Les cybermenaces visant les systèmes de gestion des eaux du Canada : Évaluation et atténuation

Secteur de la gestion des eaux du Canada

La santé publique et environnementale passe par l’accès à l’eau potable^{Note de bas de page 1}. Les systèmes de traitement de l’eau potable, des eaux pluviales et des eaux usées (appelés collectivement systèmes de gestion des eaux) ont plusieurs utilités importantes sur le plan de l’économie, de l’environnement et de la sécurité. Une perte d’eau n’a donc pas seulement une incidence sur la population; elle peut aussi nuire à d’autres infrastructures essentielles. Par exemple, en 2024, des bris de conduites d’eau maîtresses ayant eu lieu à Calgary et à Montréal ont eu des répercussions sur d’autres systèmes, dont les hôpitaux, les services de prévention des incendies et les universités^{Note de bas de page 2}. C’est donc pour ces raisons, entre autres, que nos systèmes de gestion des eaux font partie des infrastructures essentielles du Canada (figure 1)^{Note de bas de page 3}. Les perturbations des systèmes de gestion des eaux représentent plus qu’une menace visant la santé publique et la sécurité de la population; elles nuisent aussi à la confiance du public, à l’environnement et à l’économie^{Note de bas de page 4}. La cybersécurité de nos systèmes de gestion des eaux est donc essentielle à la sécurité nationale du Canada.

On entend par infrastructures essentielles les processus, les systèmes, les installations, les technologies, les réseaux, les biens et les services qui sont essentiels à la santé, à la sécurité ou au bien-être économique des Canadiens et des Canadiennes, ainsi qu’au fonctionnement efficace du gouvernement.

Description détaillée - Figure 1 : Infrastructures essentielles

Des icônes représentant les 10 secteurs d’infrastructures essentielles au Canada :

• Énergie et services publics
• Finances
• Alimentation
• Santé
• Gouvernement
• Sûreté
• Gestion de l'eau
• Transports
• Technologies de l'information et des communications
• Secteur manufacturier

Exposition aux menaces visant les systèmes de gestion des eaux du Canada

Un système de gestion des eaux comporte généralement l’infrastructure et les services permettant d’obtenir, de stocker, de filtrer et de distribuer l’eau potable, de détourner le ruissellement naturel et les eaux des crues, ainsi que de retirer, de collecter et de traiter les eaux usées avec fiabilité et en toute sécurité. Le Canada dispose de centaines de systèmes de gestion des eaux dont la taille varie grandement. Un petit nombre de services d’eau importants desservent de grandes zones urbaines, tandis que des organisations internationales gèrent des systèmes partagés. Parallèlement, des municipalités, d’autres paliers de gouvernement, des communautés autochtones, des entreprises du secteur privé et de simples citoyennes et citoyens possèdent et exploitent de nombreux petits systèmes de gestion des eaux^{Note de bas de page 5}.

Les systèmes de gestion des eaux sont exploités de diverses façons. Parmi ces systèmes, bon nombre d’entre eux sont complètement manuels, voire passifs, et n’exigent pratiquement aucune gestion active. C’est notamment le cas pour la plupart des systèmes de distribution d’eau et de gestion des eaux pluviales. En revanche, les grands systèmes urbains de gestion des eaux sont habituellement des systèmes industriels dispersés géographiquement qui sont exploités depuis un environnement de contrôle numérique. Ces systèmes incluent bon nombre de dispositifs de TO qui sont gérés à distance et intégrés dans des barrages, des postes de pompage et des installations de traitement. Ces systèmes comprennent aussi un réseau de fournisseurs de produits et de services numériques connectés.

