Eau potable et NIS2 : un secteur critique face à des cybermenaces croissantes

Le secteur de l'eau potable figure parmi les dix secteurs hautement critiques (Annexe I) de la directive NIS2. En France, 32 % des services d'eau potable étaient gérés sous DSP en 2021, approvisionnant 60 % de la population, majoritairement par trois acteurs privés : Veolia, Suez et Saur. La numérisation des infrastructures de traitement et de distribution expose désormais les régies municipales, syndicats intercommunaux et délégataires à des cyberattaques dont les conséquences peuvent compromettre la sécurité sanitaire de millions d'habitants. Dans une note datée du 28 novembre 2024, le CERT-FR (ANSSI) alerte sur le manque de protection de certains services d'eau et d'assainissement, un constat qui rend la mise en conformité NIS2 indispensable.

Périmètre : quelles entités du secteur sont concernées par NIS2

La directive NIS2 et sa transposition française (Loi Résilience) définissent le secteur de l'eau potable comme hautement critique et distinguent deux catégories d'entités selon leur taille et leur criticité. Les entités essentielles comprennent les organisations de plus de 250 salariés ou affichant un chiffre d'affaires annuel supérieur à 50 M€ et un bilan annuel supérieur à 43 M€, dans des secteurs comme l'eau potable, les transports, la santé, l'énergie.

Concrètement, sont concernés :

• Les régies municipales et syndicats intercommunaux d'eau dépassant les seuils de taille, notamment ceux desservant les grandes agglomérations.
• Les délégataires privés : Veolia Eau, Suez, Saur, et les opérateurs de taille intermédiaire assurant la production et la distribution d'eau potable.
• Les producteurs d'eau en gros et les opérateurs d'usines de potabilisation, dès lors qu'ils approvisionnent un nombre significatif d'habitants.
• Certaines entités de taille intermédiaire (entre 50 et 249 salariés, CA entre 10 et 50 M€) peuvent relever des « entités importantes » selon leur rôle dans la chaîne d'approvisionnement.

Bien que certaines installations relèvent clairement d'enjeux critiques, la majorité des syndicats de traitement ou de distribution de l'eau restent encore hors du périmètre NIS2, souvent en raison de leur taille. Toutefois, la chaîne d'approvisionnement et les obligations contractuelles entraînent une extension de fait des exigences cyber aux sous-traitants et prestataires d'infogérance SCADA.

Le pré-enregistrement sur MonEspaceNIS2 est ouvert depuis novembre 2025 et permet aux opérateurs d'auto-évaluer leur éligibilité avant l'entrée en vigueur des textes réglementaires.

Cadre réglementaire : articulation NIS2, directive REC et Code de la santé publique

Le secteur de l'eau potable est soumis à un empilement réglementaire complexe qu'il convient d'articuler :

• Code de la santé publique (articles L1321-1 et suivants) : définit les obligations sanitaires relatives à la qualité de l'eau destinée à la consommation humaine. Jusqu'à NIS2, ce cadre ne couvrait pas les aspects cybersécurité des systèmes industriels de traitement et de distribution.

• Directive NIS2 (UE 2022/2555) : impose au secteur de l'eau potable des mesures minimales de gestion des risques cyber (article 21) et des obligations de notification d'incidents sous 24 heures. Texte disponible sur EUR-Lex.

• Directive REC (UE 2022/2557) sur la résilience des entités critiques : concerne la sécurité physique et la résilience opérationnelle globale. La directive REC vise à renforcer la préparation et la réponse aux risques de toute nature (énergie, transports, eau potable, eaux résiduaires, numérique, santé), et prévoit que les dispositions nécessaires à sa transposition devront être publiées au plus tard le 17 octobre 2024. Les entités désignées comme critiques au titre de la directive REC sont automatiquement considérées comme entités essentielles au titre de la directive NIS2.

• Loi Résilience française : transpose conjointement NIS2, REC et DORA. Le député Philippe Latombe a écrit au Premier ministre pour souligner l'urgence à inscrire le texte à l'ordre du jour, la date évoquée étant celle de juillet 2026. Le retard législatif expose la France à des procédures d'infraction européennes.

