La révolution des énergies renouvelables est souvent présentée comme une évidence : une source propre, locale et décentralisée de production d’électricité. Mais derrière cette promesse se cache une réalité moins visible. L’industrialisation et la numérisation accélérée des infrastructures les exposent à des risques jusqu’ici propres aux industries lourdes ou aux systèmes d’information.

Un système énergétique devenu vulnérable par sa numérisation

Les fermes solaires ne sont plus de simples champs de panneaux photovoltaïques. Elles sont devenues des systèmes d’information complexes, intégrant onduleurs intelligents, plateformes de supervision à distance et équipements connectés. Ces innovations améliorent la performance et le pilotage des installations, mais élargissent aussi considérablement la surface d’exposition aux risques numériques. La cybersécurité du solaire n’est donc plus un sujet purement technique : elle devient un enjeu stratégique pour la sécurité énergétique, qui impose de repenser la réduction de la surface d’attaque à l’échelle de systèmes toujours plus distribués et automatisés.

En France, cet enjeu est d’autant plus critique que le solaire occupe une place centrale dans la politique énergétique. La Programmation pluriannuelle de l’énergie (PPE) fixe les objectifs de développement des filières renouvelables sur dix ans, avec une montée en puissance continue du photovoltaïque. La prochaine PPE, attendue pour 2026, devra préciser ces trajectoires dans un contexte de fortes tensions sur le mix énergétique. Cette ambition se traduit par des investissements publics et privés de plusieurs milliards d’euros pour le renouvelable chaque année, et est portée par des appels d’offres et des projets de grande envergure dans le solaire, comme les méga-parcs solaires prévus en Gironde, avec une feuille de route visant à multiplier les capacités installées d’ici 2030.

Or cette croissance rapide s’accompagne de fragilités. Un rapport du syndicat solaire européen SolarPower soulignait en 2025 que des dizaines de milliers de systèmes solaires sont exposés à Internet avec des vulnérabilités exploitables : onduleurs accessibles à distance, passerelles réseau mal sécurisées, enregistreurs de données insuffisamment protégés. Selon les alertes de la filière photovoltaïque européenne, la compromission de quelques gigawatts de capacité pourrait suffire à perturber la stabilité d’un réseau.

Au cœur de ces vulnérabilités se trouvent des protocoles hérités d’une époque où la cybersécurité n’était pas une priorité. Dans de nombreuses installations solaires, le point faible réside dans les boîtiers de supervision et de surveillance, qui assurent la communication entre les équipements de terrain et les systèmes de contrôle. Ces dispositifs reposent souvent sur Modbus TCP, un protocole industriel largement répandu mais intrinsèquement non sécurisé. Conçu pour la fiabilité et la simplicité, Modbus n’intègre ni authentification ni chiffrement : toute commande reçue est considérée comme légitime. 

Dès lors, si un attaquant parvient à accéder à ces interfaces - souvent accessibles depuis Internet - il peut envoyer des instructions comme s’il s’agissait du système SCADA, “cerveau” de l’exploitation, afin de détourner le flux de contrôle. Il peut par exemple arrêter des segments de production, manipuler des données de performance ou perturber l’équilibre fragile entre production et consommation. L’émergence d’outils d’attaque assistés par L’IA, à partir de plateformes de tests de sécurité open source par exemple, accentue ce risque en permettant des actions automatisées et à grande échelle.

La cybersécurité, condition de la crédibilité des renouvelables

Face à ces menaces, le cadre réglementaire évolue. La directive européenne NIS2 renforce les obligations des opérateurs d’infrastructures critiques, y compris dans l’énergie, en matière de gestion des risques cyber et de notification des incidents. En France, les initiatives de prévention et de surveillance se multiplient (scénarios RTE, Recommandations de l’ANSSI, remontées des CSIRT…) même si la cyber-résilience des énergies renouvelables reste moins mature que celle des infrastructures énergétiques historiques.

La question est désormais claire : comment concilier performance, connectivité et sécurité ? Les bonnes pratiques de cybersécurité industrielle - segmentation des réseaux, limitation de l’exposition directe à Internet, surveillance continue des flux - deviennent aussi essentielles que les panneaux et les onduleurs eux-mêmes. La cybersécurité ne peut plus être ajoutée à posteriori mais doit bel et bien être intégrée dès la conception des projets.

Dans ce mouvement, l’Europe se dote progressivement de nouveaux leviers. Avec le Cyber Resilience Act et le Cybersecurity Act, la sécurité des infrastructures énergétiques devient un principe structurant, pensé en amont, au niveau des produits, des chaînes logicielles et des usages. Cette évolution ouvre la voie à un modèle plus mature, où le solaire n’est plus une technologie isolée. Il s’agit bien d’un modèle émergent, où protéger l’énergie propre ne revient pas à freiner la transition, mais à en garantir la résilience et la crédibilité à long terme.