Les gigantesques centrales électriques non régulées dans le cloud

• Récemment, un hacker néerlandais a pu contrôler l’installation de 4 millions de panneaux solaires. Ce n’est pas la première fois.
• La plupart des panneaux solaires destinés aux particuliers et aux entreprises sont gérés de manière centralisée par un petit nombre d’entreprises.
• Rien qu’aux Pays-Bas, ces panneaux solaires génèrent une puissance équivalente à au moins 25 centrales nucléaires de taille moyenne.
• En Europe, il existe très peu de règles ou de lois encadrant ces gestionnaires centralisés.
• Ces plateformes de gestion basées dans le cloud peuvent arrêter simultanément tous les panneaux solaires à la suite d’un piratage ou d’un incident.
• D’après de récentes vérifications menées par des hackers éthiques et par le gestionnaire de réseau néerlandais TenneT, il ne s’agit pas d’un scénario théorique.
• Pris individuellement, les panneaux solaires ne causent pas de gros dégâts, mais avec le temps leur nombre a fortement augmenté et leur gestion s’est concentrée en quelques endroits.
• Il faut supprimer la possibilité de couper de manière centralisée des gigawatts de production, ou bien réguler les gestionnaires centralisés comme des entreprises du secteur de l’énergie.
• Aux Pays-Bas, 15 GW de puissance sont contrôlés à distance, sans que l’on sache exactement qui en a le contrôle.
• La future directive européenne NIS2 offre une occasion d’améliorer la situation, mais elle doit être clarifiée.
• SolarPower Europe demande également que les règles NIS2 s’appliquent explicitement au solaire.

L’histoire plus longue

• Willem Westerhof tente d’attirer l’attention sur ce problème depuis 2016.
• Avec son employeur Secura, Willem a rédigé un vaste rapport pour le « Topsector Energie » néerlandais.
• Le réseau électrique synchronisé du continent européen est une réalisation remarquable qui relie une grande partie de l’Europe et au-delà.
• Le réseau doit en permanence rester équilibré. Si trop d’électricité y entre, la fréquence augmente et des surtensions peuvent survenir.
• Récemment, une panne de courant internationale s’est produite en Albanie, au Monténégro, en Bosnie et en Croatie.
• Des normes élevées s’appliquent aux grands fournisseurs d’électricité. Leurs centrales sont surveillées, leurs équipements doivent satisfaire de nombreuses exigences et leur personnel doit disposer des certifications appropriées.
• Les réseaux et fournisseurs européens coopèrent en continu pour maintenir le réseau stable et sûr.

Ce que nous régulons

• Les panneaux solaires sont raccordés au réseau via un onduleur. Cet appareil convertit l’énergie des panneaux dans une forme que le réseau électrique peut gérer.
• Cet appareil doit respecter des règles et, aux Pays-Bas, seuls les onduleurs approuvés par le belge Synergrid peuvent être installés.

Ce que nous ne régulons pas

• La plupart des onduleurs sont connectés à Internet. Cette configuration établit une liaison avec le fabricant et téléverse des statistiques sur les panneaux solaires et la production électrique.
• Le propriétaire des panneaux peut se connecter au fabricant via une application ou un site web.
• Le fabricant peut allumer et éteindre tous les panneaux, et installer de nouveaux logiciels sur les onduleurs.
• Si le fabricant est piraté, l’attaquant peut envoyer aux onduleurs une mise à jour logicielle malveillante qu’il contrôle.

Alors, que se passerait-il ?

• Le réseau électrique est extrêmement sensible. Exactement la même quantité d’électricité doit entrer et sortir.
• Les fabricants de panneaux solaires et d’onduleurs peuvent allumer et éteindre des millions d’installations.
• Les hackers éthiques néerlandais Wietse Boonstra et Hidde Smit ont pu modifier le logiciel d’installations de panneaux solaires sans l’autorisation du fabricant.

Oh non

• S’il existait un tableau de commande capable d’éteindre simultanément des dizaines de réacteurs nucléaires, il devrait respecter toutes sortes de règles de sécurité.
• Les panneaux solaires résidentiels et les onduleurs sont considérés comme des appareils électroniques grand public « ordinaires », sans inspections ni cadre légal spécifique.
• La gestion s’est concentrée entre les mains d’un petit nombre de fournisseurs, qui ne sont pas strictement régulés.

Et maintenant ?

• Le récent rapport de Secura, commandé par le Topsector Energie néerlandais, est très utile pour comprendre à quel point la situation est grave.
• De nouvelles lois arrivent, et NIS2 ainsi que le Cyber Resilience Act pourraient soumettre ces acteurs à des règles plus strictes.
• SolarPower Europe soutient également que les acteurs de la gestion centralisée devraient entrer dans le champ d’application de NIS2.

Le récapitulatif de GN⁺

• Cet article explique comment la gestion centralisée des panneaux solaires peut faire peser un risque majeur sur le réseau électrique européen.
• Il souligne la gravité du problème, notamment en raison de l’absence quasi totale de régulation des gestionnaires centralisés.
• De nouvelles lois comme NIS2 et le Cyber Resilience Act pourraient aider à résoudre ce problème.
• L’article met en avant l’importance de la gestion de l’énergie et des enjeux de sécurité, en apportant des informations importantes aux professionnels du secteur.
• Parmi les produits ou projets dotés de fonctions similaires, on peut citer SolarEdge, Enphase Energy, etc.