Une attaque par rançongiciel a paralysé environ 1 000 systèmes informatiques de l’autorité roumaine des eaux. Les barrages et l’exploitation hydraulique ont tenu, grâce à des procédures manuelles.

La Direction nationale roumaine pour la cybersécurité (DNSC) a annoncé qu’une attaque par rançongiciel, survenue en décembre 2025, a compromis près de 1 000 systèmes IT de l’Administrația Națională Apele Române, l’autorité nationale de l’eau. Dix des onze administrations régionales de bassins, dont Oradea, Cluj, Iași, Siret et Buzău, ont été touchées. Les assaillants ont détourné BitLocker, un mécanisme légitime de chiffrement Windows, pour verrouiller les fichiers et déposer une note exigeant un contact sous sept jours.

Un choc IT, une continuité opérationnelle sous contrainte

La scène se joue d’abord côté bureaux et serveurs. La DNSC indique qu’une attaque de type rançongiciel a frappé l’infrastructure informatique de l’Administrația Națională Apele Române, avec environ 1 000 systèmes compromis. L’impact territorial est massif : dix administrations régionales de bassins sur onze seraient concernées, avec des sites cités comme Oradea, Cluj, Iași, Siret et Buzău. La liste, à elle seule, raconte la difficulté logistique : quand l’IT tombe en panne à cette échelle, la gestion de crise devient une affaire de synchronisation et de priorités, pas seulement de remédiation technique.

Le périmètre atteint, détaillé par les autorités, couvre des briques critiques du quotidien numérique. Sont mentionnés des serveurs applicatifs SIG (GIS), des serveurs de bases de données, des postes Windows, des environnements Windows Server, mais aussi des serveurs de messagerie et web, ainsi que des serveurs DNS. Autrement dit, de quoi casser la cartographie opérationnelle, gêner la circulation d’information, perturber la résolution de noms et compliquer toute orchestration de reprise.

Pourtant, l’essentiel, au sens hydrotechnique, n’a pas cédé. L’autorité de l’eau affirme que les technologies opérationnelles (OT) n’ont pas été touchées. Elle précise que l’exploitation des ouvrages hydrotechniques repose sur des centres de dispatching et des communications vocales. Les constructions hydrotechniques resteraient « sécurisées », opérées localement par du personnel spécialisé, coordonné par ces centres. La conséquence immédiate est un basculement vers une conduite dégradée : moins de confort numérique, plus de procédures, de réflexes et de voix au téléphone.

Ce choix d’architecture de crise n’est pas anodin. L’organisation insiste sur la continuité de fonctions sensibles, contrôle de barrages, gestion des crues, distribution d’eau, assurée via supervision manuelle et protocoles vocaux conçus pour ce type de contingence. C’est la logique classique de résilience : si l’IT est frappée, l’OT doit tenir, et si l’OT dépend de l’IT, alors des modes alternatifs doivent déjà exister. Ici, la narration officielle vise à rassurer sur ce point précis : la disponibilité opérationnelle n’a pas été brisée.

BitLocker détourné, et un angle mort de protection nationale

Le détail technique central tient en un mot connu des administrateurs Windows : BitLocker. Selon une première évaluation, les attaquants ont utilisé ce mécanisme légitime de chiffrement pour produire un blocage par chiffrement sur les systèmes touchés. Le signal est fort sur le plan du renseignement de menace : au lieu d’introduire un malware « exotique », l’adversaire exploite un outil natif, déjà présent et souvent autorisé. Cela complique l’attribution technique, brouille les détections basées sur la présence d’un binaire malveillant, et déplace la bataille vers les droits, la gouvernance et l’audit des usages.

Les assaillants ont aussi déposé une note de rançon exigeant une prise de contact sous sept jours. La DNSC réitère sa doctrine : ne pas contacter ni négocier avec les cybercriminels, pour éviter d’alimenter leur économie. Dans cette logique, la variable critique devient le temps. Sept jours, c’est une pression psychologique, mais c’est aussi une fenêtre de reprise, de reconstitution d’inventaires, d’assainissement et de restauration. Quand des serveurs DNS, mail et web sont cités, la tentation de « raccourcir » la crise est forte. La recommandation publique vise à cadrer cette tension.

Un autre élément, plus politique, ressort de l’enquête : l’infrastructure de l’autorité des eaux n’était pas protégée par le système national de protection des infrastructures IT d’importance critique pour la sécurité nationale. Ce point ouvre un débat de surface, mais surtout un chantier immédiat. Des procédures ont été lancées pour intégrer ce périmètre aux dispositifs développés par le Centre national de cyber-renseignement, au sein du service de renseignement roumain, afin d’assurer la protection d’infrastructures publiques, et privées jugées critiques, via des technologies de cyber-intelligence. Le vocabulaire est important : on passe d’une défense locale à une logique de protection mutualisée, pilotée, et nourrie par le renseignement.