La sureté contre la menace terroriste et la cybercriminalité

La menace terroriste et la cybercriminalité font partie des risques émergents contre lesquels Veolia doit se prémunir au quotidien.
Zoom sur les actions mises en œuvre par le Groupe pour sécuriser ses installations et celles de ses clients.

Pour Veolia, opérateur de services essentiels, la sécurité des salariés, des consommateurs et des installations est une priorité. C’est pourquoi le Groupe s’est doté d’une direction de la Sûreté dès 2013. « C’est une décision du président, Antoine Frérot, qui a souhaité faire de la sûreté une valeur clé du Groupe », précise Jean-Louis Fiamenghi, ancien chef du RAID, aujourd’hui directeur de la Sûreté de Veolia. Une priorité qui s’est encore renforcée après les attentats commis en France en 2015 et 2016.Les Jeux Olympiques de Londres (2012)

Management du risque

Jean-Louis Fiamenghi, directeur de la sûreté chez Veolia

Nous mettons en place un plan destiné à nous prévenir des cyberattaques

Il faut avant tout prioriser les risques. La première préoccupation concerne les collaborateurs opérant dans les pays peu sûrs. Après les attentats de Karachi (Pakistan) en 2002, qui ont causé la mort de onze employés de la Direction des Constructions Navales (DCN), des mesures ont été prises par de nombreuses entreprises pour renforcer la sécurité de leurs équipes. Et ce, non seulement pendant les heures de travail, mais également dans le cadre plus général de leur mission, à l’hôtel ou même durant leurs loisirs. Pour sécuriser les missions des salariés et des expatriés de Veolia, la direction de la Sûreté du Groupe établit notamment une cartographie des risques pays par pays, en collaboration avec le ministère français des Affaires étrangères. Pour Veolia, plus de trente pays ont ainsi été identifiés comme zones à risques, menacées par le terrorisme, la délinquance ou les troubles à l’ordre public, notamment lorsque les régimes politiques sont instables. Le Groupe travaille en étroite concertation avec les attachés de sécurité des ambassades françaises. « Nous avons notre propre plan de sécurité, en lien avec celui de l’ambassade de France, qui concerne tous les ressortissants répertoriés, indique Jean-Louis Fiamenghi. Mais tous nos salariés ne sont pas français, d’où ce plan interne. » Si la situation se dégrade, par exemple lors d’une tentative de coup d’État, comme cela a été le cas au Burkina Faso en 2015, les employés sont regroupés dans des lieux prédéterminés, afin d’organiser au mieux leur évacuation, toujours en lien avec l’ambassade.

Contrôle permanent

Veolia déploie également des dispositifs permettant de protéger les services essentiels que sont la production et la livraison d’eau potable. Il s’agit notamment de sécuriser les sites, grâce à des dispositifs de contrôle d’accès très stricts, mais aussi de contrôler en permanence la qualité de l’eau et de protéger les systèmes d’information. Garantir la sécurité des services essentiels deviendra d’ailleurs une obligation dès 2018 pour les opérateurs comme Veolia et les États européens (voir encadré). En France, le Groupe participe régulièrement à des exercices de sécurité préfectoraux, pour vérifier sa réactivité et celle des autorités en cas d’attaque terroriste. Ainsi, une simulation d’attaque sur le réseau d’eau parisien s’est déroulée en 2015 avant la COP 21. Les capteurs placés dans les installations ont immédiatement détecté l’intrusion. Une fois le lieu d’injection des matières polluantes identifié, le RAID s’est prêté à un exercice d’intervention contre un groupe terroriste.

« Kapta », pour agir en temps réel

La sonde Kapta

Pour lutter à la fois contre les pollutions accidentelles et les actes terroristes visant les réseaux d’eau, Endetec – filiale de Veolia spécialisée dans le monitoring environnemental – a développé un capteur nommé « Kapta » (cf. interview de Cyrille Lemoine). Son atout : détecter quasiment tous les paramètres clés de la qualité de l’eau, qu’il s’agisse de la concentration en chlore, de la conductivité, de la température ou de la pression. « Ces paramètres forment une sorte d’empreinte digitale de la qualité de l’eau, précise Cyrille Lemoine, vice-président d’Endetec. Par exemple, une baisse de pression signale des mouvements de vanne, tandis que le chlore est l’indicateur par excellence d’une contamination. » Kapta est très simple d’utilisation. Il s’apparente à une vis large comme une pièce de 2 € que l’on rive au collier de prise en charge de la canalisation. Mais ce capteur n’est qu’un élément de la chaîne de sécurité du réseau. Les informations qu’il mesure sont transmises automatiquement à un algorithme d’analyse et de traitement des données qui permet de repérer les événements anormaux et d’identifier leur origine. Lorsqu’on sait que le danger est plus fort, par exemple lors d’un événement majeur comme les jeux Olympiques, il suffit d’augmenter la sensibilité des algorithmes et d’accélérer la vitesse de traitement des données, explique Cyrille Lemoine. La fréquence d’analyse passe ainsi de deux heures trente minutes en routine à une demi-heure voire un quart d’heure, mais le système reste le même. Nous assurons une sécurité quotidienne, que nous pouvons faire basculer vers une surveillance de sûreté, tout en étant certains que notre système est toujours opérationnel. » Prochaine étape : mettre sur le marché une sonde complémentaire mesurant la turbidité et les matières organiques, les deux derniers paramètres clés de la qualité de l’eau.

Objectif sécurité

Directive NIS

L’Europe souhaite améliorer la sécurité des services essentiels
L’Union européenne impose aux États membres et aux opérateurs de services essentiels de prendre des mesures pour assurer la sécurité des réseaux d’eau, de transport ou d’énergie.

Dans l’espace européen, chaque État est tenu de suivre la directive « Network and Information Security » (NIS) à la lettre pour organiser la sécurité de ses services essentiels. Destinée à « parvenir à un haut niveau de sécurité commun des réseaux et systèmes d’information au sein de l’Union européenne », elle a été approuvée le 18 décembre 2015, et devra être transposée dans les législations nationales avant le deuxième trimestre 2018.
Cette directive fixe des règles de sécurité pour les opérateurs de services essentiels : les fournisseurs d’eau potable, d’énergie et de transport, les banques et les marchés financiers ou encore les infrastructures de communication numérique. Dans ses grandes lignes, la directive les encourage notamment à prendre les mesures techniques appropriées pour gérer les risques, à auditer l’efficacité des politiques de sécurité menées et à répondre aux exigences des autorités nationales compétentes. À ce titre, ces dernières devront être averties par les opérateurs en cas d’incident notable touchant un nombre élevé de personnes, sur une longue période, ou affectant une large zone. Outre l’obligation qui leur est fixée de définir des objectifs stratégiques et des mesures de contrôle et de régulation, les États membres devront créer une Autorité nationale compétente pour mettre en œuvre la directive NIS. Ils seront également amenés à collaborer sur ces questions de sécurité.

Pour en savoir plus, la directive NIS sur le site de l’ANSSI :
https : www.ssi.gouv.fr/actualite/adoption-de-la-directive-network-and-information-security-nis-lanssi-pilote-de-la-transposition-en-france/

Objectif sûreté

La menace terroriste et la cybercriminalité font partie des risques émergents contre lesquels Veolia doit se prémunir au quotidien. Zoom sur les actions mises en œuvre par le Groupe pour sécuriser ses installations et celles de ses clients.