• Référentiel Cyber France (ReCyF) : publié par l'ANSSI le 17 mars 2026, ce document correspond au référentiel de cybersécurité mentionné à l'article 14 du projet de loi Résilience. Il fournit aux opérateurs un guide opérationnel non obligatoire à ce stade, mais opposable en cas de contrôle.

L'ANSSI centralise la coordination : portail cyber.gouv.fr/la-directive-nis-2, plateforme MonEspaceNIS2 et MesServicesCyber pour l'accompagnement des entités.

Spécificités cybersécurité : surface d'attaque et vulnérabilités du secteur

Le secteur de l'eau combine des infrastructures anciennes, une dispersion géographique et une numérisation hétérogène créant des vulnérabilités structurelles spécifiques :

Systèmes SCADA et automates de traitement exposés

Le secteur se caractérise par l'héritage d'installations parfois anciennes, géographiquement dispersées et présentant des niveaux de sécurité des systèmes d'information très variés. Les automates de chloration, de dosage chimique et les systèmes SCADA (Supervisory Control and Data Acquisition) pilotent en temps réel les paramètres de potabilisation. Leur compromission peut entraîner une contamination ou une coupure d'approvisionnement.

L'attaque d'Oldsmar (Floride, février 2021) reste l'exemple canonique : les attaquants ont collecté des identifiants TeamViewer partagés et exploité des failles Windows 7, augmentant nettement le niveau d'hydroxyde de sodium, rendant l'eau potable extrêmement toxique.

Convergence IT/OT et segmentation insuffisante

L'ANSSI rappelle que le secteur de l'eau est désormais dans le Top 3 des secteurs OT visés, la mauvaise segmentation des réseaux étant l'une des principales failles exploitées. La connexion directe des réseaux bureautiques (IT) aux réseaux industriels (OT) permet la propagation latérale de malwares initialement introduits par hameçonnage.

Accès distants mal sécurisés

En 2021, des malveillants ont utilisé TeamViewer pour tenter de manipuler les paramètres d'eau potable aux États-Unis. En 2021 également, des stations d'assainissement à Oloron-Sainte-Marie ont été compromises via une faille logicielle, entraînant une destruction partielle des données. L'infogérance externalisée et la télégestion sans MFA (authentification multi-facteurs) ou VPN sécurisé sont des vecteurs d'intrusion privilégiés.

Manque de compétences cyber en interne

Les régies de petite et moyenne taille ne disposent généralement ni de RSSI ni de compétences cybersécurité OT en interne. La dépendance aux prestataires d'infogérance et d'équipements SCADA pose des enjeux de maîtrise de la chaîne d'approvisionnement et de réactivité en cas d'incident.

Incidents marquants : cas documentés 2023-2026

France

2023 — Compagnie d'aménagement du Bas Rhône et du Languedoc (BRL) : en mars 2023, la compagnie BRL a subi une compromission par le rançongiciel Lockbit 3.0, perturbant ses systèmes de sauvegarde et ses serveurs.

2023 — SMDEA (Ariège) : en mai 2023, le SMDEA en Ariège a été ciblé par le rançongiciel Qilin, affectant la gestion administrative et la télégestion.

2023 — Service public de l'assainissement francilien (SIAAP) : le SIAAP, qui gère l'approvisionnement en eau des 9 millions d'habitants de la métropole du Grand Paris, a déclaré avoir été victime d'une cyberattaque « étendue et virulente » visant le pilotage de ses réseaux.

2024 — Ransomware Babyk/Babuk (commune française) : en avril 2024, le système d'information d'une commune française fut chiffré, affectant la gestion de l'eau. Bien que la distribution d'eau soit restée possible, la facturation et le pilotage de la production ont été inopérants.

2024 — Veolia North America : en janvier 2024, une entité américaine de Veolia a été victime d'une attaque, perturbant la gestion des paiements clients.

