Découvrez cette interview exclusive et passionnante d’Uri Sadot, expert en cybersécurité, qui siège au conseil d’administration de SolarPower, la principale association européenne pour l’énergie solaire. Il est aussi directeur du programme mondial de cybersécurité chez SolarEdge, spécialiste des technologies énergétiques intelligentes.
Uri Sadot estime que “la cyber-menace qui pèse sur les énergies renouvelables est un problème majeur dont personne ne parle. »
SNC – Pourquoi les énergies renouvelables sont-elles sujettes à la cybercriminalité ?
Uri Sadot – L’énergie a toujours été l’un des secteurs les plus ciblés par les cybercriminels. Cela s’explique par la valeur économique de l’énergie et, dans certains cas, par son importance géopolitique. Une simple recherche Google/GPT sur « Top des secteurs les plus ciblés par les cybercriminels » montre que l’énergie est dans le Top 10 des secteurs visés.
Avec l’avènement des énergies renouvelables, l’intérêt des hackers se tourne vers ces sources d’énergie au fur et à mesure que ces systèmes se démocratisent, constituant une part plus importante du mix énergétique. Une autre raison pour laquelle les énergies renouvelables sont particulièrement vulnérables est qu’il y a eu de la précipitation dans leur déploiement du fait de politiques gouvernementales en faveur d’une transition rapide vers les énergies renouvelables. Cela a conduit à un faible niveau des normes de cybersécurité, qui n’étaient pas critiques au départ, puisque ces technologies ne représentaient qu’une partie minime du mix énergétique. Mais ces dernières années, elles sont devenues essentielles. C’est vrai pour de nombreuses technologies, et principalement pour les onduleurs solaires, les bornes de recharge de véhicules électriques (IRVE) et les thermostats intelligents (pompes à chaleur).
Pour ne rien arranger, nous avons également assisté ces dernières années à l’introduction sur le marché de produits renouvelables « à bas prix ». La combinaison du « faible coût » et de l’absence de réglementation est une recette parfaite pour des normes de cybersécurité insuffisantes qui invitent les pirates informatiques à s’y frotter.
« La combinaison du « faible coût » et de l’absence de réglementation est une recette parfaite pour des normes de cybersécurité insuffisantes qui invitent les pirates informatiques à s’y frotter.»
Quelles énergies renouvelables sont concernées ?
De nombreuses technologies renouvelables sont vulnérables face aux cyberattaques. La raison en est qu’il s’agit de nouveaux produits par nature numériques et en plus connectés au cloud. Prenons l’exemple d’une vieille pompe à essence et comparons-la à une borne de recharge de véhicule électrique. La pompe à essence est analogique, n’est pas contrôlée depuis votre téléphone, ni exploitée par une entreprise. Une borne de recharge dispose d’une application, peut être contrôlée à distance et est toujours connecté à Internet. Il en va de même pour les systèmes solaires, les pompes à chaleur intelligentes, les compteurs intelligents et d’autres technologies de gestion de l’énergie. Les panneaux solaires étant des appareils sans communication à internet ne représentent aucune vulnérabilité cybernétique ; en revanche, l’onduleur solaire considéré comme le « cerveau » informatique de l’installation solaire est, lui, clairement vulnérable aux cyberattaques.
Les grands parcs éoliens et les grandes fermes solaires sont tout aussi vulnérables, mais cela dépend beaucoup de leur taille, des réglementations qui leur sont imposées, de leur emplacement et de leur connexion à Internet. Voici des exemples de cyberattaques qui ont touché des parcs éoliens, des fermes solaires et des systèmes solaires sur les toits.
Parallèlement, je pense aux énergies renouvelables qui sont de plus en plus présentes dans les datacenters…
De nombreux centres de données ont construit de grandes installations solaires, parfois couplées à des batteries, dans le cadre de leurs stratégies d’approvisionnement en énergie. Il en va de même pour les tours de téléphonie cellulaire isolées, les bases militaires, les communes ou sites isolés, etc. La cybersécurité est certainement une préoccupation croissante pour ces besoins énergétiques et peut entraîner des perturbations importantes.
Quelles sont les conséquences possibles ?
Les conséquences sont nombreuses. À petite échelle, un propriétaire peut se réveiller un jour et découvrir que l’énergie de sa maison (énergie solaire, batterie, parfois boîte de disjoncteurs) a été verrouillée à distance, et qu’une rançon lui est demandée. Voici un exemple de ce qu’il s’est passé aux États-Unis. Un pirate informatique ayant accès au schéma énergétique d’une maison ou d’une entreprise peut obtenir des informations précieuses sur les habitudes d’un foyer ou la productivité de l’entreprise s’il s’agit d’une usine. Ces données peuvent être utilisées pour des campagnes sophistiquées d’ingénierie sociale et d’hameçonnage, pour planifier des cambriolages ou pour obtenir des informations sur les entreprises dans le cadre d’un délit d’initié.