Bon nombre de ces systèmes de gestion des eaux sont gérés à partir d’installations municipales ou communautaires et sont donc exposés à toutes les cybermenaces auxquelles font face les organisations publiques. Plus une organisation possède de biens connectés à Internet, plus son exposition aux menaces est grande. Une exposition accrue aux menaces augmente le nombre de cybermenaces auxquelles fait face une organisation^{Note de bas de page 6}. En plus d’être de plus en plus connectés à Internet, la plupart des systèmes de gestion des eaux sont exploités par de petites organisations du secteur public et font fréquemment face à des défis qui peuvent menacer la cybersécurité, par exemple de faibles ressources financières, des infrastructures numériques et physiques vieillissantes, et un manque d’expertise en cybersécurité^{Note de bas de page 7}.

Le rôle des technologies opérationnelles dans nos systèmes de gestion des eaux

Les exploitants ont recours à des TO industrielles, dont la télésurveillance et l’acquisition de données (SCADA pour supervisory control and data acquisition) ainsi qu’à des dispositifs Internet industriel des objets pour gérer les systèmes de gestion des eaux importants et régler des enjeux comme la croissance de la population, les infrastructures désuètes et la baisse des revenus^{Note de bas de page 8}. Ces systèmes servent à contrôler l’équipement lié aux systèmes de gestion des eaux, comme les valves, les pompes et les vannes de barrage, ainsi que pour surveiller les capteurs, comme les détecteurs chimiques et les moniteurs de débit. Les TO intégrés dans les systèmes de gestion des eaux évoluent continuellement et sont de plus en plus gérées au moyen de dispositifs numériques intégrant des capacités informatiques et des capacités de communication intégrées^{Note de bas de page 9}. Ce processus, appelé transformation numérique ou digitalisation, permet aux exploitants de biens de TO, comme ceux du secteur de la gestion des eaux, de connecter leurs dispositifs de TO à des centres opérationnels, à des réseaux internes et, de plus en plus, à Internet directement. Selon un sondage datant de 2021, on comptait plus de 60 000 interfaces réseau liées à des TO au Canada^{Note de bas de page 10}. En 2023, un sondage similaire qui a été mené sur des dispositifs connectés à Internet associés surtout à des systèmes de gestion des eaux aux États-Unis et au Royaume-Uni a permis de déterminer que relativement peu de pratiques exemplaires en cybersécurité étaient adoptées. En effet, presque la moitié des dispositifs pouvaient être manipulés sans qu’une personne n’ait à s’authentifier^{Note de bas de page 11}.

Malheureusement, bien que la connexion de TO transformées par le numérique permet de faire des économies et des gains d’efficacité, elle expose aussi les systèmes de gestion des eaux à des cybermenaces^{Note de bas de page 10}. Par exemple, au début des années 2000, un employé a été congédié d’une entreprise qui desservait Maroochy Water Services dans l’État de Queensland, en Australie. Il avait conservé son accès à distance au réseau auquel étaient connectés les dispositifs de TO dans la station de pompage du système de traitement des eaux usées^{Note de bas de page 12}. Il a profité de cet accès pour exécuter des commandes malveillantes visant les dispositifs de TO, afin de déverser près d’un million de litres d’eaux d’égout brutes dans des parcs et des rivières de la région, ce qui a causé de graves dommages environnementaux, selon les autorités^{Note de bas de page 13}. Il s’agit là du premier exemple où un accès à distance à un système public de gestion des eaux a été exploité pour perturber ou saboter des systèmes de TO. Cet exemple illustre le potentiel des cybermenaces dans la compromission de la sécurité publique et environnementale et dans l’économie locale^{Note de bas de page 10}. Nous évaluons que les réseaux de TO qui surveillent et contrôlent les processus physiques constituent très probablement la cible principale d’auteurs de cybermenace qui cherchent à perturber les systèmes de gestion des eaux..

