l’eau, suffisamment pour causer la mort ou des blessures graves à quiconque en a bu ou touché. Heureusement, un technicien a remarqué l’anomalie et a démarré le pirate hors du réseau avant que tout dommage ne soit causé.
Ce qui s’est passé à Oldsmar était juste en deçà du scénario du cauchemar. La personne moyenne ne sait pas à quel point l’infrastructure essentielle du pays est devenue dépendante de la technologie numérique. Dans les centrales électriques, les installations hydrauliques et toutes sortes de services publics, des ordinateurs spéciaux appelés interfaces homme-machine se connectent à des contrôleurs de processus renforcés qui régulent les actionneurs pour faire tourner les turbines, faire tourner les bras robotiques ou, dans ce cas, ouvrir les vannes pour libérer de l’hydroxyde de sodium. .
Dans un monde parfait, ces communications et les opérations qu’elles commandent seraient isolées des systèmes connectés à Internet. Mais les exigences pratiques pour surveiller les opérations en temps réel, glaner des analyses de données dans l’usine et effectuer une maintenance à distance ont dans de nombreux cas exposé l’infrastructure vulnérable de l’autre côté du pare-feu. Le résultat est davantage de hacks sur le Web des systèmes technologiques opérationnels. Les méchants ont accès aux infrastructures critiques lorsque les appareils de l’entreprise sont connectés par inadvertance à Internet ou lorsque les informations d’identification d’un administrateur réseau sont volées dans le cadre d’une escroquerie de spear-phishing.
