Les centrales thermiques et nucléaires sont depuis longtemps soumises à une réglementation stricte en cybersécurité. Les parcs éoliens en mer et les fermes solaires, en raison de leur taille, suivent des règles proches. Cependant, la décentralisation de la production énergétique via des millions d’installations solaires résidentielles ou tertiaires introduit de multiples objets connectés, présentant chacun des vulnérabilités, imposant des défis de cybersécurité distincts des grands sites énergétiques.
L’onduleur, « cerveau » d’une installation solaire, convertit l’énergie des panneaux en électricité utilisable. Cet appareil est connecté à internet, le rendant vulnérable aux cyberattaques avec des conséquences potentiellement désastreuses. Un pirate ayant récupéré des droits d’administrateur peut désactiver, endommager ou verrouiller l’onduleur, et exiger ainsi une rançon ou accéder à des données sensibles, comme des bases de données, ou des informations sur la consommation énergétique révélant les habitudes des usagers.
Plus préoccupant, les pirates peuvent cibler les serveurs centraux des installations solaires, permettant de contrôler des milliers, voire des millions de systèmes et risquant la paralysie du réseau. Un déséquilibre entre production et demande d’électricité pourrait provoquer une panne généralisée. Avec l’essor mondial des installations solaires, les enjeux de cybersécurité deviennent cruciaux pour la sécurité énergétique.
La cyberguerre est déjà déclarée !
En mai 2024, le Conseil européen de l’industrie solaire (ESMC) a appelé à renforcer la cybersécurité des onduleurs. De même, avec l’intention de révéler des failles pour permettre leurs corrections, Vangelis Stykas, un « hacker éthique », a démontré qu’avec un simple téléphone et un ordinateur portable, il pouvait accéder à distance aux systèmes solaires de 6 fabricants, cumulant une puissance trois fois supérieure à celle du réseau allemand. En août, Bitdefender a piraté deux sociétés solaires, accédant à 195 GW d’énergie, soit 20 % de la production solaire mondiale. Par ailleurs, le groupe de pirates néerlandais DIVD a révélé 6 failles majeures chez un fabricant d’onduleurs, exposant 4 millions de systèmes dans plus de 150 pays.
Tous les piratages ne sont pas bienveillants ; en février 2024, des cybercriminels russes ont attaqué Ignitis, une entreprise public lituanienne, exigeant une rançon après avoir fermé des comptes d’utilisateurs. Ils avaient infiltré des logiciels de surveillance solaire, accédant aux données de 22 installations, dont des hôpitaux et écoles militaires. Ou encore, au Japon, des pirates ont détourné 800 dispositifs de télésurveillance solaire pour voler des comptes bancaires. Et ces failles restent encore ouvertes, faute de possibilité de mises à jour à distance.
DERSec, société de cybersécurité, a publié un rapport recensant 54 cyberattaques dans l’énergie solaire grand public et prévoit une hausse continue, les pirates ciblant les infrastructures critiques du monde entier. Face à l’inertie des acteurs du secteur et des gouvernements, les cybermenaces sont bien réelles.
La réponse des industriels et des gouvernements
Face à ces menaces, SolarPower Europe a appelé l’UE à imposer des normes strictes de cybersécurité aux fabricants d’onduleurs solaires pour protéger la sécurité énergétique. Aux États-Unis, le FBI a alerté sur les risques de piratage des infrastructures critiques, en pointant la vulnérabilité des énergies renouvelables et l’absence de protocoles et de réglementations adaptés.
Sur la sellette, les gouvernements doivent agir d’urgence. Aux Etats-Unis, l’Office of the National Cyber Director (ONCD) de la Maison Blanche a publié une feuille de route listant les technologies critiques nécessitant une cybersécurité, notamment les onduleurs solaires et les bornes de recharge de véhicules électriques. Des organismes comme la RDI néerlandaise, le cabinet SECURA et l’Australian Cybersecurity Cooperative ont également souligné ces risques.
La réglementation sur les ressources énergétiques distribuées (RED) évolue peu à peu. Au Royaume-Uni, les bornes de recharge de véhicules électriques doivent intégrer des temporisateurs pour prévenir les pannes et laisser au réseau le temps de réagir face à une cyberattaque. Cependant, ces mesures n’éliminent pas le risque de piratage des RED.
La Commission européenne s’efforce de renforcer la réglementation, mais cela pourrait être trop tard. La Lituanie montre l’exemple en agissant à la suite de la cyberattaque contre son entreprise d’électricité. Son parlement a interdit l’accès à distance aux dispositifs solaires, éoliens et de stockage par des pays jugés comme une menace. Dès le 1er mai 2025, les onduleurs solaires de ces pays seront interdits, et les installations existantes non conformes, devront être déconnectées l’année suivante.
Mieux vaut prévenir que guérir, et agir vite !
Sans réglementation, il incombe aux fabricants d’onduleurs solaires de considérer ces infrastructures critiques comme des infrastructures d’importance vitale, en investissant dans la cybersécurité plutôt qu’en privilégiant leurs marges. Ainsi, la pérennité du secteur sera assurée. Les entreprises investissant dans le solaire doivent évaluer les risques (origine des produits, accès à distance, gestion des données) pour éviter des catastrophes ou des installations non conformes à remplacer à court terme.
The views and opinions expressed in this article are the author’s own, and do not necessarily reflect those held by pv magazine.
Ce contenu est protégé par un copyright et vous ne pouvez pas le réutiliser sans permission. Si vous souhaitez collaborer avec nous et réutiliser notre contenu, merci de contacter notre équipe éditoriale à l’adresse suivante: editors@pv-magazine.com.
En transmettant ce formulaire vous acceptez que pv magazine utilise vos données dans le but de publier votre commentaire.
Vos données personnelles seront uniquement divulguées ou transmises à des tierces parties dans une optique de filtre anti-spams ou si elles s’avèrent nécessaires à la maintenance technique du site web. Un transfert de vos données à des tierces parties pour toute autre raison ne pourra se faire que s’il est justifié par la législation relative à la protection des données, ou dans le cas où pv magazine y est légalement obligé.
Vous pouvez révoquer ce consentement à tout moment avec effet futur, auquel cas vos données personnelles seront immédiatement supprimées. Dans le cas contraire, vos données seront supprimées une fois que pv magazine aura traité votre requête ou lorsque le but du stockage des données est atteint.
Pour de plus amples informations sur la confidentialité des données, veuillez consulter notre Politique de Protection des Données.