Contexte Jeux Olympiques 2024

En 2024, 16 incidents signalés, survenus pour la plupart entre mai et juillet, étaient liés à des attaques DDoS revendiquées par des groupes hacktivistes, dans le contexte sensible des Jeux Olympiques et Paralympiques de Paris. En mars 2024, le groupe hacktiviste pro-palestinien Handala Hack Team a revendiqué la compromission d'une société de traitement, déclarant qu'il s'agissait d'une préparation à des campagnes contre des entités opérant sur la Seine dans le but de perturber la cérémonie d'ouverture.

Bilan ANSSI 2021-2024

Entre janvier 2021 et août 2024, l'ANSSI a recensé 31 incidents de compromission impliquant des entités du secteur de la gestion de l'eau. Bien qu'aucune hausse significative du nombre d'incidents n'ait été constatée, les motivations et les acteurs en cause ont évolué au fil des années.

En 2024, le montant moyen des rançons pour le secteur de l'eau et de l'énergie atteignait 2,5 millions de dollars, un montant dissuasif pour de nombreuses collectivités.

Mesures techniques prioritaires : traduction opérationnelle de l'article 21 NIS2

L'article 21 de la directive NIS2 impose dix mesures minimales de gestion des risques. Voici les mesures les plus critiques pour le secteur de l'eau potable :

1. Analyse de risques sécurité des SI

Réaliser une cartographie complète des systèmes SCADA, automates, interfaces de télégestion, et conduire une analyse formelle des scénarios de menace (utiliser EBIOS Risk Manager, méthodologie ANSSI). Identifier les actifs critiques (chloration, supervision des pompages, systèmes de qualité de l'eau) et leur niveau d'exposition. → Lien : /mesures/analyse-risques-securite-si

2. Sécurisation de la chaîne d'approvisionnement

Maîtriser la sécurité des fournisseurs SCADA, intégrateurs, prestataires d'infogérance et de maintenance. Auditer contractuellement les tiers et exiger des preuves de conformité (qualifications ANSSI, ISO 27001, IEC 62443). → Lien : /mesures/chaine-approvisionnement

3. Segmentation IT/OT et cryptographie

Isoler physiquement ou logiquement les réseaux SCADA des réseaux bureautiques. Déployer des passerelles industrielles (diodes, pare-feux IEC 62443), interdire les accès directs depuis Internet, chiffrer les flux de données et journaux. → Lien : /mesures/cryptographie-chiffrement

4. MFA et sécurisation des accès distants

Imposer l'authentification multi-facteurs pour tout accès distant aux systèmes de supervision et de télégestion (VPN, solutions PAM). Révoquer automatiquement les comptes d'anciens collaborateurs et prestataires. → Lien : /mesures/mfa-communications-securisees

5. Gestion des incidents et notification 24h

Mettre en place un processus de détection (SIEM, EDR/XDR), de qualification et de remontée des incidents cyber. Préparer les modèles de notification réglementaire au CERT-FR dans le délai de 24 heures imposé par NIS2. → Lien : /mesures/gestion-incidents

6. Continuité d'activité (PCA/PRA)

Identifier les modes dégradés de pilotage manuel en cas d'indisponibilité du SCADA. Garantir des sauvegardes hors ligne des configurations automates, testées régulièrement, et documenter les plans de reprise. → Lien : /mesures/continuite-activite

7. Cyber-hygiène et formation

Former les opérateurs de station, techniciens et dirigeants aux risques cyber OT : hameçonnage, clés USB infectées, usage de TeamViewer non sécurisé. Maintenir à jour les systèmes (patcher Windows, automates, équipements réseau). → Lien : /mesures/cyber-hygiene-formation

L'approche sectorielle recommandée s'appuie sur la norme IEC 62443 (cybersécurité des systèmes industriels) pour traduire opérationnellement NIS2 en environnement OT.

