Eaux usées et NIS2 : la cybersécurité devient un enjeu sanitaire et environnemental critique

La directive NIS2 place le secteur de l'assainissement des eaux usées sous surveillance réglementaire renforcée. Stations d'épuration, réseaux de collecte, télégestion SCADA : ces infrastructures locales et souvent sous-dotées deviennent cibles prioritaires pour les cybercriminels et doivent désormais répondre à des exigences de cybersécurité contraignantes.

Périmètre NIS2 : quelles entités du secteur eaux usées sont concernées

Le secteur des eaux usées est classé en Annexe I de la directive NIS2, parmi les secteurs hautement critiques. Cette catégorisation inclut l'ensemble de la chaîne de collecte, évacuation et traitement des eaux usées domestiques et industrielles.

En France, le périmètre couvre le "petit cycle de l'eau" – prélèvement, potabilisation, stockage, distribution, collecte et assainissement – domaine dans lequel les communes et EPCI ont un rôle majeur. Concrètement, seront concernées :

• Syndicats intercommunaux d'assainissement au-delà de seuils définis de population desservie
• Régies municipales d'assainissement pour les communes et EPCI assurant la gestion directe
• Délégataires d'assainissement (Veolia, Suez, Saur) dans le cadre de délégations de service public
• Stations d'épuration industrielles de taille significative
• Gestionnaires de réseaux séparatifs ou unitaires

Parmi les entités ayant rapporté des évènements de sécurité à l'ANSSI, 74% sont des entités publiques, témoignant de l'hétérogénéité des acteurs : EPCI sans fiscalité propre, syndicats mixtes, établissements publics administratifs ou industriels et commerciaux.

Cadre réglementaire : articulation NIS2 avec le droit français de l'eau

La transposition française de NIS2 se fait via le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (Loi Résilience). Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité transpose en droit français les directives européennes NIS2, REC et Dora.

Au 9 mai 2026, l'état de la transposition est le suivant : la date évoquée pour le vote en hémicycle est celle de juillet 2026, après une adoption au Sénat en première lecture en mars 2025 et un vote en commission spéciale à l'Assemblée nationale en septembre 2025.

Depuis le 17 mars 2026, l'ANSSI met à disposition le Référentiel Cyber France (ReCyF), qui liste les mesures recommandées par l'ANSSI pour atteindre les objectifs de sécurité fixés par NIS 2. Ce référentiel, bien que publié comme document de travail, permettra aux futurs assujettis qui décident de l'appliquer de s'en prévaloir en cas de contrôle de l'ANSSI.

Le secteur de l'assainissement doit également composer avec le Plan Eau 2023 qui est axé sur la réduction des consommations, la réutilisation des eaux usées, la lutte contre les fuites et la modernisation du réseau.

Spécificités cybersécurité du secteur eaux usées

Les infrastructures d'assainissement présentent une surface d'attaque particulièrement étendue et vulnérable. Dans une note datée du 28 novembre 2024, le CERT-FR (ANSSI) alerte sur le manque de protection de certains services d'eau et d'assainissement.

Une architecture industrielle vieillissante et dispersée

Plusieurs facteurs renforcent la vulnérabilité du secteur, au premier rang desquels l'hétérogénéité des acteurs : de grands opérateurs privés régulés par l'Anssi cohabitent avec de toutes petites communes sous-dotées en moyens informatiques. La télégestion des services via des réseaux non sécurisés "obsolètes" est courante.

Les systèmes SCADA (Supervisory Control and Data Acquisition) pilotent les pompes de relevage, la supervision des stations d'épuration et les traitements chimiques. Ces automates, souvent connectés via des accès distants mal sécurisés, constituent des portes d'entrée privilégiées pour les attaquants. Aujourd'hui tout est interconnecté, ces services sont extrêmement automatisés. Les hackeurs vont plus facilement s'attaquer à l'informatique de gestion qui est la plus ouverte, plus accessible par internet.

Impacts sanitaires et environnementaux d'une attaque

Une cyberattaque réussie sur une station d'épuration peut avoir des conséquences dramatiques : des installations bloquées, les eaux usées partent donc à la rivière. Les risques incluent :

• Contamination de cours d'eau par déversement d'effluents non traités
• Retour d'eaux usées dans le réseau d'eau potable en cas de gestion combinée eau/assainissement
• Altération des traitements chimiques, avec risque de rejet toxique dans l'environnement
• Interruption prolongée du service, plusieurs semaines, voire plusieurs mois, pour s'en relever après une cyberattaque

Intercommunalisation : une complexité supplémentaire

Le transfert obligatoire de la compétence assainissement aux établissements publics de coopération intercommunale (EPCI) est fixé au 1er janvier 2026. Les interconnexions réseau réalisées dans le cadre de ces intercommunalités peuvent générer une augmentation des impacts en cas d'attaques informatiques. Cette mutualisation accroît la surface d'attaque et dilue parfois les responsabilités.

