Panneaux solaires : faut-il craindre un cheval de Troie énergétique ?

La présence de composants suspects dans des équipements énergétiques renforce la pertinence d'une certification cyber systématique des infrastructures critiques en Europe.

L’affaire a fait grand bruit. Il y a quelques semaines, Reuters révélait la présence de dispositifs de communication non documentés dans des onduleurs solaires chinois installés aux États-Unis. Ces composants, capables de transmettre des données sans que cela ne soit officiellement consigné, pourraient permettre un accès à distance non autorisé. Un scénario qui fait évidemment craindre le pire en matière de stabilité de nos réseaux électriques.

L’alerte est grave, car ces équipements sont massivement déployés. En Europe comme en Amérique du Nord, les infrastructures énergétiques sont de plus en plus interconnectées et pilotées à distance. Mais plus elles se connectent — via l’IoT, des logiciels de supervision à distance ou des modules de communication embarqués — plus la surface d’attaque s’étend. C’est l’un des paradoxes du progrès technologique : ces infrastructures rendues « intelligentes » deviennent plus vulnérables. Chaque équipement connecté devient une porte d’entrée potentielle, exposant le système à des risques de compromission démultipliés. Ces éléments suspects, parfois intégrés au cœur même des systèmes de contrôle, échappent encore trop souvent aux mécanismes de vérification, de traçabilité ou de contrôle rigoureux.

L’extension des équipements connectés fait peser un risque systémique

Après les États-Unis, c’est le Danemark qui tire la sonnette d’alarme. Selon The Times, des composants électroniques d’origine asiatique ont été identifiés dans des cartes de circuits destinées à des installations critiques. Leur origine exacte n’a pas été établie avec certitude, mais leur présence alimente les craintes croissantes autour de possibles actes d’espionnage ou de compromission à grande échelle.

Il y a quelques semaines à peine, l’Espagne faisait face à un blackout massif. Aucun lien n’a été officiellement établi avec un acte malveillant, mais la concomitance de ces signaux faibles commence à dessiner une tendance lourde : l’extension rapide des équipements connectés venus de pays tiers pourrait constituer un risque systémique.

Derrière les mots parfois galvaudés de « souveraineté » ou d’« autonomie stratégique », c’est un nouvel exemple qui illustre parfaitement l’enjeu de la confiance. Qui contrôle réellement les couches invisibles de nos systèmes ? Quelles garanties avons-nous que les technologies importées ne comportent pas de vulnérabilités cachées — qu’elles soient accidentelles, structurelles… ou intentionnelles ?

Le Cyber resilience act, un levier européen pour agir en amont

C’est tout l’objet des textes européens à venir, comme le Cyber resilience act, qui entend établir un cadre de sécurité pour tous les produits connectés mis sur le marché européen. Ce règlement impose des exigences de cybersécurité dès la conception, et introduit une obligation de transparence sur les vulnérabilités identifiées et les incidents déclarés.

Mais surtout, il permettra aux États membres de refuser ou de retirer du marché les technologies jugées non conformes. Une avancée majeure pour prévenir l’entrée de composants à risque dans nos systèmes critiques. À terme, seule une évaluation et une certification préalable des produits, réalisée par un tiers, fondée sur des critères techniques exigeants, permettra de trancher entre les équipements fiables… et les autres.

Ce mouvement vers une certification systématique — structurée, indépendante, exigeante — est une réponse concrète aux défis de cybersécurité. Mais c’est aussi un levier de reconquête industrielle : il renforce la résilience des filières, protège les chaînes d’approvisionnement et contribue à une souveraineté économique et technologique européenne, fondée sur des standards communs. La sécurité énergétique n’aura pas lieu… sans cybersécurité.