Prestataires qualifiés ANSSI à mobiliser

Le secteur de l'eau potable nécessite un accompagnement spécialisé combinant expertise IT et OT. L'annuaire officiel des prestataires qualifiés ANSSI (cyber.gouv.fr/produits-services-qualifies) référence les qualifications suivantes, particulièrement utiles pour les opérateurs d'eau :

• PASSI (Prestataire d'Audit de la Sécurité des Systèmes d'Information) : audit technique des SI, revues d'architecture, tests d'intrusion sur environnements SCADA.
• PASSI-LPM (PASSI Loi de Programmation Militaire) : pour les opérateurs d'importance vitale (OIV) soumis au régime LPM, notamment les grandes régies et délégataires nationaux.
• PRIS (Prestataire de Réponse aux Incidents de Sécurité) : intervention urgente en cas de compromission (ransomware, destruction de données, manipulation de paramètres SCADA).
• PDIS (Prestataire de Détection des Incidents de Sécurité) : supervision continue (SOC) adaptée aux environnements OT, détection d'anomalies sur trafic industriel.
• PACS (Prestataire d'Accompagnement et de Conseil en Sécurité) : cadrage NIS2, rédaction de PSSI, mise en conformité opérationnelle, pilotage de projet cyber.

Pour les opérateurs souhaitant héberger des données sensibles dans le cloud, la qualification SecNumCloud garantit un niveau de confiance aligné sur les exigences ANSSI (protection contre les réquisitions juridiques extra-européennes, réversibilité, localisation FR/UE).

→ Explorer l'annuaire : /prestataires

Calendrier et prochaines étapes : Loi Résilience, ReCyF, MonEspaceNIS2

Premier semestre 2026 : promulgation attendue de la Loi Résilience française, puis publication des décrets et arrêtés techniques au deuxième trimestre 2026. Le retard législatif (échéance européenne dépassée au 17 octobre 2024) expose la France à des amendes de la Commission européenne.

17 mars 2026 : l'ANSSI a publié le Référentiel Cyber France (ReCyF), cadre méthodologique aligné sur l'article 14 de la Loi Résilience. Le ReCyF est non-obligatoire à ce stade, mais les entités qui choisissent de l'appliquer pourront s'en prévaloir en cas de contrôle. C'est une base concrète pour structurer sa démarche sans attendre la promulgation définitive.

Pré-enregistrement MonEspaceNIS2 : le pré-enregistrement sur MonEspaceNIS2, la plateforme officielle de l'ANSSI, est ouvert depuis novembre 2025, afin que les dirigeants anticipent leurs obligations futures. Les opérateurs peuvent auto-évaluer leur éligibilité et accéder aux ressources de mise en conformité.

2025-2027 : période transitoire : l'ANSSI accorde un délai de tolérance de trois ans pour atteindre une conformité complète. Toutefois, les notifications d'incidents sont déjà obligatoires dès la transposition, et les contrôles progressifs démarreront dès 2026.

Sanctions : jusqu'à 7 M€ ou 1,4 % du chiffre d'affaires mondial pour les entités importantes, jusqu'à 10 M€ ou 2 % du chiffre d'affaires mondial pour les entités essentielles. En cas de récidive, l'ANSSI peut suspendre temporairement les services, retirer les dirigeants responsables ou rendre publiques les sanctions.

Feuille de route pour les opérateurs

1. Dès maintenant : s'inscrire sur MonEspaceNIS2 pour vérifier l'éligibilité, consulter le ReCyF, cartographier les systèmes SCADA et IT.
2. T2 2026 : lancer un audit PASSI ciblé OT/SCADA, identifier les écarts par rapport aux 10 mesures de l'article 21.
3. T3-T4 2026 : mettre en œuvre les correctifs prioritaires (segmentation IT/OT, MFA, sauvegardes hors ligne, formation).
4. 2027 : structurer un dispositif de supervision continue (PDIS/SOC), tester les PCA/PRA, contractualiser les clauses NIS2 avec les prestataires SCADA.

L'ANSSI met à disposition des guides sectoriels et des webinaires thématiques sur cyber.gouv.fr. L'Astee (Association scientifique et technique pour l'eau et l'environnement) a publié un guide d'application dédié, référence pour les petites et moyennes collectivités.