L’EPA renonce à contraindre les services d’eau à vérifier leurs défenses cybernétiques
Suite à des luttes juridiques avec des groupes industriels et des États dirigés par des Républicains, une décision a été prise. Quel impact cette décision pourrait-elle avoir sur l'avenir?
Tl;dr
- L’EPA retire son plan obligeant les États à évaluer la cybersécurité de leurs systèmes d’eau publics.
- Des États républicains ont intenté une action en justice contre l’EPA pour cette proposition.
- L’EPA encourage néanmoins les États à examiner volontairement la cybersécurité de leurs systèmes d’eau.
- L’administration Biden mise sur les alliances public-privé pour renforcer la cybersécurité.
Retrait de l’évaluation de la cybersécurité des systèmes d’eau publics
L’Agence de Protection de l’Environnement (EPA) américaine revient sur son intention d’imposer aux États une évaluation de la cybersécurité et de l’intégrité des programmes de systèmes d’eau publics. Cette décision intervient suite à un recours en justice de plusieurs États républicains contre la proposition de cette nouvelle règle.
Opposition politique et résistance sectorielle
Dans une note explicative accompagnant les nouvelles règles proposées en mars, l’EPA avait souligné que les attaques cybernétiques sur les systèmes d’eau et d’eaux usées “ont le potentiel de désactiver ou de contaminer la distribution d’eau potable aux consommateurs et à d’autres installations essentielles comme les hôpitaux”. Malgré la volonté affichée de l’EPA de fournir une formation et un soutien technique aux États et aux organisations de systèmes d’eau publics pour mettre en œuvre des enquêtes de cybersécurité, cette initiative a suscité l’opposition à la fois des procureurs d’État républicains et des groupes de commerce.
Une régulation en suspens
Les procureurs généraux de l’Arkansas, de l’Iowa et du Missouri, qui étaient contre ces nouvelles politiques, ont tous poursuivi l’EPA, affirmant que l’agence n’avait pas le pouvoir d’imposer ces exigences. Cette action en justice a conduit à un blocage temporaire de la proposition de l’EPA en juin. Bien que l’avenir des régulations de cybersécurité reste incertain, l’EPA affirme vouloir continuer à travailler avec l’industrie pour “réduire les risques de cybersécurité pour une eau propre et sûre”. Elle encourage tous les États à “examiner volontairement” la cybersécurité de leurs systèmes d’eau, soulignant que toute action proactive pourrait atténuer les impacts potentiels sur la santé publique en cas de piratage.
Une stratégie nationale de cybersécurité
Depuis le piratage très médiatisé de Solarwinds en 2020, qui a exposé des documents gouvernementaux, et l’attaque par rançongiciel de Colonial Pipeline en 2021, qui a temporairement paralysé le système de pipeline de pétrole, il est devenu évident que les entités gouvernementales et les agences publiques sont vulnérables et constituent des cibles de choix pour les acteurs malveillants. Face à cette réalité, l’administration Biden a initié une stratégie nationale axée sur les alliances public-privé afin de transférer la charge de la cybersécurité aux organisations “les mieux placées pour réduire les risques pour nous tous”.
L’avis de la rédaction
Le retrait de l’EPA de cette proposition démontre les défis politiques et opérationnels liés à la cybersécurité. Cependant, l’importance d’une eau propre et sûre pour la santé publique ne peut être négligée. Les alliances public-privé pourraient s’avérer être le juste milieu pour assurer la sécurité de nos ressources vitales tout en respectant les limites de l’autorité fédérale.