Cybersécurité

L’interdiction de financement de l’UE visant les onduleurs provenant de fournisseurs à haut risque, y compris les fournisseurs chinois, s’étend aux systèmes PCS des installations de stockage d’énergie par batteries (BESS). Cette nouvelle politique est déjà entrée en vigueur et affecte des milliards d’euros de financements de la Banque européenne d’investissement, destinés à des projets d’énergies renouvelables, y compris le stockage autonome et le stockage co-localisé.

L’Union européenne invoque des préoccupations de cybersécurité et en publie de nouvelles orientations pour les éliminer progressivement. Une période de transition s’applique à certains projets liés au réseau de l’UE, tandis que d’autres devront exclure ces fournisseurs d’ici 2027.

Les plateformes cloud et les solutions SaaS sont désormais au cœur de l’exploitation des centrales photovoltaïques. Cette centralisation crée toutefois un risque cyber à fort impact : une compromission unique peut exposer ou perturber simultanément des milliers d’installations.

Les attaques de la chaîne d’approvisionnement compromettent les systèmes photovoltaïques en ciblant des fournisseurs, logiciels ou composants matériels de confiance, permettant aux attaquants de s’introduire indirectement via des canaux légitimes.

Les attaques par déni de service submergent les systèmes en réseau avec un trafic massif provenant de dispositifs compromis, perturbant les communications et rendant des services critiques tels que la supervision et le contrôle des systèmes photovoltaïques indisponibles.

Les attaques par compromission d’identifiants permettent aux adversaires d’obtenir un accès non autorisé aux systèmes photovoltaïques en volant ou en devinant des identifiants de connexion valides, leur permettant de manipuler les opérations, de perturber la supervision ou de prendre le contrôle d’actifs critiques.

Les attaques de type homme du milieu constituent une menace sérieuse pour les systèmes photovoltaïques en réseau, permettant aux attaquants d’intercepter, de modifier ou de perturber les communications, ce qui peut entraîner des défaillances opérationnelles, des dommages physiques, des pertes financières et des risques pour la sécurité.

Les attaques par ransomware chiffrent ou verrouillent les données critiques des systèmes photovoltaïques et les plateformes de contrôle, empêchant les opérateurs d’accéder à leurs actifs ou de les gérer tant qu’une rançon n’est pas payée. Ces attaques peuvent perturber les opérations, réduire la production d’énergie et créer des risques pour la sécurité, rendant indispensables des sauvegardes robustes, une segmentation et des réponses aux incidents pour assurer la résilience.

Longtemps considérés comme des composants secondaires, les capteurs des systèmes photovoltaïques apparaissent aujourd’hui comme un maillon faible critique. Faciles à perturber à distance, ils ouvrent la voie à des attaques aussi discrètes qu’efficaces, alerte le chercheur en cybersécurité Mohammad Al Faruque.

Le régulateur italien de l’énergie impose aux installations photovoltaïques et éoliennes de plus de 100 kW d’installer des contrôleurs centraux dotés d’une fonction de contrôle à distance de la puissance active, avec des échéances de mise en conformité échelonnées jusqu’en 2028.