La cybersécurité au service de la gestion de l’eau : Protégez, Diagnostiquez, Agissez

Publié le vendredi 6 février 2026
Temps de lecture : 5 min

Cet article a été rédigé par Gwenaëlle Martinet, directrice de l’offre cybersécurité chez Docaposte

Face aux menaces numériques de toutes natures (escroquerie, hacktivisme, espionnage, sabotage, menace étatique ou criminelle), la cybersécurité devient un sujet fondamental, pour toutes les structures, publiques ou privées, de toutes les tailles et de tous secteurs d’activité confondus. Les entités en charge de la gestion de l’eau n’y échappent pas et sont pleinement concernées pour assurer la sécurité de leurs activités : distribution, qualité de l’eau, traitement… Se faire accompagner pour gérer ce sujet, au travers d’un diagnostic et l’établissement d’un état des lieux, puis mettre en place des solutions efficaces, adaptées et accessibles est un impératif parfois complexe à appréhender. Néanmoins de nombreuses solutions existent et beaucoup d’acteurs sont déjà présents et pleinement opérationnels pour accompagner et fournir une assistance complète et adaptée aux capacités, aux moyens et aux enjeux de chacun. De plus, un nouveau dispositif règlementaire européen et français se déploie dès 2026 et propose un cadre commun à tous les acteurs du public comme du privé. Ce cadre va permettre de renforcer collectivement notre résilience numérique, nous rendre plus performants pour nous protéger efficacement.

Pourquoi la cybersécurité est un enjeu majeur pour les acteurs de la gestion de l’eau

Le secteur de la gestion de l’eau est vital : il est au cœur des infrastructures critiques de chaque pays. Les réseaux d’eau potable, d’assainissement ou de distribution, sont essentiels à la santé publique, à l’économie et à la sécurité nationale. Or, ces systèmes sont de plus en plus connectés et numérisés : surveillance de la qualité de l’eau, automatisation des processus, recueil des données à distance, supervision du réseau… Cette dématérialisation expose à de nouveaux risques : cyberattaques, ransomwares, sabotages, vols de données, piratage… Les conséquences peuvent alors être lourdes : au-delà des pertes financières conséquentes, il faut considérer l’impact sur le service et les populations : interruptions de distribution de l’eau potable, pollutions éventuelles, dégradation de la qualité de l’eau, mesures de contrôle de qualité mises en défaut ou discrètement modifiés, compromission, vol ou perte des données personnelles ou bancaires des usagers.

Interruption de service ou perturbation de la distribution : par mesure de sécurité, il peut être nécessaire à la suite d’une attaque, de suspendre la distribution d’eau potable. L’arrêt de la distribution peut également être directement causée par la cyberattaque au travers d’une prise de contrôle à distance du circuit par les attaquants, ou encore d’un sabotage entrainant des dégâts majeurs voire irréversibles sur le système de distribution ;
Atteinte à la qualité : modification des paramètres de traitement des eaux, modification des capteurs de contrôle, altération de la supervision entrainant un risque sanitaire majeur.
Par exemple, un hacker peut prendre le contrôle à distance du système de traitement, via le réseau de supervision de son fabricant, et ainsi parvenir à modifier le traitement de l’eau et désactiver les alarmes de contrôle qualité.
Perte de données sensibles : informations sur les infrastructures et les processus de traitement ou bien sur les clients et les fournisseurs. Ces données sensibles peuvent être personnelles, bancaires, techniques, financières… Ces fuites de données entrainent une cascade d’autres cyberattaques, nourrissant ainsi la chaîne cybercriminelle ;
Impact financier et réputationnel : coûts de remise en état, perte de confiance des usagers, sanctions réglementaires.

Les cybermenaces visant les opérateurs de l’eau ne sont plus théoriques. Plusieurs incidents récents, notamment en France, ont montré que des hackers peuvent perturber la distribution d’eau, altérer la qualité, ou exiger des rançons pour rétablir le service (cf. encart). L’ANSSI a publié en novembre 2024 un rapport détaillé sur l’état de la menace pour le secteur de l’eau : Rapport menaces et incidents – CERT-FR. Ce rapport met en lumière la nécessité de mettre une place une protection efficace face aux menaces cyber, pour ce secteur hautement critique.

