L’Union européenne ou le Royaume-Uni ont renforcé la sécurité des objets connectés avec la directive RED (2014/53/UE) et la loi sur la sécurité des produits et des infrastructures de télécommunications (PSTI), imposant dès 2024 des mots de passe uniques et la protection des données. Bien que ces mesures permettent de sécuriser un plus grand nombre d’appareils et qu’elles contribuent à la cyber-sécurisation du secteur du solaire, elles ne sont pas encore suffisantes.
Le règlement sur la cyberrésilience (CRA) qui entrera progressivement en vigueur d’ici deux ans, renforce la réglementation en imposant aux fabricants d’objets connectés des exigences de sécurité plus strictes que celles prévues par la RED et la PSTI. En parallèle, la directive européenne NIS2 renforce la responsabilité en cybersécurité des propriétaires d’actifs, des exploitants et des fournisseurs de services vitaux. Dans le solaire, installateurs, développeurs, propriétaires, investisseurs et assureurs seront ainsi tenus légalement responsables des infrastructures solaires et des éventuelles conséquences dues à une cyberattaque.
Le renforcement des réglementations en cybersécurité est une avancée pour le secteur mais des mesures spécifiques sont nécessaires pour protéger ces infrastructures sensibles. La surveillance des flux de données entre les fabricants et les équipements, notamment via les onduleurs, reste encore perfectible, alors même que ces systèmes se distinguent des autres objets connectés par leur caractère hautement sensible. D’autres installations comme les petites centrales (pourtant majoritaires en Europe) présentent aussi d’importantes faiblesses, faute de règlementation sur les pares-feux.
Une réglementation naissante, appelée à se renforcer
Portée par une prise de conscience, la réglementation progresse. La Commission européenne évalue désormais les risques photovoltaïques, tandis que l’Allemagne consulte les acteurs du secteur et que la Lituanie impose déjà des restrictions sur les équipements non sécurisés, y compris de façon rétroactive. Face à ces évolutions, la filière du solaire doit anticiper ces obligations. En vue de règles plus strictes, le secteur doit agir sans attendre, en adaptant ses pratiques.
Les particuliers et les entreprises doivent aussi comprendre le rôle central de leurs onduleurs et vérifier la fiabilité du fabricant sur le plan de sa cybersécurité. Les propriétaires d’installation et les sociétés d’exploitation doivent prendre la mesure de leur responsabilité légale en cybersécurité qui tend à s’élargir. Comme pour les clôtures, caméras ou systèmes anti-incendie, ils devront bientôt investir dans des solutions logicielles et matérielles sûres, dépassant le simple pare-feu ou VPN. Il est essentiel de s’entourer d’experts capables de garantir la mise en conformité avec les futures exigences, au-delà du cadre de la norme NIS2. Il convient également d’établir des conditions contractuelles claires pour les installateurs et prestataires de maintenance concernant des éléments clés comme l’onduleur, la batterie et le système de supervision, soumis à différents niveaux de conformité. A minima, un inventaire des équipements est utile.
À mesure que la réglementation évolue, les acteurs du solaire peuvent renforcer leur cybersécurité. Anticiper les vulnérabilités permet d’éviter d’en subir les conséquences, qu’il s’agisse de pénalités financières ou d’interdiction de produits. Au vu de la durée de vie des systèmes, il est essentiel d’adopter dès aujourd’hui de bonnes pratiques, à l’image des approches existantes en sécurité incendie, électrique et même en termes de durabilité.
Préserver l’avenir du solaire repose sur la responsabilité de tous
Les installateurs solaires jouent un rôle clé dans la protection contre les risques. Le choix d’onduleurs sécurisés dès la phase de conception (au travers de communication cryptée ou dotés de mots de passe durcis), doit devenir une norme voire une obligation. Quant aux fabricants, ils doivent intégrer la cybersécurité dès la conception, sans complexifier l’usage. Des solutions comme la configuration par QR code, des clés cryptées ou la vérification biométrique offrent une sécurité renforcée et un usage simplifié.
Les exploitants solaires doivent gérer l’accès et le contrôle des sites de toute taille à l’instar des infrastructures critiques d’ores et déjà réglementées. La cybersécurité n’est plus une option, mais une nécessité, tout comme les ceintures de sécurité dans l’automobile. Sans la subir, les acteurs du solaire peuvent anticiper la réglementation qui constitue un levier essentiel pour circonscrire les risques et les responsabilités. Les fabricants qui tardent à s’adapter s’exposent à des sanctions ou à devenir le maillon faible face aux cyberattaques. Investir dans la cybersécurité dès aujourd’hui revient à garantir l’avenir du secteur photovoltaïque.
The views and opinions expressed in this article are the author’s own, and do not necessarily reflect those held by pv magazine.
Ce contenu est protégé par un copyright et vous ne pouvez pas le réutiliser sans permission. Si vous souhaitez collaborer avec nous et réutiliser notre contenu, merci de contacter notre équipe éditoriale à l’adresse suivante: editors@pv-magazine.com.
En transmettant ce formulaire vous acceptez que pv magazine utilise vos données dans le but de publier votre commentaire.
Vos données personnelles seront uniquement divulguées ou transmises à des tierces parties dans une optique de filtre anti-spams ou si elles s’avèrent nécessaires à la maintenance technique du site web. Un transfert de vos données à des tierces parties pour toute autre raison ne pourra se faire que s’il est justifié par la législation relative à la protection des données, ou dans le cas où pv magazine y est légalement obligé.
Vous pouvez révoquer ce consentement à tout moment avec effet futur, auquel cas vos données personnelles seront immédiatement supprimées. Dans le cas contraire, vos données seront supprimées une fois que pv magazine aura traité votre requête ou lorsque le but du stockage des données est atteint.
Pour de plus amples informations sur la confidentialité des données, veuillez consulter notre Politique de Protection des Données.