Alors que la cybersécurité prend une place prépondérante dans le secteur solaire, il est pertinent de se demander comment le solaire est devenu une infrastructure critique.
Pendant des décennies, le réseau énergétique européen était centralisé et analogique, reposant sur de grandes installations très réglementées. Toutefois, la croissance rapide de l’énergie solaire et d’autres sources renouvelables a créé un réseau décentralisé, numérique et composé de plus petites sources, dont la majorité souffre d’un manque de supervision en matière de sécurité. Bien que les grandes centrales solaires de plus de 100 MW soient généralement soumises à des règles plus strictes, la majorité de l’énergie solaire en Europe provient de sites de moins de 100 MW. Selon la société d’analyse de données Wood Mackenzie, la moitié de cette production (plus de 120 GW) provient d’installations de moins de 25 MW chacune. Plus un site est petit, moins il est probable qu’il respecte des réglementations en matière de cybersécurité.
De plus, les systèmes solaires sont devenus de plus en plus connectés numériquement. Lorsqu’ils sont installés dans des environnements résidentiels et commerciaux, les onduleurs, qui convertissent l’énergie solaire en électricité utilisable, sont reliés à Internet pour permettre la surveillance à distance, les mises à jour logicielles et le dépannage. Dans une centrale solaire de grande taille, des services spécialisés sont mis en place pour gérer la surveillance à distance, optimiser l’utilisation des batteries ou réduire la production en cas de surplus sur le réseau. Cependant, comme c’est souvent le cas avec de nouvelles technologies, la cybersécurité a été négligée dans l’enthousiasme de l’expansion. Nombre de systèmes à faible coût, qu’ils soient résidentiels, commerciaux ou de grande taille, restent accessibles via Internet public avec des mots de passe par défaut ou faibles, rendant la prise de contrôle à distance d’onduleurs photovoltaïques non sécurisés non seulement possible, mais parfois alarmante.
Renforcer la cybersécurité grâce à de nouvelles régulations
Une prise de conscience croissante au sein de l’UE a conduit à de nombreux développements en matière de réglementation et d’action sectorielle. L’article 3.3 de la Directive européenne sur les équipements radio (RED) et la loi britannique sur la sécurité des produits et l’infrastructure des télécommunications (PSTI) ont bien entamé les efforts en 2024 pour améliorer la sécurité des dispositifs connectés, en introduisant des normes de base comme des mots de passe uniques et complexes et des protections pour les données utilisateurs. Bien que ces exigences rudimentaires s’appliquent à un large éventail d’appareils connectés, et pas seulement au solaire, elles ont contribué à faire progresser notre industrie.
Des réglementations plus strictes sont en préparation. La Loi sur la résilience cybernétique a été adoptée et entrera en vigueur progressivement au cours des deux prochaines années, imposant des exigences de sécurité plus rigoureuses aux fabricants de dispositifs connectés que la RED ou la PSTI. La directive NIS2 de l’UE devrait être adoptée par tous les États membres dans l’année qui vient et il est prévu que sa transposition varie selon le droit de chaque État, mais les projets de loi indiquent clairement qu’elle assignera des responsabilités et des obligations plus précises concernant les risques de cybersécurité aux propriétaires d’actifs, aux opérateurs et aux prestataires de services essentiels. Dans le secteur solaire, cela signifie que la gestion des EPC, des développeurs, des propriétaires d’actifs et même des investisseurs ou assureurs devra assumer une responsabilité légale pour leurs installations solaires et les éventuels résultats d’une violation de cybersécurité, y compris les pannes potentielles.
Le renforcement des réglementations de cybersécurité est un développement positif pour l’industrie, mais elles ne sont pas spécifiques au solaire, laissant des lacunes. Par exemple, il y a peu de supervision sur la manière dont les fabricants gèrent les communications avec les dispositifs de production d’énergie installés, tels que les onduleurs, une question où les produits solaires résidentiels se distinguent des autres dispositifs connectés. Les lacunes sont encore plus prononcées dans les configurations de grande taille, car il n’existe aucune réglementation sur la gestion des accès aux pare-feu pour les petites centrales solaires, qui représentent la majorité de la production d’énergie solaire en Europe. La réglementation évolue, mais la sensibilisation grandit rapidement – signe fort que des politiques plus ciblées sont à venir. La Commission européenne a annoncé le lancement d’évaluations des risques photovoltaïques, et des pays comme l’Allemagne ont lancé des consultations publiques et des engagements sectoriels pour développer des réglementations sur mesure pour leurs secteurs solaires. La Lituanie a même pris des mesures plus sévères en imposant des limitations de connectivité sur les dispositifs solaires en raison de considérations liées à la cybersécurité, même rétroactivement, malgré les coûts élevés pour les entreprises.
