Les installations solaires sont de plus en plus exposées aux risques cyber, selon un rapport

Les risques cyber n'épargnent pas les installations solaires. Dans un rapport commandé par l'association européenne SolarPower Europe et publié fin avril, le cabinet de conseil DNV alerte sur l'exposition croissante des centrales photovoltaïques aux attaques informatiques, dans un contexte où les pirates multiplient leurs assauts contre les infrastructures énergétiques européennes.

Afin de ne pas pénaliser la transition énergétique et s'assurer que les énergies renouvelables se basent sur des systèmes intelligents et sûrs, le secteur formule donc des recommandations aux autorités et régulateurs de l'Union européenne. Le problème découle en réalité de la digitalisation des systèmes solaires PV, qui sont de plus en plus connectés à Internet via des onduleurs.

"Comme toute révolution technologique, la numérisation offre des opportunités incroyables (...). Elle s'accompagne également de nouveaux défis, comme la cybersécurité. Nous n'avions pas besoin d'une protection antivirus pour une machine à écrire, mais nous en avons besoin pour nos ordinateurs portables", illustre la présidente-directrice générale de SolarPower Europe, Walburga Hemetsberger. Et de faire le lien avec les installations solaires.

Certes, les auteurs du rapport estiment que l'Europe a fait le bon choix en se tournant vers un système énergétique décentralisé. Mais la réglementation relative à la cybersécurité n'a pas suivi le rythme et doit donc être mise à jour, pour répondre aux besoins spécifiques de certains systèmes, comme les centrales sur toiture. Il convient aussi de ne pas dramatiser la situation : en comparaison à d'autres industries énergétiques où l'espionnage industriel, les rançongiciels et autres pannes de réseau sont monnaie courante, le solaire n'est pas fortement exposé.

Vigilance sur les onduleurs et les mises à jour

Il l'est toutefois suffisamment pour que le secteur mette en garde les pouvoirs publics et les acteurs privés. D'après l'analyse des risques menée par DNV, le contrôle direct des onduleurs, qui fournissent notamment des services de réseau, et les mises à jour de sécurité constituent les deux grands points de vigilance. Le rapport constate que "les installations à grande échelle sont plus sécurisées" car "souvent gérées par des services publics expérimentés, et couvertes par la directive Nis 2 (Network and Information Security) de l'UE".

Par contre, les installations plus modestes, généralement posées sur toiture, ne sont pas soumises à des règles strictes. "Elles sont connectées aux 'clouds' des fabricants, des installateurs ou des prestataires de services. Si l'impact de la compromission d'une seule installation est faible, une fois agrégées pour évaluer l'efficacité du système électrique, elles deviennent des centrales électriques virtuelles de grande envergure", prévient DNV.

Si la capacité de production solaire diminuait de 3 gigawatts suite à une attaque informatique, les conséquences seraient ainsi "importantes" pour le réseau électrique européen. Or les auteurs du rapport ont analysé que "plus d'une douzaine de fabricants occidentaux et non occidentaux contrôlent aujourd'hui bien plus de 3 GW de capacité installée". Et "sur les 14 domaines de risque évalués dans le rapport, 5 sont classés comme à risque moyen, 6 à risque élevé et 3 à risque critique", sachant que le risque est mesuré en combinant la gravité et la probabilité de son impact.

S'inspirer du RGPD

Les réglementations actuelles (Cyber Resilience Act, directive Nis 2, Code de réseau pour la cybersécurité - NCCS...) n'étant pas jugées suffisantes pour SolarPower Europe, l'association fait deux recommandations pour revenir à un "faible" niveau de risque. Concrètement, l'idée serait d'imposer des contrôles de cybersécurité propres à la filière, par exemple via une norme dédiée, et de limiter l'accès et le contrôle à distance des systèmes PV de l'UE depuis l'extérieur du territoire européen via l'onduleur.

Sur le deuxième point, DNV préconise "d'adopter une approche similaire aux règles du RGPD (Règlement général sur la protection des données), où le contrôle des dispositifs distribués agrégés, comme les petits systèmes solaires sur les toits, ne devrait être exercé que dans des régions jugées équivalentes à l'UE en termes de sécurité". Selon une de ses modélisations, SolarPower Europe affirme qu'un système énergétique "numérique, flexible et électrifié" ferait économiser environ 160 milliards d'euros par an à l'UE d'ici à 2040.