L’IAM au service de la conformité NIS 2
dans l’environnement, l’énergie et l’eau
Il est inutile de souligner à quel point les infrastructures de l’énergie et de l’eau sont essentielles au bien-être des personnes et à la santé de l’économie. C’est même une question de sécurité nationale : couper l’électricité ou prendre le contrôle des usines de traitement d’eau, c’est maîtriser tout un territoire. C’est précisément pour cette raison que ces infrastructures sont une cible privilégiée des cyberattaques. Tout le monde se souvient de l’attaque contre Colonial Pipeline aux États-Unis en 2021 – pour ne citer que celle-ci.
Une industrie essentielle, cible principale des cyberattaques
De nombreuses publications, issues de l’industrie elle-même, ou d’agences gouvernementales ou de sécurité, soulignent clairement les enjeux de cybersécurité pour le secteur de l’énergie et de l’eau dans toutes les régions :
- À l’échelle mondiale : Electricity Cybersecurity: Safeguarding the Energy Sector, Electricity Subsector
On notera l’approche « tous risques » recommandée par les gouvernements pour ce secteur, si crucial à la vie quotidienne des citoyens et des entreprises. Rien ne doit être négligé.
- Union Européenne : Critical infrastructure and cybersecurity et Cyber Europe tests the EU Cyber Preparedness in the Energy Sector | ENISA
Rien qu’en 2023, plus de 200 incidents cyber signalés ont visé le secteur de l’énergie, dont plus de la moitié spécifiquement en Europe. Le rapport NIS Investments in the EU d’ENISA a révélé que 32 % des opérateurs du secteur de l’énergie n’ont pas un seul process OT critique surveillé par un Centre des Opérations de Sécurité (SOC). Les systèmes OT et IT sont couverts par un SOC unique pour « seulement » 52 % des opérateurs de services essentiels du secteur.
- France : Le rapport sur l’état de la menace publié début 2025 par l’ANSSI mentionne des cyberattaques en 2024 ciblant spécifiquement des usines de traitement de l’eau et des centrales électriques, exploitant des applications et systèmes vulnérables exposés sur Internet. Par conséquent, « l’ANSSI considère que les actions mises en œuvre pour sécuriser les équipements OT et réduire leur exposition sur Internet diminuent significativement les opportunités d’attaque ».
- États-Unis : Energy Sector | Cybersecurity and Infrastructure Security Agency (CISA) et Energy Sector Cybersecurity Preparedness | Department of Energy
Concernant le secteur de l’eau, l’infographie jointe par la CISA illustre très bien les défis de l’industrie en matière de cybersécurité (Cyber Risks & Resources for the Water and Wastewater Systems Sector – Supply Water National Critical Function Infographic) : complexité des réseaux, maintenance des systèmes, segmentation réseau, vol de données et ransomwares.
Un point d’inflexion a été atteint en 2023, avec la prise de conscience que « le coût du nettoyage de l’effet d’une attaque est bien supérieur à celui de sa prévention ». La disponibilité et la continuité de service de ces infrastructures critiques (eau, gaz, électricité) nécessitent une protection renforcée des systèmes industriels SCADA/ICS et des plans solides de continuité et de reprise d’activité (PCA/PRA), souvent avec deux infrastructures distinctes en cas de défaillance totale de l’une d’elles.
Les technologies de l’information et de la communication (TIC) jouent un rôle clé dans le fonctionnement et la gestion des smart grids – ces réseaux intelligents qui s’appuient sur les technologies numériques pour améliorer l’efficacité, la fiabilité et la pérennité (comme le smart metering). Ces « réseaux parallèles », s’appuyant sur la technologie informatique et connectant les systèmes IT, OT et IoT, optimisent la production, la distribution et la consommation d’énergie, tout en facilitant l’équilibre entre énergies renouvelables et traditionnelles, ainsi que le commerce de l’énergie entre pays. Ces réseaux, véritables « systèmes nerveux » de l’écosystème de l’énergie, doivent être hautement protégés contre les cyberattaques. Toute action d’administration sur ces réseaux doit être strictement surveillée. Les identités des prestataires intervenant sur ces réseaux doivent être fortement protégées, via des mécanismes d’authentification forte (MFA) et de contrôle d’accès strict (application de politiques JIT).
Cas client : une usine de traitement de l’eau
En tant que RSSI d’un organisme régional de traitement de l’eau, il faut gérer à la fois le facteur humain et le facteur technique de l’équation – et pour ce dernier, la sécurité IT comme la sécurité OT.
La conformité, telle que la directive NIS2, impose des exigences très strictes, et il est parfois difficile de déterminer quelles activités relèvent ou devraient relever de son périmètre. Par exemple, la partie contrôle/commande des infrastructures industrielles est souvent considérée comme vitale, tandis que la maintenance est jugée moins sensible.
Ces organismes peuvent aussi traiter des données personnelles de citoyens, donc soumis à la directive RGPD – comme le fait de savoir qu’à une adresse précise vit une personne atteinte d’une maladie chronique, qui ne peut être privée d’électricité ou d’eau sans risquer de mettre sa vie en péril.
Autre particularité du secteur : le recours fréquent à des prestataires ou sous-traitants, pour les systèmes IT comme pour les systèmes OT. Des attaques ont été rapportées, telles que : un salarié malveillant d’un sous-traitant a modifié la configuration d’une pompe ; un hacker a exploité un outil de contrôle à distance utilisé par un prestataire sur une application SCADA. Les attaques via la chaîne d’approvisionnement sont l’une des principales menaces du secteur. Certaines villes de petite taille ont aussi été victimes d’attaques en raison d’une exposition directe de leur infrastructure sur Internet : ce que les grandes villes, collectivités départementales et régionales évitent généralement.
cyberelements fournit des fonctionnalités clés pour la cybersécurité du secteur de l’énergie
- Accès distant sécurisé pour les actions de maintenance à distance et les opérations des MSP/prestataires
Les industries de l’électricité et du gaz font largement appel à la sous-traitance. Côté OT, cela implique un accès distant des employés du prestataire aux actifs critiques, souvent depuis de simples tablettes. Côté IT, cela entraîne le recours à des infrastructures cloud pour externaliser la gestion de l’IT et optimiser les coûts.
