Des chercheurs ont identifié des dispositifs de communication non documentés dans certains onduleurs solaires chinois, potentiellement capables de contourner les systèmes de sécurité et de compromettre la stabilité du réseau électrique européen.
Un risque systémique pour la sécurité énergétique européenne. C’est ce que redoute l’eurodéputé Yvan Verougstraete, co-auteur d’un rapport sur la sécurisation de l’approvisionnement énergétique de l’UE, après la découverte récente de composants de communication clandestins dans des onduleurs solaires connectés à Internet.
Produits par des fabricants asiatiques majoritaires sur le marché, ces dispositifs permettraient théoriquement des connexions sortantes échappant aux pares-feux standards, ouvrant la voie à des actions de prise de contrôle à distance, de désactivation coordonnée ou de collecte non autorisée de données.
Une infrastructure critique insuffisamment sécurisée
Selon Verougstraete, l’Union européenne sous-estime encore l’exposition croissante de ses infrastructures énergétiques distribuées à des menaces cyber. « Les onduleurs, notamment ceux de petite puissance, échappent pour l’instant à des exigences de cybersécurité contraignantes. Pourtant, ils constituent une surface d’attaque non négligeable, par leur connectivité constante et leur dépendance à des serveurs potentiellement extra-européens. »
À l’échelle européenne, 80 % du parc d’onduleurs intelligents est issu de l’industrie chinoise. Ces appareils jouent un rôle clé dans la conversion et la gestion du courant produit par les modules photovoltaïques, mais aussi dans le pilotage du flux énergétique via des protocoles de supervision (Modbus TCP/IP, SunSpec, etc.). Si ces interfaces sont corrompues, des attaques simultanées pourraient entraîner une déconnexion massive de producteurs, notamment pendant les pics de production solaire, et déséquilibrer le réseau en quelques secondes.
Un appel à un durcissement réglementaire
Le rapport à paraître propose plusieurs mesures structurelles :
- Obligation d’audit de cybersécurité pour les équipements connectés à Internet, y compris onduleurs, dataloggers, batteries et chargeurs bidirectionnels ;
- Localisation obligatoire des serveurs de supervision en Europe pour les équipements importés ;
- Classification différenciée des équipements selon leur origine géopolitique ;
- Relocalisation industrielle stratégique via des mécanismes de soutien à la production européenne d’électronique de puissance ;
- Renforcement des capacités humaines, avec un objectif de formation massive en cybersécurité industrielle appliquée à l’énergie.
L’UE sommée de réagir
« Le solaire ne peut devenir un cheval de Troie numérique », conclut Verougstraete. Pour lui, la sécurité des actifs décentralisés (notamment dans les installations résidentielles et agricoles) est le maillon faible de la stratégie énergétique européenne. Et face aux risques croissants de cyberguerre énergétique, la réponse doit être réglementaire, industrielle… et rapide.