Le New Jersey adopte une loi pour la cybersécurité des réseaux d’eau

En septembre 2020, une cyberattaque a frappé la Jersey City Municipal Utilities Authority (MUA), responsable de la distribution d’eau et de la gestion des égouts dans la ville de Jersey City (New Jersey).

L’attaque a bloqué l’accès des opérateurs à des informations critiques, provoquant une « crise de santé publique ». La MUA a du dépenser 500 000 dollars pour restaurer ses SI, qui ont mis plus de trois mois à redevenir opérationnels.

Pour éviter de revivre une telle expérience, l’État du New Jersey vient d’adopter, ce 25 janvier 2021, le Water Quality Accountability Act, une loi qui oblige les fournisseurs d’eau à se doter d’un programme de cybersécurité garantissant un haut niveau de cyberprotection.

« Comme de nombreuses organisations publiques ou privées, les gestionnaires des réseaux publics d’eau ont déployé des technologies numériques qui leur permettent de gagner en efficacité opérationnelle et commerciale, mais sans mesurer pleinement les risques de sécurité liés à la mise en œuvre de ces technologies. Or, à l’image de nombreuses municipalités et écoles, ces gestionnaires manquent souvent des ressources financières nécessaires pour répondre aux cybermenaces les plus avancées », détaille Michael Geraghty, responsable de la sécurité informatique de l’État du New Jersey.

Il se félicite donc que la loi impose aux gestionnaires des réseaux d’eau de se conformer à des standards de cybersécurité industrielle, comme le NIST [Cybersecurity Framework] ou le CIS Critical Security Controls. Ces normes les pousseront à se prémunir en priorité contre les risques les plus critiques, avant de déployer des solutions contre les menaces de moindre importance.