zum Inhalt springen

    Un danger sous-estimé sur le toit de nos maisons

    Tags:

    Le NTC analyse les cyberrisques des installations photovoltaïques : Le photovoltaïque (PV) est devenu l’un des piliers de la transition énergétique suisse. Aujourd’hui, l’énergie solaire couvre déjà plus de 10% des besoins nationaux en électricité. En 2024, plus de 56 000 nouvelles installations ont été mises en place, ce qui correspond à une puissance maximale de 1,8 GW, nettement plus élevée que celle de la centrale nucléaire de Gösgen (1 GW).

    Puissance des nouvelles installations par an

    2025-pv-capacite-installee[Sources: BFE, Swissolar, KKG]

    Mais cette expansion entraîne également des risques: alors que les grandes centrales électriques traditionnelles sont des systèmes fortement isolés et exploités par des spécialistes, les milliers d’installations photovoltaïques représentent autant de petites centrales électriques. Celles-ci sont souvent gérées par des personnes non qualifiées, par exemple des propriétaires de maisons individuelles. En raison de leur connexion permanente à Internet et au cloud du fabricant, elles génèrent de nouvelles dépendances et offrent un large champ d’action aux cyberattaques.

    Si quelques installations seulement sont piratées, la situation reste gérable. Mais elle risque de devenir problématique si des milliers, voire des dizaines de milliers d’installations en réseau sont manipulées et déconnectées du réseau électrique en même temps. Si une grande quantité d’énergie disparaît soudainement, les autres centrales ne seront guère en mesure de la compenser. Il existe un risque d’effet domino et les perturbations du réseau en résultant pourraient aller jusqu’à une panne générale. Dans ce contexte, les spécialistes parlent de MADIoT: Manipulation of Demand via IoT Devices.

    L’Institut national de test pour la cybersécurité (NTC) réalise actuellement des analyses exhaustives des vulnérabilités sur les onduleurs et les systèmes de gestion de l’énergie, des composants centraux d’une installation photovoltaïque. L’objectif est d’identifier les risques suffisamment tôt, de mettre en évidence les interdépendances et de renforcer la prise de conscience des risques systémiques. Les résultats seront ensuite publiés dans un rapport sommaire et accompagnés de recommandations d’action.

    Les risques liés à la transition énergétique en Suisse se manifestent tout particulièrement dans trois domaines clés:

      • Vulnérabilités liées à la conception  
        Des analyses internationales révèlent de graves lacunes en matière de sécurité chez les principaux fabricants du marché. L’accès à distance avec des plateformes de cloud est particulièrement problématique: il sert normalement à la maintenance mais peut permettre, dans les cas extrêmes, de manipuler ou de mettre hors tension des parcs entiers d’installations en même temps.
      • Risque de concentration
        Le marché suisse est fortement tributaire d’un petit nombre de constructeurs, généralement extra-européens. Cette concentration accroît sa vulnérabilité: si un fournisseur venait à se trouver en situation de défaillance en raison de problèmes techniques ou de tensions géopolitiques, des dizaines de milliers d’installations seraient touchées en même temps. Les autorités étrangères telles que la BSI allemande mettent déjà en garde contre de tels risques géopolitiques (par exemple dans l'article de Deutschlandfunk du 18 janvier 2025).
      • Risque pour la stabilité du réseau
        Une attaque coordonnée contre de nombreuses installations, sous la forme d’une attaque MADIoT, pourrait déstabiliser le réseau électrique de manière ciblée et, dans le pire des cas, déclencher une panne générale.

      2025-pv-blog

      Vulnérabilités connues et dimension géopolitique

      Le danger est réel: les rapports internationaux font état de défauts techniques comme des mots de passe codés en dur, des interfaces non sécurisées ou un cryptage trop faible. Dans le même temps, l’analyse de marché pour la Suisse montre une concentration extrême sur un petit nombre de constructeurs extra-européens. Cela ouvre des possibilités d’attaque non seulement techniques, mais aussi pour des motifs géopolitiques. Un événement tel que la panne générale survenue en Espagne et au Portugal le 28 avril 2025, en grande partie causée par le comportement inattendu de nombreuses centrales (PV), pourrait également être provoqué artificiellement en Suisse par une cyberattaque ciblée contre le parc d’installations d’un seul constructeur.

      Vide de sécurité: qui est responsable?

      Il n’existe actuellement que peu voire pas d’incitations à sécuriser cette infrastructure photovoltaïque décentralisée.

        • Les propriétaires d’installations investissent rarement dans la cybersécurité. Si leur installation est piratée, ils se contentent d’utiliser à nouveau l’électricité du réseau: à court terme, cela semble plus avantageux que d’investir dans des mesures de protection à titre préventif.
        • Bien que les gestionnaires de réseau soient responsables de la stabilité de l’ensemble du système et soient conscients des risques, ils n’ont pas le pouvoir d’imposer des exigences de sécurité aux petites installations privées. Les normes minimales pour les TIC ne s’applique qu’à partir d’une puissance supérieure à 100 MW. Cependant, la grande majorité des installations photovoltaïques ont une puissance inférieure à 50 kW, soit 2000 fois moins. 

        Comme ni les propriétaires d’installations, ni les gestionnaires de réseau ne se voient obligés de procéder à des analyses systématiques des vulnérabilités, un dangereux vide de sécurité subsiste, avec des conséquences potentielles sur l’approvisionnement en électricité dans son ensemble.

        Le rôle du NTC: réaliser des tests indépendants en réseau

        Des analyses indépendantes et sérieuses des vulnérabilités des onduleurs PV sont difficilement réalisables pour les acteurs individuels. Ces contrôles sont en effet rendus complexes par des coûts élevés, un processus d’approvisionnement difficile, une structure de test complexe et des risques considérables pour la sécurité lors de travaux sur des composants conducteurs.

        L’Institut national de test pour la cybersécurité (NTC) dispose de l’infrastructure, du savoir-faire et des ressources nécessaires pour effectuer ces tests de manière systématique et sûre. Afin de couvrir un large marché, le NTC travaille en association avec des organisations partenaires: celles-ci fournissent des appareils de test et participent aux coûts. Il est ainsi possible de répartir les efforts et les risques et de réaliser des analyses approfondies.

        L’urgence vient aussi du fait que les investissements actuels constituent des engagements à long terme: les installations photovoltaïques qui sont installées actuellement seront le pilier central du réseau électrique pour les décennies à venir. C’est pourquoi il est essentiel d’agir de manière proactive dès cette phase de développement.

        Conclusion et perspectives

        Le photovoltaïque est indispensable à la transition énergétique, mais son intégration sécurisée dans le réseau électrique est une condition essentielle à la sécurité de l’approvisionnement. Grâce à ses tests indépendants, le NTC contribue à identifier les risques à un stade précoce et à proposer des solutions. Les acteurs politiques, économiques et sociétaux disposent ainsi d’une base solide pour assurer l’avenir de l’approvisionnement électrique.