Mieux protéger les infrastructures critiques - Cybersécurité des installations photovoltaïques

Par :
Vivian Bullinger, Solar-Log GmbH, Marketing produit
Max Miller, Solar-Log GmbH, Responsable de la sécurité de l'information (ISO)

28/07/2025 • 4 min. de lecture

La numérisation des installations photovoltaïques ne cesse de croître et offre d'énormes avantages aux utilisateurs et aux exploitants : Surveillance à distance, optimisation des performances, maintenance prédictive. Cependant, les risques de sécurité augmentent avec la mise en réseau. Différents scénarios sont envisageables si une protection suffisante n'est pas mise en place. Des pirates informatiques pourraient par exemple prendre pour cible des installations photovoltaïques non protégées, récupérer des données d'accès, manipuler des installations ou même déstabiliser le réseau électrique.

Des études récentes montrent qu'en Europe, plus de 76 % des installations PV sont involontairement accessibles au public sur Internet. En Allemagne et en Grèce, environ 20 % des systèmes PV sont particulièrement concernés. (Source : www.forescout.com, www.forescout.com/resources/sun-down-research-report )

Il existe pourtant des possibilités de protéger activement son installation PV et ses données sensibles.

 

Points d'attaque sur les systèmes PV

Il existe différents points d'attaque pour un accès non autorisé aux systèmes PV. Pour pouvoir les protéger efficacement, il est important de les connaître et de les identifier au préalable. Nous avons résumé ici les principaux points faibles : Protection insuffisante par mot de passe Certains onduleurs, appareils de surveillance ou passerelles sont accessibles au public via des mots de passe standard ou sans VPN et sont donc vulnérables.

Authentification faible Derrière une authentification faible se cache le problème général des mots de passe. Les mots de passe simples sans autre procédure d'authentification sont un point d'attaque important. Une authentification à deux facteurs (2FA) est de plus en plus utilisée en plus du mot de passe. Ici, l'utilisateur doit choisir une deuxième option en plus du mot de passe proprement dit, avec laquelle il peut ensuite se connecter.

Mises à jour du micrologiciel Souvent, les mises à jour du micrologiciel des fabricants sont ignorées. Les fabricants publient régulièrement de nouvelles mises à jour pour leurs systèmes. Dans ces mises à jour, on trouve non seulement de nouvelles fonctions, des corrections de bugs, mais aussi souvent des nouveautés pertinentes pour la cybersécurité. En outre, l'absence des dernières mises à jour permet, dans certaines circonstances, d'introduire des portes dérobées par le biais de chevaux de Troie ou de logiciels dits malveillants.

 

Principaux risques de cyber-attaques pour les systèmes PV

Une fois que des personnes non autorisées ont obtenu l'accès au système PV, il existe différentes options leur permettant d'abuser de cet accès. Les objectifs peuvent être très différents. Les connaître permet de protéger les installations.

Manipulation de la puissance et stabilité du réseau Les attaques réussies sur les systèmes PV peuvent influencer la puissance d'alimentation et, dans des cas extrêmes, entraîner une instabilité du réseau ou des pannes de courant. Bien sûr, il faut attaquer un grand nombre d'installations PV individuelles ou quelques très grandes installations, mais l'impact d'une telle attaque serait grave. Dans le cas de petites installations ou d'installations individuelles, ce sont surtout les exploitants qui sont concernés par les effets négatifs.

Ransomware et sabotage Les attaques de ransomware peuvent crypter les données de systèmes de contrôle PV complets. L'exploitant est alors souvent victime d'un chantage à l'arrêt de l'installation, qui n'est alors libérée qu'après paiement de créances élevées.

 

Protection efficace des points d'attaque

Comment se protéger des attaques et de leurs éventuelles conséquences ? Ici, la responsabilité incombe non seulement aux fabricants, mais aussi aux exploitants. Ceux-ci doivent en effet mettre en œuvre les mesures des fabricants et veiller en permanence à ce que les systèmes soient à jour.

