Un piratage éthique de panneaux solaires aux Pays-Bas a mis en évidence leur vulnérabilité face aux cyberattaques, poussant l’industrie à exiger des évaluations de sécurité plus rigoureuses.
Alors que les éoliennes, qui sont fortement interconnectées et équipées de centaines de capteurs, sont traditionnellement considérées comme plus vulnérables aux interférences extérieures que les panneaux solaires, un citoyen néerlandais a voulu prouver le contraire.
Selon le site d’investigation FollowTheMoney, un hacker néerlandais pourrait avoir pris le contrôle de millions de panneaux solaires intelligents à l’aide d’un programme « backdoor », c’est-à-dire un programme informatique malveillant.
Cette découverte vient confirmer un rapport publié en 2023 par une agence néerlandaise, selon lequel les convertisseurs, éléments essentiels des panneaux solaires qui rendent l’électricité utilisable par le réseau électrique et qui sont généralement connectés à Internet, peuvent être « facilement piratés, désactivés à distance ou utilisés pour des attaques par DDoS [déni de service distribué ».
Les DDoS sont l’un des types d’attaques les plus courants, et consistent principalement à submerger un système de trop de stimulations afin de le ralentir ou de le bloquer.
L’association industrielle européenne SolarPower Europe a déclaré dans un communiqué commentant le piratage que l’Union européenne « a besoin de règles plus solides en matière de cybersécurité pour les sources d’énergie distribuées ».
La part de l’énergie solaire dans le réseau européen est passée de 1 % en 2010 à 9 % en 2023, et, avec elle, le potentiel de perturbations lié aux cyberattaques contre les panneaux solaires s’est également accru.
« Les dispositifs qui peuvent être coordonnés ou gérés de manière centralisée (par exemple, les installations solaires agrégées sur les toits) doivent être soumis à un système de surveillance autorisé au niveau européen ou national », a insisté Dries Acke, directeur général adjoint du groupe de pression.
Un rapport publié le 24 juillet par l’agence de l’Union européenne pour la cybersécurité a révélé que l’UE est mal préparée à une attaque concertée contre son infrastructure énergétique, qu’elle soit le fait d’un État étranger ou de personnes malveillantes à l’intérieur de l’Union même.
L’électricité étant essentielle, toute attaque contre l’Europe « implique une activité de prépositionnement considérable de la part des acteurs d’une menace avancée » dans le secteur de l’énergie, s’ils veulent « exécuter une attaque destructrice », ajoute l’étude.
Les panneaux solaires ont été décrits comme un point vulnérable dans plusieurs scénarios, notamment en raison de la domination d’un seul pays, la Chine, dans la chaîne d’approvisionnement.
Selon l’industrie, si des lois telles que la directive européenne actualisée sur la sécurité des réseaux et des systèmes d’information, connue sous le nom de NIS2, et le règlement sur la cyberrésilience (Cyber Resilience Act, CRA) constituent un début, il faut néanmoins aller plus loin : les panneaux solaires devraient être classés comme produits sensibles, ce qui signifie qu’ils feraient l’objet d’évaluations plus rigoureuses.
Ces préoccupations interviennent alors que l’industrie solaire européenne cite la cybersécurité comme une raison pour laquelle elle devrait bénéficier d’un traitement préférentiel, ce qui l’aiderait à regagner des parts de marché face à ses concurrents chinois.
« Les exigences futures en matière de cybersécurité devraient faire partie d’un plan d’action de l’UE pour le développement de l’électrification », a affirmé Dries Acke, ajoutant que « l’Europe doit tirer les leçons de ses récentes expériences en matière de sécurité énergétique et tracer une voie sûre pour l’avenir ».
[Édité par Anna Martino]