Deux exemples d’attaque sur les infrastructures de gestion de l’eau en France

En novembre 2022, l’Office d’équipement hydraulique de la Corse a été victime d’un rançongiciel qui a perturbé pendant plusieurs semaines les systèmes et leurs usages. Les actions de mitigation ont permis de limiter l’impact de l’attaque et de maintenir les services informatiques indispensables à l’activité : ces services ont pu être maintenus (distribution d’eau, exploitation des stations d’épuration, analyses règlementaires) malgré un service informatique fortement perturbé pendant plusieurs semaines.

Suite à une cyberattaque, l’Office Hydraulique de Corse se remet doucement sur pied

En décembre 2023, la Compagnie d’aménagement des Coteaux de Gascogne (actuellement « Rives et Eaux du Sud-Ouest ») est victime d’une attaque sur son système d’information. L’intrusion, de type ransomware, menaçait directement les services d’alimentation en eaux des clients et la gestion des ouvrages (barrages notamment) c’est pourquoi il a été indispensable de mettre en place une cellule de crise, et de mobiliser les équipes informatiques pour éviter l’arrêt de la distribution d’eau et des conséquences sur les barrages eux-mêmes. Les investigations ont permis de remonter aux causes et d’agir efficacement pour une remise en service en toute sécurité du système. Malgré tout, cette attaque a fortement perturbé le système d’information pendant une longue période.

Victime d’une cyberattaque, les services de la CACG fortement perturbés – nrpyrenees.fr

Un secteur sous surveillance réglementaire

Les acteurs de l’eau, qu’ils soient publics ou privés, et qu’ils gèrent la distribution de l’eau potable, son traitement, sa production ou l’exploitation des équipements, sont soumis à des obligations croissantes en matière de cybersécurité (loi de programmation militaire, NIS2, RGPD, etc.). Les dirigeants de ces infrastructures doivent anticiper ces exigences, et les risques associés, pour garantir la continuité de service et protéger les usagers. En particulier, le secteur de l’eau (eau potable et assainissement) est considéré comme un secteur critique, pleinement concerné par les exigences de la directive NIS2 qui impose explicitement la mise en place de mesure de cybersécurité et de formation des personnels, et qui sanctionne les dirigeants, directement responsables de l’application de la loi en la matière. Ce secteur devient donc régulé, ce qui doit être vu comme une opportunité à saisir pour mettre en place des mesures de protection adaptées aux enjeux cruciaux de la gestion des eaux.

La directive NIS2 (Network and Information Security 2)

La directive NIS2 est une réglementation européenne adoptée en 2022 pour renforcer la cybersécurité des réseaux et systèmes d’information dans l’Union européenne. Elle remplace la directive NIS1 de 2016. Elle désigne des secteurs d’activités jugés « essentiels » ou « importants », et pour lesquels des obligations s’appliquent pour leur cybersécurité. Le secteur de l’eau potable et de l’assainissement est directement concerné, et est désigné comme un secteur « essentiel », donc soumis à des règles plus strictes que pour les secteurs « importants ».

La transposition dans le droit français de Directive NIS2 devrait arriver dans les semaines à venir. Cette transposition devra préciser les règles d’application en France (tailles des structures concernées, procédures de contrôle, désignation des autorités compétentes, détail des obligations et sanctions…).

Les entités concernées devront :

Mettre en place des mesures techniques et organisationnelles pour anticiper, détecter et traiter leurs risques cyber (sécurité des systèmes, gestion des accès, sauvegardes…) ;
Notifier les incidents majeurs de sécurité à l’ANSSI dans un délai de 24 heures après détection ;
Effectuer des analyses de risques régulières et mettre à jour les plans de gestion de crise ;
Former le personnel à la cybersécurité ;
Coopérer avec les autorités et partager les informations sur les menaces.

En cas de non-respect, des sanctions seront prévues.

Pour plus d’information : https://www.ssi.gouv.fr/entreprise/nis2/

Au-delà de l’aspect contraignant de cette directive, l’impulsion qu’elle donne est fondamentale : elle permet de tracer la route vers plus de cybersécurité, vers une maitrise de ces risques et donne, pour chaque structure (publique ou privée, quelle que soit sa taille) les règles de bonne pratique à comprendre pour renforcer sa posture cyber et s’emparer de la question. Il s’agit donc d’un bon guide à suivre, pour tous. Reste à se lancer, en sachant comment s’y prendre, par quoi commencer et quelles solutions mettre en place de manière pragmatique, efficace et compatible avec les moyens financiers et humains disponibles.

L’accompagnement, un facteur clé de succès

Le diagnostic initial de cybersécurité

Un diagnostic initial de cybersécurité spécifiquement adapté aux structures opérationnelles territoriales permet de :

Cartographier les systèmes d’information et les équipements connectés ;
Identifier les vulnérabilités techniques et organisationnelles ;
Évaluer le niveau de conformité réglementaire ;
Prioriser les actions à mener selon les risques avérés.