Les cybermenaces visant les chaînes d’approvisionnement en hausse

Les services des systèmes de gestion des eaux reposent souvent sur une chaîne d’approvisionnement diversifiée de produits et de services numériques pour exploiter et moderniser leurs biens de TO, et assurer leur maintenance. La chaîne d’approvisionnement pour ces produits et services comprend des fabricants, des fournisseurs, des intégrateurs, des entrepreneures et entrepreneurs, et des fournisseurs de services. La dépendance des TO des systèmes de gestion des eaux à l’égard de la chaîne d’approvisionnement représente une vulnérabilité critique qui offre aux auteurs de cybermenace de l’information privilégiée sur les systèmes TO protégés autrement ainsi que des occasions de les infiltrer.

Des auteurs de cybermenace ciblent les chaînes d’approvisionnement numériques de certaines organisations pour recueillir de l’information commerciale ou contextuelle qu’ils utilisent lors d’attaques par piratage psychologique, ou de l’information sur les systèmes ou les réseaux organisationnels pour aider à mener de futures cyberattaques. Les activités menées contre une chaîne d’approvisionnement numérique peuvent également être une façon indirecte d’accéder aux réseaux de l’organisation visée lorsqu’il y a un transfert d’information continu, par exemple durant des mises à jour logicielles ou des connexions d’accès réseau entre l’organisation et ses fournisseurs. À la fin de 2019, un auteur de cybermenace doté de moyens sophistiqués a compromis SolarWinds, un fournisseur de services logiciels. Les auteurs de menace, dont on attribue l’affiliation aux services de renseignement russes, se sont servis de leur accès à l’environnement de développement de SolarWind pour intégrer du code malveillant dans une mise à jour logicielle. La mise à jour compromise a permis aux auteurs de menace d’accéder à des milliers de réseaux clients dans le monde, y compris plus de 100 réseaux au Canada^{Note de bas de page 14}.

Les cyberoutils accessibles au public augmentent le volume et l’efficacité des activités de cybermenace

Selon nos observations, il est presque certain que des auteurs de cybermenace utilisent de plus en plus des cyberoutils accessibles au public pour obtenir et maintenir un accès aux réseaux des infrastructures essentielles. Le ciblage des TO du secteur de la gestion des eaux par des auteurs de menace de tous les niveaux de sophistication est ainsi facilité. La grande disponibilité de ces outils, y compris des outils légitimes de test de pénétration comme Cobalt Strike, diminue la barrière à l’entrée aux activités de cybermenace et augmente la capacité des auteurs de cybermenace à obtenir, à maintenir et à accroître l’accès aux systèmes visés^{Note de bas de page 15}.

La prolifération des cyberoutils accessibles au public est aussi avantageuse pour les auteurs de cybermenace dotés de moyens sophistiqués. En effet, ils utilisent souvent une combinaison d’outils accessibles au public et de techniques d’exploitation des ressources locales, si possible, et de maliciels sur mesure au besoin. Par exemple, Volt Typhoon, Flax Typhoon et APT40, qui sont des auteurs de menace associés à la République populaire de Chine (RPC), utilisent couramment un ensemble diversifié d’outils et tiennent probablement un catalogue étendu de maliciels sur mesure ou de source ouverte^{Note de bas de page 16}. Les techniques d’exploitation des ressources locales reposent uniquement sur des outils et des processus légitimes qui sont déjà présents dans l’environnement de la victime, par exemple Windows PowerShell ou Windows Management Instrumentation, pour mener des activités malveillantes^{Note de bas de page 17}. Grâce à ces techniques, des auteurs de cybermenace peuvent fondre leurs activités malveillantes dans des activités normales du réseau. En recourant à des outils génériques accessibles au public et à des techniques d’exploitation des ressources locales, les auteurs de menace dotés de moyens sophistiqués limitent la signature distincte qu’ils laissent sur un réseau ciblé, ce qui complique encore davantage la détection des activités de cybermenace et l’affiliation de la source associée à ces activités^{Note de bas de page 18}.