Que peut-on faire
Dans l’attente de réglementations plus claires et robustes, le secteur solaire doit prendre des mesures proactives dès maintenant. Pour les propriétaires de maisons et d’entreprises, la première étape consiste à comprendre l’onduleur installé, qui est la partie la plus “cyber importante” de votre système. Il est donc conseillé de se renseigner sur les compétences en cybersécurité du fabricant et sa posture globale. Pour les propriétaires de systèmes insatisfaits de leur onduleur existant, l’installation d’un contrôleur local ou d’un dispositif EMS peut atténuer en partie les risques.
Pour les propriétaires de centrales solaires de grande taille, il est essentiel de comprendre comment les réglementations peuvent bientôt vous assigner une responsabilité légale sur la cybersécurité de votre portefeuille d’actifs. Tout comme il est actuellement requis d’installer des clôtures, des caméras de sécurité et des mesures de sécurité incendie, il sera probablement nécessaire d’investir prochainement dans des solutions de cybersécurité logicielles et matérielles au-delà d’un simple pare-feu et d’une connexion VPN. Les propriétaires d’actifs doivent acquérir l’expertise nécessaire pour assurer la conformité avec les exigences émergentes au-delà de la directive NIS 2, et comprendre quelles obligations contractuelles ils devront exiger de leurs fournisseurs d’O&M et de leurs partenaires EPC. Il est également crucial de garder à l’esprit que des composants tels que les onduleurs, les systèmes de stockage d’énergie par batterie (BESS) ou votre fournisseur de surveillance photovoltaïque peuvent être soumis à des exigences de conformité variables. Au minimum, des inventaires des composants physiques doivent être régulièrement maintenus.
Réduction des risques
À mesure que les réglementations se resserrent, presque chaque partie de la chaîne de valeur solaire peut être exposée aux risques de violations ou de non-conformité, entraînant des mises à niveau coûteuses, des paiements d’amendes, voire des rappels de produits si leurs systèmes ne répondent pas aux nouvelles normes. Étant donné la longue durée de vie des systèmes solaires, choisir des solutions plus sécurisées et orientées vers l’avenir serait judicieux, comme c’est la norme dans d’autres domaines tels que la sécurité incendie, la sécurité électrique ou la durabilité, où des panneaux solaires plus résistants sont choisis pour résister aux événements climatiques extrêmes au cours de leur durée de vie.
Pour les propriétaires de maisons et d’entreprises, l’installateur solaire joue un rôle essentiel dans leur protection contre les risques de cybersécurité. Choisir un onduleur avec des contrôles d’accès robustes, tels que des mots de passe uniques et une communication chiffrée, devrait devenir une pratique standard, et est probablement amené à être imposé. C’est pourquoi les fabricants d’onduleurs doivent intégrer la cybersécurité dans chaque niveau de la conception du produit, tout en évitant d’ajouter de la complexité pour les utilisateurs ou les installateurs. Par exemple, les fabricants peuvent inclure un code QR simple qui initie un échange de clés cryptographiques offrant une sécurité cloud solide tout en gardant l’installation rapide et facile. Au fur et à mesure que les technologies d’authentification évoluent, les fabricants doivent aller au-delà des mots de passe traditionnels et adopter des méthodes de pointe courantes dans d’autres secteurs, comme la vérification biométrique.
Pour les sites de grande taille, les propriétaires d’actifs et les entreprises d’O&M doivent commencer à gérer l’accès et le contrôle des centrales solaires de toutes tailles comme s’ils étaient déjà réglementés en tant qu’infrastructures critiques.
Il est essentiel que les professionnels de l’industrie anticipent les réglementations plutôt que de réagir face à elles. Avec une sensibilisation croissante parmi les installateurs, les propriétaires de systèmes et les régulateurs, l’ère de considérer la cybersécurité comme un coût à minimiser est révolue. C’est aussi dépassé que de voir les ceintures de sécurité ou les airbags comme des coûts superflus dans l’industrie automobile. Au contraire, cela devrait être perçu comme une approche incontournable pour réduire la responsabilité et le risque. Les entreprises qui échouent à s’adapter à ce changement de paradigme risquent d’être écartées du marché ou, pire encore, de devenir le chaînon faible d’une attaque sur l’infrastructure nationale. Investir dans la cybersécurité dès maintenant contribuera à assurer la croissance continue de notre secteur et à éviter des réaménagements coûteux plus tard.
Comme le dit l’adage, mieux vaut prévenir que guérir.
Bon à savoir
- Les systèmes solaires doivent être régulièrement mis à jour pour garantir leur sécurité et leur performance.
- Il est conseillé de choisir des appareils dotés de certifications de sécurité reconnues.
- La cybersécurité dans le secteur des énergies renouvelables est susceptible d’évoluer avec les nouvelles technologies.
En conclusion, le secteur solaire traverse une période charnière où la cybersécurité doit être intégrée dès la conception des systèmes. L’importance d’une approche proactive face à la réglementation qui se resserre pourrait façonner l’avenir des énergies renouvelables. Quelles autres mesures pourraient être mises en œuvre pour renforcer cette sécurité, et comment la collaboration entre les différents acteurs du secteur peut-elle être optimisée ?