Montréal veut protéger son eau des pirates informatiques

Craignant de voir des pirates informatiques prendre le contrôle de ses usines de production d'eau potable, la Ville de Montréal a décidé d'embaucher une firme pour améliorer la sécurité de ses installations.

La métropole québécoise a entrepris de revoir de fond en comble sa sécurité informatique, notant « une forte augmentation des menaces de plus en plus complexes en cybersécurité ». La Ville entend notamment se doter d'un chef de la sécurité de l'information pour veiller à la protection de ses réseaux.

Parmi ses principales préoccupations, Montréal a décidé de resserrer la sécurité des équipements informatiques du Service de l'eau. Certains de ces réseaux permettent en effet de contrôler à distance des installations, tant des usines de production et de distribution de l'eau potable que de traitement des eaux usées.

La Ville a ainsi lancé un appel d'offres l'été dernier pour recruter une firme de sécurité informatique. Pas moins de 26 entreprises se sont intéressées au projet, mais seulement six ont déposé une offre formelle. Trois d'entre elles ont vu leur offre rejetée, n'obtenant pas le pointage minimal de 70 %. C'est finalement RHÉA Québec qui a décroché le contrat, pour 194 882 $.

Ce prix est nettement plus élevé que l'estimation qu'en faisait Montréal, qui s'attendait à payer 114 000 $. La Ville explique cet écart de 70 % par le fait qu'elle ne connaissait pas le tarif horaire des experts en sécurité informatique nécessaires pour réaliser ces travaux et que les efforts pour effectuer les tests d'intrusion sont plus importants que prévu.

L'entreprise aura pour mandat de tester la vulnérabilité des systèmes informatiques du Service de l'eau en tentant de s'introduire dans ses réseaux. La firme devra ensuite proposer des mesures de protection pour faire face aux menaces potentielles.

Une usine attaquée en 2015

Les attaques contre des usines d'eau sont loin d'être théoriques. En 2015, la firme Verizon, qui enquête sur des attaques informatiques, affirme avoir été embauchée après la détection d'anomalies dans les systèmes d'une installation desservant 2,5 millions de personnes en eau potable.

Les employés de cette usine, que Verizon a choisi de ne pas nommer, avaient noté d'étranges phénomènes pendant une période de 60 jours. Des valves avaient été activées à distance, modifiant la quantité de produits chimiques utilisés pour rendre l'eau potable, ainsi que la pression dans le système, provoquant des problèmes de distribution.

Les spécialistes informatiques ont rapidement découvert qu'il s'agissait bien de l'oeuvre de pirates. Par chance, il semble que ceux-ci ignoraient qu'ils avaient pris le contrôle de composantes d'une usine de production d'eau. « Cette intrusion était sérieuse et aurait facilement pu être critique », dit Verizon dans un rapport sur l'incident.

Les attaques de pirates sont de plus en plus fréquentes aux États-Unis, où des villes, écoles et hôpitaux ont rapporté en avoir été victimes ces dernières années. Signe de l'audace des pirates informatiques, cinq corps policiers du Maine ont même été forcés en 2015 de payer une rançon à des pirates qui avaient pris le contrôle de leurs ordinateurs.