La menace émanant des cybercriminelles et cybercriminels

Nous estimons que les cybercriminelles et cybercriminels ayant des motivations financières représentent la cybermenace qui risque le plus de perturber les systèmes de gestion des eaux. Nous jugeons qu’il est presque certain que des cybercriminelles et cybercriminels continueront d’exploiter les organisations et les systèmes du secteur de la gestion des eaux en recourant à l’extorsion par rançongiciel, en exploitant de l’information volée et en commettant des fraudes du président. Dans une fraude du président, un auteur de menace exploite des comptes courriel qui sont compromis pour pousser des personnes à transférer de l’argent ou de l’information sensible à des comptes qui sont sous son contrôle, tandis qu’un rançongiciel est un maliciel qui chiffre des données ou qui verrouille des dispositifs dans le but d’extorquer une rançon à une organisation ciblée^{Note de bas de page 19}. Il est vrai que les fraudes du président sont probablement plus courantes et coûteuses que les attaques par rançongiciel pour les victimes. Cependant, les rançongiciels peuvent perturber certaines activités, comme la distribution d’eau potable, en retirant la visibilité ou le contrôle par rapport à des processus industriels importants^{Note de bas de page 20}. Selon nos observations, il est presque certain que les rançongiciels sont la cybermenace la plus importante contre la distribution fiable en eau au Canada, en raison des répercussions que pourraient subir les systèmes de TO. Les cybercriminelles et cybercriminels savent que la perturbation de produits et de services essentiels permet d’augmenter la pression sur une organisation pour qu’elle verse une rançon^{Note de bas de page 21}. Par exemple, des attaques par rançongiciel ont perturbé des systèmes de traitement des eaux en Californie, dans le Maine et au Nevada en 2021, de même qu’au Kansas en 2024, ce qui a forcé les exploitants des systèmes ciblés à opérer manuellement leurs systèmes de TO afin d’assurer le maintien du service^{Note de bas de page 22}.

Les incidents par rançongiciel sont de plus en plus complexes et coûteux à régler

Selon nos observations, il n’y a pas de doute que les attaques par rançongiciel visant des organisations liées aux infrastructures essentielles, dont celles du secteur de la gestion des eaux, deviennent plus fréquentes ainsi que plus coûteuses et complexes à régler. De 2021 à 2024, le nombre d’incidents par rançongiciel observés s’est accru au sein des secteurs. Les montants des demandes de rançon, les coûts relatifs à la reprise des activités, ainsi que la sophistication et la complexité des tactiques utilisées dans la cybercriminalité sont également en hausse^{Note de bas de page 23}. Ces tendances découlent de la prolifération des variantes de rançongiciels-services (RaaS pour ransomware-as-a-service), de l’écosystème de cybercriminalité comme service (CaaS pour cybercrime-as-a-service) et de l’utilisation accrue de multiples méthodes d’extorsion^{Note de bas de page 24}.

Les cybercriminelles et cybercriminels ont largement adopté la pratique consistant à voler des données sensibles et à menacer les victimes de divulguer l’information volée; cette façon de faire est soit un complément à l’extorsion traditionnelle qui repose sur le chiffrement, soit la technique d’extorsion principale qu’ils utilisent. Au début de 2023, le groupe cybercriminel CL0P a exploité une vulnérabilité dans MOVEit Transfer, qui est un outil de transfert de fichiers développé par Progress Software. Les attaques menées par CL0P étaient de grande portée. Elles lui ont permis de voler de l’information appartenant à des groupes gouvernementaux, publics et d’affaires partout dans le monde, notamment les fichiers liés aux services d’eau de la municipalité de Queens, en Nouvelle-Écosse^{Note de bas de page 25}. Au début de 2024, deux différents groupes cybercriminels ont mené des attaques par rançongiciel contre des organisations du secteur de la gestion des eaux situées en Amérique du Nord et au Royaume-Uni. Les groupes ont ainsi perturbé des systèmes de TI et divulgué des données volées, dont des données commerciales et des renseignements personnels^{Note de bas de page 26}.