A l’échelle d’un pays, un adversaire peut accéder à des millions de systèmes et provoquer un effondrement du réseau, comme expliqué ici, ici ou ici, pour ne citer que ces exemples. Ce phénomène conduit les régulateurs à fixer des limites aux technologies pouvant être connectées aux réseaux électriques américains et européens, et des discussions sont en cours actuellement en France. Ces réglementations pourraient, dans quelques années, conduire à des rappels produits installés dans les foyers et les entreprises en France. Un tel rappel a eu lieu au Royaume-Uni en février 2024, où les clients qui avaient installé des bornes de recharge de véhicules électriques de la société Wallbox ont été obligés de les déconnecter du réseau et de les ôter de leurs murs à leurs frais.
« Ces réglementations pourraient, dans quelques années, conduire à des rappels produits installés dans les foyers et les entreprises en France »
Pouvez-vous citer un ou plusieurs autres cas de cyberpiratage liés aux énergies renouvelables ?
On peut citer la récente attaque de pirates informatiques russes contre des hôpitaux lituaniens par le biais de leurs systèmes solaires (lien), ou cette attaque au Japon basée sur des systèmes solaires (lien). Un bon résumé complet des cyberincidents liés aux systèmes solaires est disponible ici.
Même prévenus, par des hackers éthiques notamment comme Angelis Stykas, les fabricants ne mettent pas forcément à jour leur produits vulnérables…
Chaque produit peut contenir des failles logicielles qui peuvent entraîner des vulnérabilités cybernétiques. Cela vaut pour les iPhone, les ordinateurs portables, les voitures et toutes les technologies existantes. Aujourd’hui, les équipementiers doivent disposer d’une capacité de réaction rapide pour corriger les failles et mettre à jour tous leurs produits dès qu’une vulnérabilité est découverte. Dans les trois ans à venir, cela deviendra une obligation légale dans toute l’UE dans le cadre des exigences de la loi sur la cyber-résilience (Cyber Resilience Act). Malheureusement, la plupart des fabricants de produits « bon marché » ne disposent pas de ces capacités et inondent le marché de produits bas de gamme et non sécurisés qui mettront des années à être renouvelés après l’entrée en vigueur de la réglementation.
« Les produits bas de gamme et non sécurisés mettront des années
à être renouvelés »
Les fabricants ont-ils suffisamment conscience des risques liés à leurs matériels ?
Certains le sont et d’autres non. Nous avons observé le même schéma dans l’industrie solaire il y a une dizaine d’années en ce qui concerne la sécurité incendie et la sécurité électrique. Certains fournisseurs ont veillé à mettre en place des mécanismes qui protégeaient les clients des incendies de toiture, et les pompiers des électrocutions sur les toits. Mais d’autres, qui ont une philosophie de « bas prix », ont réduit tous les coûts qui ne sont pas obligatoires en vertu de la loi. Et comme il n’y a pas de lois, ils ont mis sur le marché de grandes quantités d’équipements qui ne sont pas au niveau de qualité attendu pour protéger le réseau électrique. À l’inverse, certains fournisseurs ont investi très tôt dans ce domaine et mènent de nombreuses réflexions en termes de réglementation.
De quelles manières vont-ils intégrer les nouvelles réglementations NIS 2
et CRA ?
La loi sur la cyber-résilience (CRA) fixera des exigences importantes pour TOUS les appareils connectés à Internet vendus dans l’UE. Toutefois, elle ne considère pas les dispositifs énergétiques tels que les onduleurs solaires ou les pompes à chaleur comme des « infrastructures critiques ». Cela signifie qu’un fabricant de ces appareils n’a pas besoin d’un audit de ses produits par une « tierce partie » et peut simplement fournir une auto-attestation de conformité à la loi. L’association européenne de l’énergie solaire a lancé une mise en garde à ce sujet dans un de ses récents documents d’orientation sur la cybersécurité dans le secteur de l’énergie solaire. Cette question a également été abordée lors de ce webinaire.
