Le piratage de panneaux photovoltaïques
- Session : 2022-2023
- Année : 2023
- N° : 1152 (2022-2023) 1
2 élément(s) trouvé(s).
Question écrite du 06/06/2023
- de CRUCKE Jean-Luc
- à HENRY Philippe, Ministre du Climat, de l'Energie, de la Mobilité et des Infrastructures
Monsieur le Ministre a-t-il eu vent d'une telle information ?
Qu'en est-il des onduleurs utilisés en Wallonie ?
Les gestionnaires de réseau de distribution (GRD) ont-ils des statistiques concernant le potentiel manque de sécurité des onduleurs ?
Y a-t-il eu un rapprochement entre les GRD et la cellule Digital Wallonia spécialisée dans la cybersécurité ?
Peuvent-ils remédier à la problématique ?
Faut-il changer les onduleurs ou une autre solution pourrait renforcer la sécurité ?
N'y a-t-il pas lieu d'interdire l'installation de certains types d'onduleurs ne répondant pas aux exigences attendues en matière de cybersécurité ?
Réponse du 28/07/2023
- de HENRY Philippe
Les deux premiers aspects sont réglementés par la législation, seul le dernier aspect tombe sous la responsabilité des gestionnaires de réseaux, qui traitent ces questions au sein de leur fédération, Synergrid.
En pratique, toutes les installations de production d’électricité fonctionnant en parallèle avec le réseau de distribution belge, ou qui en sont techniquement capables, doivent se conformer à la prescription technique Synergrid C10/11 ed2.2. Le but de cette prescription est de raccorder des unités de production décentralisées de façon sûre et bénéfique pour la stabilité et la continuité du réseau, et de façon sécurisée pour le personnel des gestionnaires de réseaux intervenant sur les réseaux. Il s’agit par exemple des équipements tels que les onduleurs pour panneaux solaires et/ou pour batteries, les groupes électrogènes (groupes de secours), l’infrastructure de recharge bidirectionnelle pour véhicules électriques, les installations de cogénération, les éoliennes.
Pour faciliter la démonstration de cette conformité, toutes les unités de production d'électricité doivent obtenir une homologation type C10/26 et figurer dans la liste C10/26 avant de lancer la procédure de raccordement de l'installation. Actuellement, et étant donné que les exigences techniques ne nécessitent pas de connexion à Internet, il n’y a rien de prévu au niveau de la Cyber Security ni dans la prescription C10/11 ni dans la procédure d’homologation C10/26.
Au niveau de la sécurité des compteurs communicants et de leurs données, le décret électricité du 12 avril 2001 en son article 35septies prévoit l’obligation suivante : « Les compteurs et réseaux intelligents doivent être conçus de manière à éviter la destruction, accidentelle ou illicite, l'accès et la modification des données à caractère personnel ainsi qu'à permettre une communication sécurisée de ces données en tenant dûment compte des meilleures techniques disponibles pour garantir le plus haut niveau de protection en matière de cybersécurité, tout en gardant à l'esprit les coûts et le principe de proportionnalité. ».
L’importance stratégique des réseaux électriques implique donc que des mesures strictes de protection élevée et de défense de l’ensemble des équipements des gestionnaires de réseaux soient mises en place pour garantir la sécurité et l’intégrité des réseaux.
Malheureusement tel n’est pas toujours le cas au niveau des équipements des particuliers ou de certaines entreprises.
Il y a en effet lieu de constater que la plupart des onduleurs (photovoltaïques) ont un point faible au niveau sécurité via leur connexion externe (souvent du type wifi, voire CPL pour certains). Les modules (wifi) utilisés sont très communs, et comparables à ce que l’on trouve souvent sur les caméras wifi domestiques. Le niveau de sécurité est faible et expose à des attaques pour prendre la main sur l’onduleur (mot de passe faible, connexion à un cloud, pas d’encryption …) et bloquer ou faire planter l’onduleur ciblé.
L’impact d’une telle attaque peut se situer à deux niveaux : individuellement chez les « prosumers » qui verraient leur production interrompue, et plus largement en cas d’attaque massive, au niveau de l’équilibre global du réseau (de transport) qui pourrait être déstabilisé si une puissance importante et concentrée localement devait être déconnectée de façon instantanée. Le risque lié à une telle attaque massive est cependant limité en raison notamment de la variété d’onduleurs et de technologies installées, mais aussi et surtout de la dissémination des unités de production décentralisées sur le réseau.
Étant donné son impact sur le réseau de transport, cette thématique devrait être traitée de façon harmonisée au niveau fédéral. Il y a d’ailleurs lieu de noter que des questions similaires se posent au nord du pays.
Par ailleurs, si les gestionnaires de réseaux s’inscrivent aujourd’hui dans des travaux de l’Agence du Numérique (par exemple les appels à projets Templins IA), il n’y a actuellement pas de collaboration spécifique sur cette question.
Comme l’honorable membre peut le constater, la problématique dépasse largement la compétence de l’énergie et doit s’inscrire dans un contexte plus vaste de sécurité générale des installations wifi et de la cybersécurité. Des campagnes de sensibilisation ont déjà été menées par le Fédéral. Il serait opportun de poursuivre ces actions de sensibilisation.