Par exemple, dans le secteur de l’eau, la qualité de l’eau est souvent gérée par des laboratoires tiers, qui doivent accéder aux données des usines pour réaliser leurs tests. Bien qu’ils ne soient pas considérés comme opérateurs essentiels ou importants, ils accèdent à des ressources critiques, et cet accès doit être rigoureusement contrôlé.
cyberelements est conçu nativement pour l’accès distant sécurisé : il offre aux utilisateurs autorisés un accès zero-trust et établit une barrière de sécurité pour les accès non-autorisés. Il permet un accès web sans agent, évitant la gestion des mises à jour. Il propose un tunnel générique permettant aux prestataires et MSP d’utiliser leurs propres applications et licences pour accéder à distance aux systèmes IT ou OT.
- Segmentation organisationnelle et réseau
Les cybercriminels peuvent exploiter les réseaux IT pour cibler des réseaux et systèmes OT non segmentés. Une segmentation réseau adéquate est un moyen très efficace de prévenir les cyberattaques contre les réseaux OT (et de limiter les mouvements latéraux). Les entreprises du secteur doivent séparer IT et OT, tout en pouvant parfois utiliser une solution unique pour l’accès distant aux deux environnements (convergence IT-OT).
Les entreprises de l’eau et de l’énergie sont souvent réparties sur de vastes territoires, avec de nombreux sites. Elles dépendent fortement des communications réseau entre les sites, tout en cherchant à avoir une certaine autonomie au sein de chaque site.
Sur le plan organisationnel, les grandes entreprises du secteur comptent plusieurs entités, régulées ou non. L’architecture multi-tenant de cyberelements permet le déploiement d’une plateforme unique tout en isolant chaque entité. Elle permet de segmenter les organisations (IT/OT, régulé/non régulé, sites) ainsi que les réseaux (grâce à l’architecture à double barrière, avec des Edge Gateways dans les LANs où se trouvent les ressources accédées). La segmentation réseau limite les mouvements latéraux, et cyberelements les empêche aussi à l’intérieur d’un même LAN IT ou OT, grâce à un contrôle d’accès très fin. Il est même possible de configurer les firewalls serveur par utilisateur, en fonction de l’utilisateur et de son contexte d’accès.
- Zero-Trust par design
Le modèle Zero Trust, nouveau paradigme pour gérer l’accès aux systèmes IT/OT, répond parfaitement aux exigences du secteur de l’énergie et de l’eau. Ne plus distinguer accès « interne » et « externe » correspond à leur réalité organisationnelle. MFA par défaut, accès conditionnel/contextuel (utilisateur, appareil, réseau), vérification continue de l’identité, analyse comportementale de l’utilisateur… autant de fonctions Zero Trust renforçant la sécurité des accès depuis n’importe quel endroit. Alimenter le SIEM du SOC avec toutes les données d’audit – pour tracer « qui a fait quoi, quand, sur quelle application, dans quel contexte ? » – est essentiel pour compléter la prévention proactive avec la détection/réaction afin de répondre aux exigences de conformité. La capacité à considérer certains utilisateurs et comptes comme « privilégiés » et certains actifs comme « critiques » permet d’appliquer une surveillance et un contrôle renforcés.
Un secteur fortement régulé
Les secteurs de l’énergie et de l’eau sont parmi les plus régulés dans le monde, compte tenu de l’importance vitale de l’électricité, du gaz et de l’eau dans la vie quotidienne des citoyens
Chaque pays possède un organisme régulateur dédié (CRE en France, Bundesnetzagentur en Allemagne, Ofgem au Royaume-Uni, FERC aux États-Unis, CER au Canada, etc.). L’UE a créé l’ACER pour coordonner les régulateurs européens. Elle a aussi publié en 2024 un rapport pour mieux coordonner les infrastructures d’énergie en Europe (CEI), car les industries sont de plus en plus interconnectées grâce aux réseaux numériques. L’énergie fait partie des secteurs les plus critiques visés par NIS2. Cela implique une série d’obligations, notamment en matière de gestion des identités et des accès (IAM). L’obligation de gérer entièrement les identités et les habilitations, de gérer l’accès dans les moindres détails, de surveiller et de contrôler étroitement les utilisateurs et les comptes privilégiés. Plus concrètement, dans un SI reglementé, NIS 2 impose de :
- Séparer les systèmes IT d’administration des systèmes IT métier, y compris au niveau des terminaux utilisés par les employés pour accéder à leur environnement ; utiliser des comptes d’administration distincts des comptes métier ;
- Utiliser uniquement des comptes individuels, tracés, avec des secrets d’authentification conformes aux politiques de sécurité, changés régulièrement ou après chaque usage, et idéalement non communiqués à l’utilisateur final ;
- Accorder l’accès aux ressources IT sur la base du moindre privilège, pour la durée nécessaire uniquement (JIT), sans laisser de droits ni connexions résiduels.
La plateforme IAM Zero Trust cyberelements permet de répondre à toutes ces exigences, avec la rapidité, les coûts et la sécurité requis par les organismes de réglementation.
Le meilleur moyen d’en être convaincu : essayez par vous-même. Cliquez sur « démarrer maintenant » et, en trois minutes, vous pourrez configurer la plateforme et constater un temps de mise en conformité sans précédent.