GAO : hackers étrangers infiltrés dans les réseaux d'eau US

Les hackers déjà dans la tuyauterie : ce que révèle le rapport GAO-26-109159

Le 1er juin 2026, le Government Accountability Office américain — l'organisme indépendant d'audit du Congrès — a publié le rapport GAO-26-109159 intitulé « Critical Infrastructure Protection: Actions Needed to Address Persistent Cybersecurity Threats to the Water and Wastewater Sector ». Le constat est sans détour : des acteurs étatiques étrangers ont d'ores et déjà compromis des systèmes de contrôle industriel gérant l'approvisionnement en eau potable et le traitement des eaux usées aux États-Unis. Ces infiltrations ne sont pas des scénarios hypothétiques — elles sont documentées, confirmées par plusieurs agences fédérales, et certaines ont déjà entraîné des conséquences opérationnelles directes.

Le terme clé du rapport est celui de « pré-positionnement ». Il désigne la stratégie consistant à s'introduire discrètement dans un réseau critique, à y maintenir un accès persistant, et à y préparer des capacités de perturbation activables sur ordre ou en cas d'escalade géopolitique. Cette approche, documentée depuis 2023 pour les infrastructures américaines par le groupe chinois Volt Typhoon, est désormais formellement associée à des groupes iraniens dans le secteur de l'eau. Selon le GAO, ces acteurs sont capables de causer des perturbations ou des dommages physiques aux infrastructures ciblées.

L'historique des incidents iraniens dans ce secteur est particulièrement parlant. En novembre 2023, le groupe CyberAv3ngers — rattaché aux Gardiens de la Révolution iraniens (IRGC) — avait compromis des automates Unitronics Vision dans une station de pompage de la Municipal Water Authority of Aliquippa, en Pennsylvanie. Les opérateurs avaient été contraints d'interrompre les processus automatisés et de basculer en contrôle manuel pour maintenir l'alimentation en eau de la collectivité. En avril 2026, la CISA, le FBI et l'EPA ont émis une alerte conjointe confirmant une campagne plus large, ciblant des automates Rockwell Automation Allen-Bradley dans des installations d'eau, d'énergie et municipales à travers l'ensemble du territoire national.

Les vecteurs d'attaque documentés incluent l'exploitation de dispositifs de contrôle exposés directement sur Internet, la manipulation de fichiers de projets d'automates programmables (PLCs), l'effacement ou la corruption de configurations critiques, la falsification logicielle des lectures de capteurs mécaniques — permettant de masquer ou d'exagérer des mesures de pression, de pH ou de taux de chloration — ainsi que la perturbation des interfaces HMI (Human-Machine Interface) que les opérateurs utilisent pour surveiller les installations en temps réel. Plusieurs victimes ont confirmé avoir dû basculer en mode manuel, ce qui atteste d'une perturbation opérationnelle réelle et de pertes financières, selon les termes de l'alerte fédérale conjointe.

Le rapport GAO met en évidence une fragilité structurelle majeure : la transition progressive des systèmes de contrôle industriel historiquement isolés (air-gapped) vers des architectures numériques interconnectées a élargi la surface d'attaque disponible. Des équipements conçus dans les années 1980 et 1990, avant l'émergence de la menace cyber sophistiquée, se retrouvent désormais accessibles via des connexions réseau avec peu ou pas de mécanismes d'authentification forte, de chiffrement ou de détection d'anomalies. Cette dette technique est particulièrement prononcée dans les petites municipalités, dont certaines gèrent leurs systèmes d'eau avec moins de cinq agents techniques.

L'Environmental Protection Agency est clairement identifiée comme un maillon faible de la chaîne de réponse fédérale. Contrairement à d'autres secteurs d'infrastructure critique — réseau électrique (NERC CIP), finance (OCC, FFIEC), transports (TSA) — où des réglementations cybersécurité contraignantes s'appliquent avec des mécanismes d'audit et de sanction, le secteur de l'eau américain repose encore largement sur des cadres volontaires. L'EPA n'a pas développé de stratégie nationale complète assortie d'objectifs mesurables, de délais fermes et de mécanismes de vérification indépendante. Une tentative d'imposer des audits de cybersécurité dans le cadre des inspections sanitaires périodiques avait été annulée par un tribunal fédéral en 2023 après que plusieurs États avaient contesté la démarche.