Ce diagnostic doit être réalisé par des experts reconnus, en toute confidentialité, et donne lieu à un rapport clair et priorisé. Le plan d’action qui en découle permet aux décideurs de comprendre leur feuille de route et ses priorités, et d’estimer les gains qu’elle apportera.

Des solutions concrètes et adaptées

À l’issue du diagnostic, des solutions de sécurité sont alors mises en place, selon le plan d’action et les menaces identifiées :

Sécurisation des accès et des identités : gestion des droits, authentification forte, contrôle des accès à distance ;
Protection des données : chiffrement des flux et du stockage, sauvegarde sécurisée, archivage sécurisé ;
Surveillance et détection des incidents : mise en place de SOC (Security Operations Center) pour la supervision des équipements de travail, serveurs et équipements spécifiques, détection et alerte avec un processus d’escalade calibré et personnalisé ;
Sensibilisation et formation : programmes adaptés aux équipes techniques, administratives et décideurs ;
Accompagnement à la conformité : aide à la mise en œuvre des exigences réglementaires (NIS2, RGPD, etc.).

Le choix des solutions peut sembler complexe tant la variété d’éditeurs est importante et le jargon technique très pointu. Ici encore, être accompagné par une entreprise experte du domaine permet de s’assurer d’un choix cohérent et de simplifier l’accès à la cybersécurité.

La cybersécurité n’est plus une option dans la maitrise de ses risques : c’est un enjeu stratégique, opérationnel et financier. En s’appuyant sur des experts, les dirigeants, DSI et responsables financiers peuvent réaliser et comprendre les menaces, anticiper les risques, renforcer la résilience de leurs infrastructures et répondre aux exigences réglementaires, tout en protégeant la confiance des usagers.
Avec un accompagnement personnalisé, du diagnostic initial à la mise en œuvre de solutions concrètes, la cybersécurité devient un levier de performance et de confiance.

Témoignage clients

RCEEM – Les Réseaux Mitryens

« Réaliser un audit sur notre système nous a permis de comprendre nos vulnérabilités et d’identifier les canaux d’entrée utilisables par les attaquants. C’est important pour définir et prioriser les actions de correction à lancer et les protections à mettre en place. Notre posture cyber est maintenant bien meilleure et le risque est maitrisé grâce à un suivi régulier. » Témoignage de Alexis Payet, RSSI, qui a réalisé un pentest en 2025 sur son système d’information.

Cet article vous est proposé par Docaposte

Docaposte, filiale du groupe La Poste, propose des solutions de gestion documentaire, d’archivage, de signature électronique, d’identité numérique et de confiance numérique. Docaposte accompagne ses clients dans la sécurisation et la dématérialisation de leurs processus, tout en garantissant la conformité réglementaire et la protection des données. C’est un acteur clé de la digitalisation en France. Dans le domaine de la cybersécurité, acteur de la confiance numérique, Docaposte développe et commercialise le Pack Cyber, une offre spécialement conçue pour les structures territoriales. Cette offre répond à leur besoin de simplicité, d’efficacité et d’accessibilité, dans ce domaine souvent difficile à appréhender. Docaposte peut également accompagner ses clients pour leurs besoins d’audits, technique ou organisationnel, de conformité règlementaire, de prestations de conseil.

Auteur.e(s) du contenu

Gwenaëlle Martinet

Son parcours

Gwenaëlle Martinet a passé près de 20 ans dans le service public, notamment à l’ANSSI où elle a piloté le volet cyber de France Relance, dédié à l’accompagnement des structures territoriales pour leur cybersécurité au travers de parcours subventionnés et de financements de projets mutualisés. Elle s’occupe maintenant de l’offre cybersécurité chez Docaposte.

Ses domaines d'expertise

Numérique :
Cybersécurité :
Secteur public :

Pour aller plus loin sur la cybersécurité des services d'eau et des collectivités

Dans une collectivité, la cybersécurité de l’eau repose d’abord sur la gouvernance et la responsabilité claire des élus et des directions techniques, en lien avec les exigences NIS2 et RGPD.

Viennent ensuite la protection des systèmes industriels et bureautiques, avec segmentation des réseaux, sécurisation des automates, gestion rigoureuse des accès et les sauvegardes isolées.

La détection précoce des incidents par une supervision continue, l’alerte structurée et les plans de réponse à incident complètent cet ensemble.