Les marchés de la cybercriminalité offrent des services spécialisés et empirent les conséquences pour les victimes

Le cybercrime évolue constamment afin de maximiser les profits et d’augmenter les paiements extorqués aux victimes^{Note de bas de page 27}. L’écosystème CaaS permet la spécialisation et la division du travail parmi les groupes cybercriminels. Ils peuvent ainsi accéder à une variété de services, dont des services de courtier pour l’accès à des réseaux, d’accès à des variantes de RaaS et de blanchiment d’argent. Les courtiers d’accès obtiennent de façon opportuniste des accès à des réseaux au sein d’organisations victimes. Ils les vendent ensuite à d’autres cybercriminelles et cybercriminels, qui effectuent alors des activités de reconnaissance et utilisent le piratage psychologique pour trouver des cibles contre lesquelles déployer des rançongiciels. Pour choisir ces cibles, les cybercriminelles et cybercriminels cernent souvent les organisations qui sont les plus susceptibles de payer une rançon et qui sont le plus en mesure de le faire^{Note de bas de page 19Note de bas de page 27}. Nous jugeons que l’écosystème CaaS augmente presque assurément le nombre de personnes prenant part au cybercrime, car il permet à des auteurs de menace disposant de moyens peu sophistiqués sur le plan technique de réaliser des activités de cybermenace.

Les cybermenaces parrainées par un État qui ciblent les systèmes de gestion des eaux

Nous estimons que les systèmes de gestion des eaux représentent presque assurément une cible stratégique pour les auteurs de cybermenace parrainés par un État. Ces activités de cybermenace perturbatrices ou destructrices visent à démontrer la puissance de l’État qui les parraine. Des auteurs de cybermenace parrainés par un État se prépositionnent pour ce type d’activités en trouvant et en obtenant des accès à des systèmes de TO connectés à Internet ou à des réseaux de TI à partir desquels ils peuvent se déplacer latéralement vers les systèmes de TO. Une fois entrés dans le réseau ciblé, ils recueillent de l’information sur les biens faisant partie du réseau afin de trouver des activités perturbatrices ou destructrices possibles. Par exemple, ils pourraient causer le débordement de réservoirs d’eau ou changer l’équilibre chimique relatif aux processus de traitement des eaux. Selon nos observations, il est presque certain que des auteurs de cybermenace parrainés par un État ont déjà développé un accès aux systèmes de gestion des eaux du Canada. Toutefois, nous estimons que ces auteurs de menace perturberaient vraisemblablement ces systèmes uniquement en période de crise ou de conflit entre États.

Des auteurs de cybermenace parrainés par un État ont ciblé des systèmes et des organisations du secteur de la gestion des eaux partout dans le monde à des fins d’espionnage et de perturbation ou de destruction. En 2013, dans un des premiers exemples de cyberactivités parrainées par un État visant les TO d’un système de gestion des eaux, des auteurs de menace iraniens ont accédé au système SCADA d’un petit barrage situé dans l’État de New York. Cet accès leur a permis d’obtenir de l’information sur l’état du barrage et sur la capacité d’opérer ses vannes, ce qui aurait pu avoir des conséquences sur les niveaux et les débits d’eau dans le bassin-versant. Au moment de la compromission, on effectuait des travaux d’entretien. Les auteurs de menace n’ont donc pas obtenu un accès réel aux contrôles physiques du barrage^{Note de bas de page 28}.

En 2023, une unité de cybermenace du Corps des Gardiens de la révolution islamique d’Iran a eu recours au persona non étatique « CyberAv3ngers » pour compromettre l’autorité municipale de gestion des eaux d’Aliquippa, en Pennsylvanie. CyberAv3ngers a exploité un dispositif de TO de la série vision d’Unitronics qui était exposé au public. Il s’est servi des mots de passe par défaut pour défigurer l’interface du système en promouvant un message anti-israélien. Cette activité s’inscrivait dans une campagne à grande échelle dont les cibles étaient des dispositifs de TO couramment utilisés et fabriqués en Israël, probablement afin de réduire le soutien envers Israël au sein de pays occidentaux. L’altération de l’interface utilisateur du contrôleur exige un niveau d’accès complet aux paramètres du dispositif ainsi qu’un possible accès à d’autres dispositifs sur le réseau. On ignore si des activités de cybermenace autres que la défiguration de l’interface étaient prévues ou si elles ont été menées^{Note de bas de page 29}.