Le contexte géopolitique amplifie dramatiquement l'urgence de la situation. Le conflit opposant les États-Unis et Israël à l'Iran depuis 2025 a créé un terreau propice aux opérations cyber offensives iraniennes visant à peser sur les décisions stratégiques américaines sans risquer un affrontement militaire direct. Les services de renseignement américains estiment que l'Iran dispose d'une capacité établie à déclencher des perturbations significatives dans les infrastructures critiques si l'escalade le justifiait. Les incidents dans les systèmes d'eau constituent autant des démonstrations de capacité que des actions directes — un signal adressé aux décideurs politiques.

Les propositions de réductions budgétaires de la CISA dans l'agenda de l'administration Trump aggravent les inquiétudes. La CISA fournit une assistance technique gratuite aux opérateurs d'eau vulnérables : évaluations de risque cybersécurité via l'outil CSET, partage de renseignements sur les menaces via WaterISAC, et équipes de réponse aux incidents (CIRCIA). Un affaiblissement de ces capacités réduirait le filet de sécurité disponible pour les milliers d'opérateurs municipaux qui n'ont ni les ressources humaines ni les compétences techniques pour se défendre seuls contre des acteurs étatiques.

Pourquoi la sécurité des réseaux d'eau représente une ligne rouge pour les sociétés modernes

L'eau potable et le traitement des eaux usées conditionnent directement la santé publique, la sécurité alimentaire et le fonctionnement de toute activité économique et sociale. Une contamination de l'eau potable ou une interruption prolongée de son approvisionnement dans une agglomération de taille moyenne provoquerait une crise sanitaire en quelques jours. C'est pourquoi ce secteur figure, selon la classification du Department of Homeland Security, parmi les seize secteurs d'infrastructure critique nationale dont la perturbation aurait un impact débilitant sur la sécurité ou la santé publique américaine.

La spécificité du secteur de l'eau réside dans sa fragmentation extrême. Les États-Unis comptent environ 50 000 systèmes d'eau communautaires actifs, dont une grande majorité dessert moins de 10 000 personnes. Cette atomisation rend toute réponse centralisée extraordinairement complexe. À l'inverse, le réseau électrique ou le secteur financier disposent d'acteurs de grande taille, de régulateurs sectoriels aux compétences coercitives solides, et de ressources humaines en cybersécurité comparables à celles des administrations fédérales.

Le précédent de Stuxnet — l'opération cyber conjointe américano-israélienne ayant saboté les centrifugeuses de Natanz vers 2010 — a profondément marqué la doctrine stratégique iranienne. L'Iran a depuis lors développé ses capacités cyber offensives et manifesté sa volonté de les employer contre les infrastructures américaines en cas de conflit ouvert. Les attaques contre les systèmes d'eau constituent une démonstration de capacité calculée. Ce schéma de réciprocité cyber est désormais bien documenté dans la littérature sur la conflictualité numérique entre les deux États.

À l'échelle européenne, la directive NIS2 — entrée en application en octobre 2024 — impose des obligations légales contraignantes aux opérateurs d'eau potable et d'assainissement dans les États membres, incluant des exigences de gestion des risques cyber, de notification obligatoire des incidents et d'audits réguliers sous peine de sanctions. Le contraste avec le cadre américain, où l'EPA ne peut toujours pas imposer de vérifications obligatoires, est saisissant. Les recommandations du GAO s'inspirent implicitement de cette approche réglementaire européenne pour suggérer au Congrès de doter l'EPA de bases légales plus solides.

Ce qu'il faut retenir

• Des hackers étatiques étrangers — principalement des groupes liés à l'Iran — ont confirmément compromis des systèmes de contrôle industriel d'installations d'eau américaines, avec des perturbations opérationnelles réelles documentées.
• Le GAO recommande au Congrès de doter l'EPA de pouvoirs coercitifs pour imposer des exigences cybersécurité minimales aux 50 000 opérateurs d'eau ; les cadres volontaires actuels sont jugés structurellement insuffisants face à la menace étatique.
• Actions prioritaires pour les opérateurs : inventaire exhaustif des équipements OT exposés sur Internet, segmentation stricte IT/OT, sauvegarde régulière des configurations d'automates, et test des procédures de passage en contrôle manuel.