« Les dispositifs énergétiques tels que les onduleurs solaires ou les pompes à chaleur ne sont
pas considérés comme
des infrastructures critiques »
Quant à NIS 2, elle ne concerne pas les produits tels que les onduleurs ou les bornes de recharge de véhicules électriques mais plutôt les entreprises ou les entités qui les contrôlent à distance. Mais tout comme la loi sur la cyber-résilience (CRA), elle n’indique pas clairement que les entreprises qui contrôlent à distance des millions de dispositifs énergétiques, qui sont de facto des infrastructures critiques à ce stade, sont classées comme « entités critiques ». L’association européenne de l’énergie solaire a également lancé une mise en garde à ce sujet.
Un troisième élément important de la réglementation est le code de réseau sur la cybersécurité (Network Code on Cybersecurity) qui traite des entités critiques chargées des flux d’énergie dans les États membres de l’UE. Il est en cours d’élaboration et devrait fixer des limites aux opérateurs d’énergie renouvelable qui exercent un contrôle à distance important de l’énergie sur le réseau de l’UE.
Il faut donc revoir notre approche ?
Le CRA fixe un niveau de réglementation assez basique, cependant nous estimons que les énergies renouvelables doivent être définies comme des « infrastructures critiques » et être conçues avec un niveau de sécurité et de confiance similaire à celui que nous exigeons pour d’autres dispositifs auxquels nous confions notre vie et nos moyens de subsistance, tels que les voitures intelligentes, les pilotes automatiques des avions ou les applications bancaires en ligne et les serveurs des banques.
Si nous voulons éviter qu’une panne d’électricité catastrophique ne se produise en Europe à cause des énergies renouvelables, nous devons appliquer les mêmes normes que celles qui ont été mises en place pour éviter que les banques ne soient victimes d’un vol en ligne catastrophique. C’est désormais chose faite, et nous en sommes à dix ans d’existence des services bancaires en ligne. Nous devons accélérer la réflexion sur l’énergie de la même manière.
« Si nous voulons éviter qu’une panne d’électricité catastrophique ne se produise, nous devons appliquer les mêmes normes… »
Certains pensent que cela ralentirait la transition vers les énergies renouvelables. Mais c’est exactement le contraire. Si nous ne construisons pas cette nouvelle infrastructure énergétique de manière solide, elle risque de se heurter à un mur dans le futur et de ralentir encore davantage. Il vaut toujours mieux prévenir que guérir.
Faudrait-il interdire certains composants étrangers ?
La question de l’interdiction des composants étrangers n’est pas une question de cybersécurité mais plutôt de confiance géopolitique. Un produit ultrasécurisé peut être conçu par une personne, une entreprise ou un pays en qui vous n’avez pas confiance. À l’inverse, un produit très peu sûr peut être conçu de manière bâclée par une entité en laquelle vous portez une grande confiance. Il s’agit de deux problèmes distincts. Sur les marchés où nous opérons, nous voyons des pays qui ont des relations conflictuelles entre eux et qui décident de s’imposer des restrictions mais il s’agit essentiellement d’une question de géopolitique et non de cybersécurité.
L’Europe s’est-elle emparée du sujet (autrement que par les réglementations citées plus haut) ?
Oui et non. Le CRA et la NIS 2 visent à relever le niveau de cybersécurité de façon transverse dans TOUS les secteurs d’activité. Nous n’avons pas encore vu d’actions politiques spécifiques aux risques liés aux énergies renouvelables. La Lituanie est un pays qui a adopté des lois interdisant le contrôle à distance de ses produits, et la Commission européenne discute de la mise en place d’exigences supplémentaires pour les énergies renouvelables dans le cadre du Network Code on Cybersecurity. Mais aucune mesure décisive n’a encore été prise. Nous recommandons vivement aux États membres de ne pas attendre Bruxelles et d’agir en fonction de ce qu’ils estiment être un équipement de
« qualité réseau » auquel ils peuvent faire confiance dans le cadre de leurs réseaux.
« Aucune mesure décisive n’a encore été prise »
Vous siégez au conseil d’administration de la principale association européenne pour l’énergie solaire. Quelles actions menez-vous ?
Solar Power Europe a pris l’initiative de lancer une discussion sur ce sujet au sein de l’industrie, qui a abouti à un large consensus sur l’importance et l’urgence de cette question. Nous avons rédigé le document d’orientation que j’ai évoqué auparavant et l’avons présenté aux organes de la Commission européenne, aux agences de réglementation et aux associations professionnelles telles que Entso-E, ChargeUP Europe et EHPA. Au cours du prochain mandat de deux ans, nous avons l’intention de poursuivre ce travail, d’affiner nos recommandations politiques au moyen de documents supplémentaires et de soutenir la Commission européenne dans la mise en œuvre de ces recommandations.
Juliette Paoli avec Guillaume Périssat et Patrice Remeur