En 2023 et en 2024, le Centre pour la cybersécurité et ses partenaires ont publié les bulletins conjoints qui suivent pour aviser les organisations liées aux infrastructures essentielles de l’existence de Volt Typhoon, un groupe de cybermenace parrainé par la RPC :

• Conseils à l’intention des cadres supérieurs et des chefs d’organisations liées aux infrastructures essentielles sur la protection des infrastructures et des fonctions essentielles contre les cyberactivités menées par la RPC
• Le CST et son Centre canadien pour la cybersécurité publient un bulletin sur une cybermenace parrainée par la République populaire de Chine
• Bulletin conjoint sur des auteurs de menace parrainés par la RPC compromettant les infrastructures essentielles américaines pour établir un accès permanent, et conseils pour identifier et atténuer les attaques hors sol

On observe les activités de Volt Typhoon depuis le milieu de 2021. Ce groupe cible le secteur de la gestion des eaux et les organisations des secteurs des communications, des transports et de l’énergie^{Note de bas de page 30}. Volt Typhoon choisit des cibles de façon stratégique, en se prépositionnant au sein d’organisations dont la perturbation limiterait les efforts de mobilisation militaires et entraînerait un chaos dans la société. Le Centre pour la cybersécurité juge que la menace directe que pose Volt Typhoon pour les infrastructures essentielles du Canada est moindre que celle à laquelle font face les États-Unis. Il s’agit toutefois d’une menace non négligeable, surtout pour les organisations canadiennes qui dépendent d’opérations, d’infrastructures et d’échanges commerciaux transfrontaliers. De plus, la probabilité qu’une cyberattaque ait des répercussions sur les infrastructures essentielles du Canada est supérieure à ce qu’on anticipe généralement en raison des connexions entre les infrastructures américaines et canadiennes.

Auteurs de menace non étatiques : une menace croissante

Le Centre pour la cybersécurité a indiqué dans son Évaluation des cybermenaces nationales 2025-2026 que les auteurs de cybermenace non étatiques représentaient une menace croissante pour les infrastructures essentielles du Canada. La grande prolifération de cybercapacités perturbatrices qui sont faciles à utiliser contribue à l’émergence d’un écosystème important d’hacktivistes et d’autres auteurs de menace non étatiques qui ciblent le Canada et ses alliés de façon opportuniste pour une variété de raisons. Ces activités visent souvent à intimider ou à contraindre les cibles ou bien à influencer l’opinion publique ou les décisions politiques du Canada concernant des événements géopolitiques à l’étranger.

Les activités de cybermenace non étatiques ciblent souvent des sites Web publics en adoptant certaines techniques, dont des attaques par déni de service distribué et des attaques par défiguration de sites Web. Toutefois, certains auteurs de cybermenace non étatiques choisissent aussi de cibler et de perturber des systèmes de TO vulnérables qui sont connectés à Internet. Bien que des auteurs de cybermenace non étatiques ciblent des TO au sein de tous les secteurs des infrastructures essentielles, il faut savoir qu’une grande partie de ces activités visent des TO associées à des systèmes de gestion des eaux.