  • Segmentation du réseau Les composants photovoltaïques doivent être strictement séparés du réseau local du domicile ou de l'entreprise et, dans l'idéal, n'être accessibles que par des canaux VPN dédiés. Les accès à distance aux moniteurs, etc. ne doivent jamais être non cryptés ou publics.
  • Authentification forte Les mots de passe par défaut doivent être modifiés immédiatement. Toutes les applications doivent utiliser l'authentification multifactorielle (MFA) afin d'éviter le vol d'identité.
  • Mises à jour et correctifs réguliers Les mises à jour des micrologiciels et des logiciels sont obligatoires. Les fabricants travaillent en permanence sur ce que l'on appelle des patchs de fabricants, c'est-à-dire des mises à jour pour les logiciels qui concernent des lacunes de sécurité. Les patchs sont inclus dans les mises à jour des micrologiciels et doivent être appliqués par les exploitants.
  • Monitoring & Logging Tous les accès et les modifications de configuration doivent pouvoir être audités. Des outils de monitoring spéciaux aident ici, ils détectent à temps les anomalies et les accès étrangers.
  • Backup & Incident Response Un plan d'urgence en cas de fuite de données ou de panne de système est essentiel. Les données doivent être sauvegardées et les responsables doivent savoir comment réagir correctement aux incidents.
  • Formation du personnel Il est important que le personnel technique et les opérateurs soient régulièrement formés et sensibilisés à la cybersécurité, par exemple aux attaques de phishing, à l'ingénierie sociale ou aux risques liés aux médias sociaux.
  • Protection des données & RGPD Toujours s'assurer que les fabricants disposent d'une réglementation correspondante en matière de protection des données. Les données d'électricité en direct contiennent des informations personnelles et doivent donc être particulièrement protégées. Leur transmission ne peut se faire que sur une base contractuelle et légale, conformément aux règles du RGPD.

Mesures de sécurité dans le monitoring PV

Les points mentionnés ci-dessus s'appliquent en principe à tous les systèmes d'une installation PV qui permettent aux pirates d'accéder à l'installation. Il s'agit non seulement des onduleurs, des passerelles, mais aussi des systèmes de surveillance ou de gestion PV. Les "gestionnaires d'énergie", comme ceux de Solar-Log, constituent justement l'interface entre l'installation PV et les fournisseurs d'énergie et doivent être protégés en conséquence.

L'exemple de Solar-Log montre clairement comment de tels systèmes sont protégés - aussi bien par le fabricant que par les exploitants.

La sécurisation de la transmission des données est un thème central de la protection de l'installation PV. Solar-Log utilise des normes de cryptage modernes comme TLS (Transport Layer Security) pour garantir une communication sécurisée entre les appareils, les portails et les applications mobiles. En outre, les données dans le cloud sont également protégées par un cryptage. Les prestataires de services cloud utilisés sont certifiés ISO 27001, ce qui garantit des exigences élevées en matière de sécurité et de disponibilité.

Un autre point fort est la gestion des utilisateurs et des accès. Solar-Log utilise le principe de l'attribution minimale des droits ("Least Privilege") et introduit un contrôle d'accès basé sur les rôles. Les utilisateurs doivent utiliser des mots de passe forts et une authentification à deux facteurs (2FA) est proposée sur demande. Les processus d'accès sont entièrement consignés et peuvent être analysés si nécessaire.

Des principes de sécurité stricts sont également appliqués dans le développement de logiciels. Le code source est contrôlé en interne, régulièrement scanné pour détecter les failles et vérifié par des tests d'intrusion externes. Il s'agit ainsi de s'assurer que les failles sont détectées et éliminées à temps. Les clients sont informés des mises à jour relatives à la sécurité et reçoivent des instructions claires sur l'installation de nouveaux firmwares.

En cas d'incident de sécurité, Solar-Log dispose de sa propre équipe de réponse aux incidents. Celle-ci analyse et évalue les problèmes de sécurité identifiés, coordonne les contre-mesures et informe les utilisateurs concernés dans les meilleurs délais. Les processus de réaction sont documentés et régulièrement testés. Il convient de mentionner en particulier la réaction aux vulnérabilités connues comme CVE202247767 (porte dérobée dans les anciennes versions du micrologiciel), qui ont été corrigées par des mises à jour correspondantes.

En outre, Solar-Log veille aux aspects de sécurité dès le développement du produit ("Security by Design"). Il s'agit par exemple de l'utilisation de PKCE (Proof Key for Code Exchange) pour l'authentification web. L'intégration de technologies sûres et la protection des interfaces locales des appareils contre les accès non autorisés font également partie de la norme.

En résumé, il apparaît qu'une approche globale de la cybersécurité est suivie. Elle combine des mesures techniques avec des processus organisationnels et mise sur la transparence et l'amélioration continue.

