La menace croissante de la cybersécurité dans le secteur des énergies renouvelables 

Au cours de la dernière décennie, les énergies renouvelables ont connu une croissance sans précédent en Europe (Agence Internationale de l’Énergie). Mais bien que la standardisation et les meilleures pratiques se généralisent à mesure que le secteur mûrit, la cybersécurité des actifs renouvelables reste un domaine systématiquement négligé. 

 

 

https://www.iea.org/data-and-statistics/charts/renewable-electricity-generation-increase-by-technology-2019-2020-and-2020-2021 

Cet article identifiera pourquoi la cybersécurité des actifs renouvelables a été quelque peu ignorée dans l’industrie jusqu’à récemment, les risques et les dommages potentiels que cela peut causer à votre portefeuille d’actifs, ainsi que les solutions pour atténuer ces risques. 

Qu’est-ce que la cybersécurité ? 

La cybersécurité désigne l’ensemble des technologies, des processus et des contrôles conçus pour protéger les systèmes, les réseaux, les appareils et les données contre les attaques et les accès non autorisés. 

Dans le cadre des actifs d’énergie renouvelable, chaque système ayant un accès physique ou en ligne représente un point d’intrusion potentiel. Il est crucial de contrôler les accès et de garantir l’intégrité des données à chaque point accessible. De nombreux systèmes renouvelables utilisent des contrôles avancés, des capteurs numériques et des architectures réseau situés à proximité des sources de production, qui doivent être correctement sécurisés. Exemples de composants et de systèmes nécessitant une attention particulière : 

• Contrôle et surveillance des onduleurs 

• Systèmes de vidéosurveillance (CCTV) 

• Systèmes d’alarme (détection d’intrusion et capteurs environnementaux) 

• SCADA 

• Systèmes de communication 

• Contrôle des sous-stations 

• Capteurs sur le terrain 

• Stations de contrôle éolien 

• Capteurs météorologiques et environnementaux 

• Architectures réseau et routeurs 

La cybersécurité dans le secteur des énergies renouvelables 

Le niveau de maturité en matière de cybersécurité dans le secteur des énergies renouvelables est faible, ce qui laisse de nombreux propriétaires d’actifs vulnérables aux attaques. 

La cybersécurité n’a pas été prise en compte lors de la conception de la majorité des actifs renouvelables actuellement en service.
Les systèmes SCADA et CCTV bon marché et standardisés sont devenus la norme dans l’industrie.
Les composants clés ont été sélectionnés sans considération pour la cybersécurité.
Aucune politique ou réglementation spécifique n’a été établie.
Les acheteurs et leurs conseillers techniques n’examinaient pas la cybersécurité lors des transactions ni après l’achèvement et l’acceptation des projets.
En conséquence, de nombreux propriétaires d’actifs renouvelables en Europe ne savent pas où leurs données sont stockées, qui a un accès à distance à leurs systèmes, ni à quel point leurs connexions sont sécurisées. Cela rend les actifs d’énergie renouvelable vulnérables et exposés aux cyberattaques. 

Cyberattaques – Une menace bien réelle 

La menace des cyberattaques n’est pas hypothétique. La première attaque sur un projet renouvelable a été signalée l’année dernière aux États-Unis. 

sPower, un grand propriétaire d’actifs éoliens et solaires, a subi une série de pertes de connexion entre son centre de contrôle principal et ses sites de production d’électricité. Ces pannes intermittentes ont été attribuées à une attaque par déni de service distribué (DDoS). 

Lors des cyberattaques contre le réseau électrique en Ukraine en 2015/2016, les hackers ont pris le contrôle à distance des infrastructures SCADA et des sous-stations. Bien que cette attaque ne ciblait pas directement des infrastructures d’énergie renouvelable, elle a révélé des vulnérabilités également présentes dans ce secteur. 

Cyberattaques – Conséquences potentielles 

Les conséquences d’une cyberattaque sur des actifs renouvelables varient en fonction du type d’attaque. Certaines des conséquences possibles incluent : 

• Perte de visibilité et de données 

• Pertes financières (ex. : si l’attaque entraîne une perte de production ou endommage une partie du système) 

• Dommages à la réputation (ex. : si l’attaque devient publique et révèle de faibles mesures de sécurité) 

• Perte d’opportunités (ex. : les centrales virtuelles exigent des standards de cybersécurité élevés, et des acheteurs potentiels peuvent imposer des critères stricts en la matière) 

• Augmentation des primes d’assurance (les assureurs peuvent exiger des garanties en matière de cybersécurité pour couvrir les actifs) 

Êtes-vous certain que vos mesures de cybersécurité vous protègent contre ces conséquences ? 

Solutions 

Lors de l’élaboration d’une stratégie de cybersécurité, il est essentiel de comparer le coût de récupération après une cyberattaque avec le coût de mise en place de mesures de protection supplémentaires. 

Certaines mesures sont peu coûteuses et faciles à mettre en œuvre, comme l’adoption de politiques de sécurité et la mise à jour régulière des logiciels. Restreindre les accès à distance aux systèmes est une autre étape clé. 

Cependant, en raison de la complexité et de la spécialisation du domaine de la cybersécurité, les solutions improvisées ne suffisent pas toujours. 

L’élaboration d’une stratégie de cybersécurité doit commencer par un audit approfondi de l’état actuel de la cybersécurité sur l’ensemble du portefeuille d’actifs. Ces audits évaluent les politiques, processus, pratiques, systèmes, infrastructures et fournisseurs, et fournissent des recommandations d’amélioration. 

Une stratégie de cybersécurité bien pensée et gérée permet de réduire considérablement les vulnérabilités et le risque d’attaques. 

Exigences minimales 

Le domaine de la cybersécurité est vaste, mais voici quelques recommandations essentielles pour commencer : 

• Mise en place d’une politique de mot de passe sécurisé : toutes les configurations d’usine doivent être modifiées, chaque centrale doit avoir un mot de passe unique, partagé avec un nombre limité d’employés, changé régulièrement et distribué uniquement en cas de nécessité. Le personnel doit être formé aux enjeux IT et aux politiques de sécurité. 

• Protection des enregistreurs (loggers) par un pare-feu, sans accès direct à Internet. 

• Utilisation obligatoire de réseaux privés virtuels (VPN). 

Cette liste, bien que non exhaustive, représente des actions fortement impactantes que tout propriétaire d’actifs renouvelables devrait mettre en place. 

Démystifier le coût de la cybersécurité 

Les coûts auxquels il faut s’attendre concernent : 

• La création de politiques de sécurité 

• Les inspections des sites et équipements 

• L’élaboration d’une stratégie de réduction des risques 

• Les audits et inspections annuels 

Comment Greensolver peut vous aider 

 

La cybersécurité des actifs renouvelables est un domaine hautement spécialisé qui nécessite un conseil expert. 

Conscients de cette nécessité, Greensolver a établi un partenariat avec des spécialistes en cybersécurité afin de fournir les meilleurs conseils aux propriétaires de projets éoliens et solaires . 

Que vous ayez besoin de conseils sur une politique de mots de passe, la mise en place d’un VPN ou un audit complet de votre cybersécurité, nous proposons une expertise qui combine compétences en IT et connaissance approfondie du cycle de vie des centrales renouvelables et de leurs acteurs. Malgré la sophistication du sujet, les coûts des audits et des actions correctives restent accessibles. 

Contactez-nous si vous souhaitez sécuriser vos actifs contre les cyberattaques potentielles.