Entre janvier 2024 et octobre 2025, le Drinking Water Inspectorate (DWI), l'inspection britannique de l'eau potable rattachée au ministère de l'environnement, a reçu 15 signalements de la part des fournisseurs d'eau britanniques, selon le média Recorded Future News.
Dans le détail, cinq incidents concernaient des problèmes de sécurité informatique, touchant des "systèmes hors périmètre NIS", c'est-à-dire des outils informatiques internes qui ne sont pas directement liés à la distribution de l'eau et ne relèvent donc pas des obligations de signalement prévues par la réglementation NIS. Les dix autres portaient sur des incidents opérationnels sans lien avec la sécurité informatique (pannes techniques, erreurs humaines, défaillances opérationnelles...).
Pas de perturbation de la distribution de l'eau
Ces attaques n'ont pas perturbé la distribution d'eau elle-même. En revanche, elles ont affecté les systèmes informatiques des entreprises concernées. Le DWI indique que ces signalements ont été transmis "à titre informatif" car ils présentaient un risque potentiel pour la résilience de la distribution, rapporte le média.
Actuellement, la réglementation NIS - issue de la directive européenne NIS - impose de déclarer uniquement les incidents ayant un impact direct sur la fourniture d'un service essentiel. Autrement dit, un fournisseur victime d'une intrusion sans interruption du service n'a, pour l'heure, aucune obligation légale de le signaler.
Cette définition pourrait évoluer avec le futur Cyber Security and Resilience Bill. Maintes fois repoussé, ce projet de loi devrait être présenté par le gouvernement au Parlement d'ici la fin de l'année.
Des attaques aux conséquences potentiellement dramatiques
Si les attaques contre les systèmes industriels d'approvisionnement en eau restent rares, elles ne sont plus exceptionnelles. En 2021, un pirate informatique avait réussi à pénétrer dans le système d'information du traitement des eaux de la ville d'Oldsmar en Floride. Le criminel a tenté d'augmenter le niveau d'hydroxyde de sodium dans le circuit d'approvisionnement, connu sous le nom de soude caustique, mettant ainsi en danger les 15 000 habitants de cette ville américaine. Un technicien ayant rapidement intervenu, l'eau infectée n'a pas accédé au système de distribution évitant ainsi un empoisonnement massif.
Le Canada, de son côté, a signalé en octobre dernier une série d'attaques contre des systèmes de contrôle industriel, dont l'une ayant temporairement modifié la pression de l'eau dans un réseau local. En France, c'est le service d'assainissement des eaux de la commune d'Oloron-Sainte-Marie qui a été visé par un ransomware.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