Incidents marquants dans le secteur eaux usées

Oloron-Sainte-Marie (Pyrénées-Atlantiques, septembre 2021)

Les cyberattaquants ont profité d'une faille dans le système de gestion automatisée des pompes de relevage de la station d'épuration. C'est au moment de la maintenance par la PME ASCII que tous les écrans se sont éteints et un message est apparu avec une demande de rançon. Une partie des données a été détruite mais les criminels n'ont pas réussi à prendre le contrôle du service d'assainissement. La facture de 12 000 euros est tout de même salée pour ce territoire de 10 000 habitants.

Syndicat des eaux d'outre-mer (juillet 2022)

Le chiffrement d'un syndicat des eaux par le rançongiciel Lockbit. Le syndicat, en charge de l'eau et de l'assainissement, avait confié l'exploitation de ces services à deux sociétés. Le système d'information du syndicat est resté indépendant, limitant l'impact direct sur la distribution.

Commune française (avril 2024)

Le rapport cite l'exemple d'une commune frappée en avril 2024 par un rançongiciel, ce qui a provoqué la paralysie de la facturation et du système de pilotage de la production d'eau.

SIAAP — Service public de l'assainissement francilien (novembre 2023)

Le SIAAP (service public de l'assainissement francilien) avait alerté en novembre 2023 sur une attaque « très structurée ».

Ces incidents récents s'ajoutent aux cas internationaux documentés : en janvier 2021, un attaquant aurait pris le contrôle d'une station d'épuration de la région de San Francisco et aurait supprimé les programmes informatiques impliqués dans le traitement de l'eau potable. L'attaque a utilisé des identifiants d'anciens employés pour se connecter au logiciel TeamViewer.

Mesures techniques prioritaires pour le secteur eaux usées

Le Référentiel Cyber France (ReCyF) publié par l'ANSSI le 17 mars 2026 liste 20 objectifs de sécurité. Pour le secteur de l'assainissement, cinq mesures sont prioritaires :

1. Analyse de risques et cartographie des actifs critiques

Le cloisonnement des systèmes, la mise en place d'un chiffrement des échanges de données ou encore le durcissement des automates de traitement des eaux nécessitent d'abord une cartographie exhaustive des systèmes d'information industriels et de gestion. Chaque station d'épuration, chaque poste de relevage, chaque supervision doit être inventorié et classé selon sa criticité. Le guide de l'Astee publié en 2025 propose une méthodologie adaptée aux petites et moyennes collectivités.

Lien interne : /mesures/analyse-risques-securite-si

2. Segmentation réseau IT / OT

La segmentation réseau permet de cloisonner les différents systèmes pour limiter la propagation d'une attaque en isolant les sous-systèmes. Cela passe par la séparation entre les réseaux IT et les réseaux OT, ces derniers regroupant les systèmes opérationnels qui pilotent des équipements. Une station d'épuration typique doit segmenter : réseau de gestion/facturation, réseau de télésurveillance, réseau de contrôle-commande SCADA.

Lien interne : /mesures/securite-developpement

3. Gestion des incidents et plans de continuité d'activité

Si nous sommes attaqués sur la partie assainissement, cela peut poser de gros problèmes environnementaux. Si nous sommes bloqués et pas en mesure de produire de l'eau potable, cela met en grande difficulté une majorité de la population. Les exploitants doivent préparer des modes dégradés : basculement manuel des stations, procédures d'urgence pour éviter les déversements, communication de crise avec les ARS et les riverains.

Lien interne : /mesures/gestion-incidents
Lien interne : /mesures/continuite-activite

4. Sécurisation de la chaîne d'approvisionnement et des prestataires

C'est au moment de la maintenance par la PME spécialisée en automatisme et informatique industrielle qu'ils ont réussi à pénétrer dans le système d'information. Les télémainteneurs, automaticiens, intégrateurs SCADA sont des vecteurs d'intrusion fréquents. Les DSP et marchés publics doivent désormais intégrer des clauses cyber contraignantes, et renforcer les clauses cyber des DSP et se doter de plans de réponse aux incidents pour atténuer les risques et accroître la résilience des systèmes.