 

L'image montre la communication réseau du système de gestion d'énergie photovoltaïque Solar-Log™ Base dans un réseau client sécurisé. Ici, les données sont transmises au portail en ligne Solar-Log WEB Enerest™ et les mises à jour du micrologiciel et des bundles sont effectuées. Cette architecture garantit une communication sécurisée et structurée entre les appareils locaux, les services cloud et les partenaires optionnels tels que les distributeurs directs ou les serveurs externes.

Mesures complémentaires des fabricants et des autorités publiques

Outre les utilisateurs et les fabricants, le thème de la cybersécurité des installations PV est également un point important pour les organismes publics.

Recommandations nationales

Le BSI allemand met expressément en garde contre l'autorisation d'une commande utile au réseau via des composants connectés à Internet provenant de l'étranger. Il recommande plutôt des technologies décentralisées telles que les systèmes de mesure intelligents afin de minimiser les éventuelles portes dérobées (source : pv-magazine.de).

Classification en tant qu'infrastructure critique

Les grands parcs photovoltaïques de plus de 104 MW sont considérés comme des KRITIS. Les exploitants doivent respecter des normes de sécurité informatique, permettre des audits réguliers et prendre des mesures spéciales contre le sabotage.

Lignes directrices recommandées :

  • NIST Cybersecurity Framework : est un ensemble volontaire de lignes directrices et de meilleures pratiques développé par le National Institute of Standards and Technology (NIST) pour aider les organisations à gérer et à réduire leurs risques de cybersécurité. Il propose une approche structurée de la gestion des risques de cybersécurité qui intègre les normes, directives et bonnes pratiques existantes.
  • Recommandations CISA : publie des recommandations et des guides sur différents aspects de la cybersécurité, destinés aux entreprises et aux particuliers. Elles comprennent à la fois des pratiques générales de cybersécurité et des recommandations spécifiques pour la protection des infrastructures critiques et l'acquisition sécurisée de technologies.
  • Architecture de confiance zéro (ZTA) : Hypothèse selon laquelle tout appareil sur le réseau est considéré comme potentiellement compromis. Il s'agit d'un cadre de cybersécurité basé sur le principe "never trust, always verify". Il part du principe qu'aucun utilisateur ou appareil, même au sein d'un réseau traditionnel, ne devrait être automatiquement considéré comme digne de confiance.

Conclusion

Les installations photovoltaïques sont aujourd'hui bien plus que des modules en verre et en silicium - elles font partie de systèmes cyberphysiques complexes. La numérisation croissante offre de nombreuses opportunités, mais les risques vont des violations de la protection des données aux perturbations critiques de l'infrastructure énergétique.

Les utilisateurs doivent être vigilants, sécuriser les systèmes et s'occuper activement des mises à jour et de la formation du personnel. Des fournisseurs comme SolarLog offrent une base technique solide : les accès basés sur les rôles, MFA, PenTests, IDS et IncidentResponse sont les pierres angulaires de leur concept de sécurité.

Enfin, la politique et les autorités ont également apporté leur contribution : Le BSI exige un contrôle décentralisé et des technologies de confiance ; les grandes installations sont soumises à des normes KRITIS.

Seule une approche globale - du matériel aux logiciels et à la mise en réseau, en passant par les aspects organisationnels et de conformité - peut rendre les installations PV pérennes et résistantes aux menaces.

 

 

En savoir plus sur Solar-Log

Au début des années 2000, nous avons commencé notre activité dans le domaine de l'énergie solaire en tant que pionniers. Tournés vers l'avenir, nous reconnaissions déjà à l'époque l'importance croissante des sources d'énergie alternatives.

Compte tenu de la fin des sources d'énergie fossiles et de l'augmentation des besoins en énergie qui se profilait, nous avons posé des jalons : Afin d'assurer une alimentation électrique indépendante grâce au photovoltaïque, nous avons continuellement fait avancer le développement de solutions de systèmes énergétiques innovantes et spécifiques aux clients.

Aujourd'hui, en tant que partenaire indépendant, nous permettons aux entreprises du monde entier de gérer l'énergie de leur installation photovoltaïque de manière efficace et rentable grâce à un monitoring fiable et à des produits de haute qualité "Made in Germany". Nous les aidons ainsi à contribuer activement à la transition énergétique ainsi qu'à la préservation de l'environnement.

En savoir plus