En mai 2024, le Centre pour la cybersécurité et ses partenaires ont émis un bulletin conjoint servant de mise en garde contre des auteurs pro-russes non étatiques qui ciblaient des systèmes industriels exposés à Internet. Ces pirates repèrent leurs cibles de façon opportuniste à l’aide d’outils de balayage publics. Ils sont à la recherche de systèmes exposés à Internet dont les configurations sont vulnérables en raison, par exemple, du recours à des mots de passe faibles ou par défaut, ou de la non-utilisation de l’authentification multifacteur^{Note de bas de page 31}. Une fois entrés dans ces systèmes, ils tentent de les perturber en défigurant les interfaces de système, en changeant la configuration et en manipulant les contrôles de système. Les systèmes de TO peuvent alors agir de façon imprévue, des perturbations opérationnelles peuvent avoir lieu et les systèmes peuvent être endommagés physiquement. Par exemple, au début de 2024, un auteur de menace non étatique a fait déborder des réservoirs d’eau situés dans les villes d’Abernathy et de Muleshoe, au Texas, en compromettant les systèmes de TO qui contrôlaient les réservoirs, ce qui a entraîné la perte d’environ 100 000 litres d’eau^{Note de bas de page 32}.

Le Centre pour la cybersécurité est au fait de plusieurs cas où des auteurs de menace non étatiques ont également tenté de perturber des systèmes de TO exposés à Internet au Canada, y compris au sein de systèmes de gestion des eaux. Nous évaluons qu’il est très probable que des auteurs de cybermenace non étatiques continuent de compromettre et de perturber les TO des systèmes de gestion des eaux du Canada qui sont exposés à Internet, surtout en lien avec des événements géopolitiques majeurs.

Perspective : Ce que tout cela signifie pour le secteur de la gestion des eaux du Canada

Selon les observations présentées dans l’Évaluation des cybermenaces nationales 2025-2026, il est fort probable que le nombre de cybermenaces visant les infrastructures essentielles du Canada augmente. Nous jugeons que les principales menaces visant les infrastructures essentielles proviennent de cybercriminelles ou cybercriminels, d’adversaires parrainés par des États et, de plus en plus, d’auteurs de menace non étatiques. Les changements à la conjoncture géopolitique rehaussent le profil des infrastructures essentielles et l’importance de diriger des cyberactivités contre elles. Il y a également l’interconnectivité croissante des TI et des TO dans le secteur de la gestion des eaux qui donne lieu à une augmentation des cybermenaces ciblant la distribution de l’eau.

Si une infrastructure associée à la gestion des eaux devenait prioritaire pour des auteurs de menace parrainés par des États, par exemple en cas de conflit armé imminent ou actif, nous jugeons qu’il est presque certain que toutes les organisations associées à des systèmes de gestion des eaux présentant des dispositifs de TO exposés à Internet seraient visées par des activités de cybermenace perturbatrices. Il faut aussi ajouter que des activités de cybermenace ciblant d’autres secteurs peuvent avoir un effet sur les systèmes de gestion des eaux, compte tenu de l’interconnexion des infrastructures et de la complexité de la chaîne d’approvisionnement. À titre d’exemple, nommons les systèmes dans les usines de traitement des eaux, les stations de pompage et les réseaux de distribution qui ne disposent pas de capacité d’alimentation de secours. Ils peuvent donc être vulnérables aux perturbations visant le secteur de l’énergie, ce qui peut engendrer des interruptions dans le traitement, le stockage et la distribution d’eau potable à la clientèle.

Pour défendre le secteur de la gestion des eaux du Canada contre les cybermenaces et les opérations d’influence connexes, il faut s’intéresser aux aspects techniques et sociaux liés aux activités de cybermenace, dont les menaces émanant de la chaîne d’approvisionnement ainsi que les technologies et la pénurie de main-d’œuvre dans le secteur. Il y a fort à parier que des dispositifs d’exploitants de systèmes de gestion des eaux au Canada sont exposés. Le Centre pour la cybersécurité encourage les propriétaires de biens liés aux infrastructures essentielles, notamment ceux dans le secteur de la gestion des eaux, de prendre les mesures d’atténuation nécessaires pour protéger leurs systèmes contre les cybermenaces.

Atténuation