Lien interne : /mesures/chaine-approvisionnement

5. Formation et sensibilisation du personnel

85 % des attaques informatiques aboutissent après une erreur humaine. Cliquer sur un lien, ouvrir une pièce jointe et tout peut basculer, être paralysé, en une fraction de seconde. Les agents techniques en station d'épuration, les opérateurs de télégestion, les élus doivent recevoir une formation adaptée aux risques cyber propres aux systèmes industriels.

Lien interne : /mesures/cyber-hygiene-formation

Prestataires qualifiés ANSSI à mobiliser pour les eaux usées

Les collectivités et syndicats gestionnaires de l'assainissement manquent souvent de ressources internes. Le recours à des prestataires qualifiés devient indispensable. Voici les qualifications ANSSI les plus pertinentes pour ce secteur :

• PASSI — Prestataire d'Audit de la Sécurité des Systèmes d'Information : audit de conformité NIS2, audit d'architecture réseau IT/OT, tests d'intrusion sur les infrastructures SCADA.

• PRIS — Prestataire de Réponse aux Incidents de Sécurité : intervention d'urgence en cas de compromission, forensic post-incident, analyse des rançongiciels.

• PDIS — Prestataire de Détection des Incidents de Sécurité : déploiement de sondes de détection sur les réseaux OT, supervision 24/7, corrélation d'alertes.

• PACS — Prestataire d'Accompagnement et de Conseil en Sécurité : accompagnement à la mise en conformité NIS2, rédaction de PSSI, définition de l'architecture de sécurité.

L'ANSSI maintient l'annuaire des prestataires qualifiés à jour. Pour les infrastructures les plus critiques (notamment OIV), la qualification PASSI-LPM (Loi de Programmation Militaire) peut être requise.

Calendrier NIS2 et prochaines étapes pour le secteur eaux usées

Horizon juillet 2026 : promulgation de la Loi Résilience

Le vote est désormais attendu lors de la session extraordinaire de juillet 2026. Cette promulgation actionnera le démarrage formel du régime de supervision et de sanction.

Référentiel ReCyF : document de travail opposable

L'ANSSI a présenté ReCyF, le Référentiel Cyber France, qui liste les mesures recommandées par l'Agence pour atteindre les objectifs de sécurité fixés par NIS 2. Ce référentiel est, à ce stade, diffusé en tant que document de travail. Les collectivités et syndicats doivent déjà s'en emparer pour structurer leurs plans d'action.

MonEspaceNIS2 : enregistrement obligatoire

La plateforme MonEspaceNIS2 permet le pré-enregistrement des entités concernées depuis novembre 2025. Les syndicats et EPCI doivent s'y inscrire pour préparer la notification formelle.

Guides sectoriels en cours de publication

Le groupe de travail « Cybersécurité » de l'Astee a élaboré un Guide visant à accompagner les collectivités (de petite et de moyenne taille), dans la sécurisation de leurs réseaux d'eau potable et d'assainissement. Avec l'entrée en vigueur de la directive européenne NIS2, ce guide constitue une ressource précieuse.

Échéances opérationnelles pour les stations d'épuration

• T2-T3 2026 : publication des décrets d'application et arrêtés sectoriels précisant les seuils de désignation pour l'assainissement
• T4 2026–T1 2027 : notification formelle des entités essentielles et importantes par l'ANSSI
• 2027 : premiers contrôles ANSSI et premières demandes de mise en conformité documentée
• 2027–2029 : période de transition pour les plus petits acteurs, avec accompagnement renforcé

Le secteur de l'assainissement des eaux usées entre dans une nouvelle ère réglementaire. Entre janvier 2021 et août 2024, l'ANSSI a recensé 31 incidents de compromission impliquant des entités du secteur de la gestion de l'eau. En 2024, 16 incidents survenus pour la plupart entre mai et juillet étaient liés à des attaques DDoS revendiquées par des groupes hacktivistes, dans le contexte sensible des Jeux Olympiques et Paralympiques de Paris. La menace est réelle, documentée, et s'intensifie. Les collectivités qui anticipent dès maintenant leur mise en conformité — audit initial, segmentation réseau, renforcement des clauses DSP, formation des agents — disposeront d'un avantage opérationnel et juridique décisif.

Ressources officielles :

• Directive NIS2 : https://eur-lex.europa.eu/eli/dir/2022/2555/oj
• Portail ANSSI NIS2 : https://cyber.gouv.fr/la-directive-nis-2
• Plateforme MonEspaceNIS2 : https://monespacenis2.cyber.gouv.fr/
• Annuaire des prestataires qualifiés : https://cyber.gouv.fr/produits-services-qualifies
• Rapport CERT-FR secteur de l'eau (28 novembre 2024) : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2024-CTI-011.pdf