Alors que l’énergie solaire devient un pilier stratégique de la transition énergétique en Europe, un autre défi, moins visible mais tout aussi critique, se profile : la cybersécurité des installations photovoltaïques.
Un rapport publié le 29 avril 2025 par SolarPower Europe, en collaboration avec DNV et l’European Inverter Forum, met en lumière des failles préoccupantes dans la sécurité numérique du secteur. Intitulé « Solar sector proposes solutions to mitigate critical cybersecurity risks », ce document dresse un constat sans détour : les onduleurs intelligents, éléments clés des centrales solaires, représentent une porte d’entrée vulnérable pour des cyberattaques de plus en plus sophistiquées.
Un cadre réglementaire et des gestions encore inadaptés
Contrairement aux infrastructures énergétiques traditionnelles, les onduleurs solaires sont souvent conçus et utilisés comme des objets connectés. Ils sont accessibles à distance par plusieurs acteurs impliqués dans la gestion de l’installation : fabricants, installateurs, agrégateurs d’énergie, opérateurs de réseaux, … A cette fin, les informations, données et certaines fonctionnalités sont hébergées sur internet, basées sur des services dit “cloud”. La multiplication des acteurs qui ont accès à ces onduleurs, de près ou de loin, accroît le risque de failles de sécurité. Le secteur, en pleine croissance, devient donc une cible privilégiée pour les ransomwares (les blocages d’accès en échange d’une rançon) ou d’autres menaces, parfois même physiques – arrêt ou mise en défaillance de l’infrastructure à distance.
Bien que l’Union européenne ait renforcé sa législation ces dernières années avec des textes tels que NIS2, le Cyber Resilience Act (CRA), le Network Code on Cybersecurity (NCCS) ou, plus simplement encore, le règlement général de protection des données (RGPD), ces régulations sont pensées pour l’ensemble des infrastructures critiques et ne répondent pas toujours aux spécificités du solaire. Par exemple, les installations PV résidentielles ou commerciales de petite taille échappent souvent aux seuils définis par la réglementation. Par ailleurs, l’absence d’un opérateur unique responsable de la sécurité rend difficile l’application de standards robustes à l’échelle de chaque projet.
Alors que près de 70 % des installations résidentielles et commerciales seraient aujourd’hui connectées à Internet, les connaissances en cybersécurité des installateurs et des prestataires restent limitées face à la sophistication des potentielles attaques. Les mauvaises pratiques — mots de passe par défaut, absence de pare-feu, configurations non sécurisées — sont courantes. Les utilisateurs finaux, mal informés, n’ont souvent pas conscience des risques liés à l’accès distant ou au stockage de données dans des centres de données hors UE, parfois dans des juridictions moins protectrices.
Le passage à l’échelle : la nécessité de prendre des mesures proportionnelles
La situation devient d’autant plus préoccupante quand on considère l’échelle des capacités concernées. En 2023, sept fabricants d’onduleurs auraient ainsi la possibilité de manipuler à distance plus de 10 GW de capacité installée chacun. Une compromission d’un seul de ces acteurs pourrait potentiellement affecter la stabilité du réseau électrique européen. Les données sensibles, qu’elles soient en temps réel ou qu’elles concernent des informations utilisateurs, peuvent également être exposées à des risques d’espionnage ou de sabotage, en particulier si les serveurs sont hébergés hors de l’UE.
Face à ces constats, SolarPower Europe plaide pour l’adoption d’un “socle harmonisé de cybersécurité pour le photovoltaïque”, notamment autour des onduleurs intelligents. Le rapport insiste sur la nécessité d’évaluer les systèmes solaires distribués selon leur niveau réel de risque, de définir une gouvernance claire pour la sécurité tout au long du cycle de vie des installations, de sensibiliser les consommateurs et de promouvoir des systèmes sécurisés par défaut et de combler l’absence d’une norme européenne dédiée à l’ensemble du système décentralisé, y compris en ce qui concerne son infrastructure numérique.
Ce contenu est protégé par un copyright et vous ne pouvez pas le réutiliser sans permission. Si vous souhaitez collaborer avec nous et réutiliser notre contenu, merci de contacter notre équipe éditoriale à l’adresse suivante: editors@pv-magazine.com.
En transmettant ce formulaire vous acceptez que pv magazine utilise vos données dans le but de publier votre commentaire.
Vos données personnelles seront uniquement divulguées ou transmises à des tierces parties dans une optique de filtre anti-spams ou si elles s’avèrent nécessaires à la maintenance technique du site web. Un transfert de vos données à des tierces parties pour toute autre raison ne pourra se faire que s’il est justifié par la législation relative à la protection des données, ou dans le cas où pv magazine y est légalement obligé.
Vous pouvez révoquer ce consentement à tout moment avec effet futur, auquel cas vos données personnelles seront immédiatement supprimées. Dans le cas contraire, vos données seront supprimées une fois que pv magazine aura traité votre requête ou lorsque le but du stockage des données est atteint.
Pour de plus amples informations sur la confidentialité des données, veuillez consulter notre Politique de Protection des Données.