Enfin, la sensibilisation régulière des agents et la formation des équipes d’exploitation assurent une montée en compétence durable et réduisent nettement le risque d’attaque réussie.

Dans le secteur de l’eau, la cybersécurité recouvre la sécurité des systèmes d’information « métiers » (facturation, données usagers), la sécurité des systèmes industriels (SCADA, automates, télégestion) et la sécurité des données personnelles.

La première vise la continuité administrative, la seconde protège directement la production et la distribution d’eau potable, la troisième répond aux obligations RGPD.

À ces volets s’ajoutent la cybersécurité organisationnelle (procédures, gestion de crise) et celle des fournisseurs et prestataires, désormais visés par NIS2.

Une stratégie cohérente combine ces types de protection au sein d’une même feuille de route pour couvrir l’ensemble du cycle de l’eau.

Les installations de production et de distribution d’eau font partie des infrastructures critiques et toute cyberattaque peut provoquer interruption de service, altération de la qualité ou perte de contrôle d’équipements sensibles comme les stations de traitement ou les barrages.

Les incidents recensés en France montrent que des rançongiciels paralysent systèmes d’information et outils de supervision, ce qui menace directement la continuité d’alimentation des usagers.

Une cyberattaque peut aussi fausser des paramètres de traitement ou des capteurs, avec un risque sanitaire pour la population si les dérives ne sont pas détectées.

La cybersécurité devient donc un levier opérationnel central pour maintenir la qualité de l’eau et la disponibilité du service public, même en situation de crise.

La directive NIS2 classe l’eau potable et l’assainissement parmi les secteurs essentiels, avec des exigences renforcées pour les entités de taille significative.

Les services concernés doivent mettre en place une gestion structurée des risques, des mesures techniques et organisationnelles adaptées (contrôles d’accès, chiffrement, sauvegardes, tests réguliers) et un dispositif de gestion de crise. NIS2 impose également la notification rapide des incidents majeurs (signalement initial sous 24 heures, compléments dans les jours suivants) auprès des autorités compétentes, dont l’ANSSI en France.

Les dirigeants portent une responsabilité directe en cas de non-respect, avec des sanctions prévues, ce qui renforce l’enjeu de conformité pour les collectivités.

Un diagnostic de cybersécurité dédié au service de l’eau dresse un inventaire précis des systèmes (SCADA, télégestion, bureautique), des interconnexions et des dépendances critiques, puis met en évidence les vulnérabilités techniques et organisationnelles.

À partir de cette photographie, les experts structurent un plan d’actions priorisé, aligné sur NIS2 et les bonnes pratiques de l’ANSSI, avec un calendrier réaliste pour une collectivité.

Les élus et services techniques disposent ainsi d’une feuille de route lisible, qui distingue les mesures urgentes (segmentation, sauvegardes, gestion des accès) des renforcements plus progressifs.

Ce diagnostic sert enfin de référence pour mesurer les progrès, justifier les budgets et dialoguer avec les prestataires dans la durée.

Les attaques subies par des opérateurs comme l’Office d’Équipement Hydraulique de Corse ou la Compagnie d’aménagement des Coteaux de Gascogne ont montré qu’un rançongiciel peut perturber durablement la facturation, la gestion clientèle et certains outils de pilotage, même lorsque la distribution d’eau reste assurée.

Ces cas illustrent la nécessité de scénarios de crise, de sauvegardes isolées et de plans de continuité pour les fonctions support autant que pour la supervision industrielle.

Ils soulignent également l’importance d’une coopération étroite avec l’ANSSI et des prestataires cybersécurité afin de contenir l’incident, analyser les causes et remettre les systèmes en service en conditions sûres.

Pour les collectivités, ces retours d’expérience justifient un investissement structuré dans la prévention plutôt qu’une gestion improvisée en urgence.

La data au service d’une gestion écologique de l’eau : zoom sur 2 solutions et une initiative

Gouvernance, diagnostics ou prospective

Cet article a été écrit par Florence Léandri

Ulysse Burel : « De nouvelles technologies partent à la chasse aux gaspillages de l’eau! »

Distribution de l’eau

La cybersécurité au service de la gestion de l’eau : Protégez, Diagnostiquez, Agissez

Pourquoi la cybersécurité est un enjeu majeur pour les acteurs de la gestion de l’eau

Deux exemples d’attaque sur les infrastructures de gestion de l’eau en France

Un secteur sous surveillance réglementaire

La directive NIS2 (Network and Information Security 2)