La cybersécurité des infrastructures de recharge électrique
L'adoption massive des véhicules électriques entraine le déploiement d'infrastructures de recharge. La protection des infrastructures de recharge va devenir un enjeux majeur.
Ingénieur de formation dans le domaine de l’Energie, j’ai toujours été passionné par la production et le transport de l’électricité. Il y a de nombreuses années, j’ai eu l’opportunité de travailler sur des sujets cybersécurité liés au nucléaire.
Lors de mes dernières missions, j'ai eu la chance de m'intéresser aux infrastructures de transport d'électricité et, plus récemment, à la sécurisation des infrastructures de recharge électrique.
Je vous propose dans cet article d’approfondir le sujet de la cybersécurité des infrastructures de recharge :
Quels sont les enjeux associées ?
Quelle peut être la surface d’attaque ?
Quels sont les risques cybersécurité et les actions potentielles à mener ?
Disclaimer > cet article a vocation à échanger autour du sujet de la cybersécurité et ne vise pas à faciliter l’attaque de telles infrastructures.
Un sujet d’aujourd’hui et de demain
L'intérêt pour les véhicules électriques a explosé ces dix dernières années. Selon Auto Journal, plus de 1,5 million de véhicules électriques et hybrides rechargeables ont été immatriculés en France en octobre 2023, sans compter les nombreux véhicules de pays voisins circulant sur le territoire.
Et qui dit voiture électrique, dit recharge électrique. Même si une majorité des recharges a encore lieu au domicile, le nombre de borne électriques explose également. Désormais, quasiment chaque aire d’autoroute hébergeant une station essence a des places pour les véhicules électriques.
Dans ce paysage, les bornes de recharge émergent comme une infrastructure critique pour la distribution d'électricité. Leur présence dans l'espace public soulève immédiatement des questions quant à leur vulnérabilité.
Quelle peut être la surface d’attaque ?
Le premier aspect critique en termes de vulnérabilité est l'accès physique aux bornes de recharge, accessibles à tous dans l'espace public. Cela signifie que les équipements informatiques qui les contrôlent sont également exposés. Sur ces dispositifs, sécuriser les ports d'administration locaux représente un véritable défi.
Les bornes de recharge électrique sont fréquemment gérées à distance par les équipes responsables. Deux raisons principales motivent cette supervision: le suivi de la disponibilité des bornes et la gestion des enregistrements clients ainsi que la facturation de leur consommation. Ces plateformes sont généralement connectées de manière assez directe.
En outre, des équipes spécialisées dans la gestion technique, tant sur le plan informatique qu'électrique ou électrotechnique, prennent en charge ces équipements. L'infrastructure informatique requiert une surveillance, une supervision et des mises à jour à distance, ce qui représente également une voie d'accès classique à ces infrastructures.
Exemple de risques cybersécurité
Je vous propose d’énumérer quelques risques cybersécurité :
Un ransomware ciblant la plateforme d'infrastructure de recharge peut rendre impossible le rechargement des véhicules électriques. Les conducteurs se retrouvent incapables de s'authentifier sur les bornes et, par extension, sur la plateforme de recharge. Un tel scénario pourrait entraîner le blocage de la distribution électrique sur l'ensemble du réseau.
Un ransomware ciblant, cette fois, la plateforme de recharge des véhicules électriques. Il pourrait entraîner la fuite des données personnelles de tous les utilisateurs enregistrés pour recharger leur véhicule. Actuellement, il est presque indispensable d'avoir une carte ou un compte pour effectuer cette opération.
Le déploiement de mises à jour malveillantes sur les équipements informatiques locaux des bornes de recharge électriques. Cela pourrait provoquer une destruction numérique des équipements, rendant les bornes inutilisables jusqu'à ce que les firmwares soient réinstallés manuellement sur place.
Quelques pistes d’amélioration du niveau de cybersécurité
Application de la Directive NIS2
Il est fondamental de s'assurer que la directive NIS2 soit appliquée aux entités responsables des bornes de recharge électrique. Particulièrement dans le cas de filiales ou sous-traitants de petite taille mais ayant une activité critique, une intervention législative pour les inclure de manière obligatoire serait appropriée pour garantir une protection adéquate.
Obligations de Cybersécurité dans les Contrats
Les contrats de long terme, notamment ceux sous forme de Délégation de Service Public, doivent intégrer des obligations précises en matière de cybersécurité. L'inclusion d'un cahier des charges de cybersécurité et d'une obligation de maintien en condition de sécurité (MCS) est cruciale pour assurer une protection continue et efficace.
Sécurité des Équipements Installés
La question de la mise à jour des équipements, particulièrement ceux fonctionnant sous Linux, est à adresser. La croyance qu'une absence de mise à jour est acceptable doit être révisée. Il est impératif pour les exploitants de considérer la cybersécurité comme une priorité, même pour les déploiements rapides et économiques.
Déclaration Obligatoire au CERT de l'ANSSI
Une déclaration systématique des interfaces publiques auprès du CERT de l'ANSSI permettrait de créer un inventaire national des accès, facilitant la surveillance et la gestion des vulnérabilités. L'ANSSI pourrait ainsi réaliser des scans de vulnérabilités de manière régulière, profitant à l'ensemble du secteur de la recharge électrique.
Conclusion
Avec le déploiement accéléré des bornes de recharge électrique, la cybersécurité de ces infrastructures devient un enjeu majeur. Pour les organisations qui gèrent ces points de recharge, il est impératif que les équipes dédiées à la cybersécurité intègrent cette problématique à leur champ d'action. La protection des données utilisateur et la sécurisation de l'accès à ces bornes sont des aspects qui nécessitent une attention particulière.
Je serais ravi d'approfondir ce sujet autour d'un café !
Si vous souhaitez aller plus loin sur le sujet
https://encs.eu/wp-content/uploads/2022/12/EV-111-2022-Security-threat-analysis-for-EV-CI-v0.2_bSF5RtUThB.pdf
https://encs.eu/resource/ev-201-2019-security-architecture-for-ev-charging-infrastructure/
https://www.osti.gov/servlets/purl/1877784
https://www.cert.ssi.gouv.fr/scans/