« Une attaque frappe où les dommages sont les plus lourds. »

Numérique et interconnectée, l’infrastructure de recharge est une cible idéale de cyberattaques. Une seule attaque peut paralyser des systèmes entiers, compromettre la stabilité du réseau et mettre hors service des infrastructures critiques. Il est de plus en plus probable que cela se produise : le nombre de bornes de recharge a triplé depuis 2020 et cette croissance devrait se poursuivre. Cela augmente également le risque pour les exploitants de bornes de recharge (CPO) et l’importance de la cybersécurité.

Danger identifié, mais pas écarté

En 2023, une analyse de l’Institut national de test pour la cybersécurité (NTC) a montré que l’infrastructure de recharge suisse présentait de graves lacunes en matière de sécurité. Si les problèmes sont désormais résolus, le risque d’une cyberattaque n’est en revanche pas écarté. Les bornes de recharge accessibles au public, les systèmes d’accès et les interfaces avec d’autres systèmes sont particulièrement exposés. Dans l’interview, Sascha Krucker, Raphael Reischuk et Daniel Clauss discutent des situations de risque et de la manière dont les CPO peuvent protéger leur infrastructure.

Pourquoi l’infrastructure de recharge est-elle la cible de cyberattaques ?

Raphael Reischuk : Il s’agit d’un écosystème jeune et fortement interconnecté qui comprend différents composants, y compris de l’étranger. Elle offre ainsi de nombreux points d’attaque.

Daniel Clauss : Le cycle de recherche et de développement (R&D) pour le matériel et les logiciels est court, ce qui signifie que de nombreux nouveaux composants arrivent rapidement sur le marché. En Suisse, il existe certes des normes de base qui définissent les exigences relatives aux composants. Les standards suivent les cycles de R&D, mais en général avec du retard.

Quelles pièces sont particulièrement vulnérables ?

Sascha Krucker : En particulier les bornes de recharge accessibles au public sont critiques pour l’exploitation, exposées et donc vulnérables. Mais les liaisons de communication et leurs connexions aux plateformes cloud sont également menacées.

Reischuk : Une attaque frappe là où les dégâts sont les plus importants et où l’effort est minime. Parmi les hackeuses et hackers, il y a les analytiques et les opportunistes. Les premiers choisissent systématiquement leurs objectifs et les analysent en détail avant d’attaquer de manière ciblée et méthodique. Les derniers tirent au fusil à grenaille sur tous les points d’accès. Il peut s’agir de cartes de recharge ou d’interfaces numériques (API). Il est facile de les attaquer à distance.

Clauss : La dorsale est également vulnérable, car c’est là que convergent tous les flux de données. Les criminels recherchent les entreprises responsables de la dorsale d’un logiciel de recharge et pénètrent dans le serveur.

Les attaques mettent-elles aussi en danger les partenaires des exploitants de bornes de recharge ?

Reischuk : On pourrait cibler les sous-traitants par des attaques simultanées, par exemple en activant et en désactivant tous les cycles de recharge. Cela provoque des oscillations dans le réseau et peut l’amener à s’effondrer. Il suffit de contrôler 8 à 10 % des véhicules en charge de cette manière.

Krucker : L’infrastructure de recharge fait partie d’un écosystème interconnecté dans lequel de nombreux acteurs sont impliqués, notamment exploitants, fabricants, prestataires, fournisseurs d’énergie, prestataires de services informatiques et fournisseurs de paiement. Une attaque sur une partie de cette chaîne peut avoir des répercussions sur d’autres.

Pourquoi l’infrastructure de recharge est-elle intéressante pour les cybercriminels ?

Reischuk : Certains pirates cherchent à déstabiliser l’Occident. La Suisse est un objectif plus attrayant que les pays moins développés, car elle est synonyme de processus démocratiques crédibles et fonctionnels. Outre l’atteinte à la réputation et l’influence sociale, les objectifs des agresseurs pourraient aussi être du chantage financier ou des dommages physiques.

Quels sont les principaux dangers ?

Clauss : L’interaction avec les véhicules, que ce soit directement ou via les bornes de recharge, est dangereuse pour la stabilité du réseau. En règle générale, les fabricants disposent d’un accès à distance.

Reischuk : Le problème principal, ce n’est pas la stabilité du réseau, mais la disponibilité de l’infrastructure. Les infrastructures critiques comme les services d’urgence doivent toujours disposer de suffisamment d’électricité.

Krucker : L’infrastructure de recharge devient de plus en plus critique. Les services d’urgence passent aux véhicules électriques. Ils ne peuvent pas se permettre un black-out. Plus l’électromobilité évolue vers le marché de masse, plus cela devient dangereux.

Existe-t-il des dangers qui concernent uniquement les CPO ?

Krucker : Les petits criminels peuvent accéder à l’infrastructure et ainsi recharger gratuitement. Un cas isolé peut être supportable, mais s’ils sont nombreux, l’addition est salée. Certains criminels s’associent. Une communauté Uber à l’étranger a par exemple exploité les vulnérabilités de divers systèmes européens. Les dommages financiers et de réputation ont été importants.

Les CPO sont-ils responsables de dommages tels qu’un black-out ?

Clauss : C’est une question complexe. Les exploitants de réseau devraient pouvoir prouver directement la négligence à un CPO. Cela n’a certes jamais été possible par le passé. Il existe toutefois un risque de responsabilité. C’est pourquoi il est important pour les CPO de prendre toutes les mesures techniques et organisationnelles connues.

Qui répond des cyberdommages ?

Reischuk : Cela dépend fortement du contexte, des conditions-cadres juridiques et des accords contractuels. Les entreprises doivent se préoccuper de leur gestion des risques. Les cyberrisques en font aussi partie. L’État fixe les conditions-cadres par le biais de lois et d’obligations, mais n’assume pas la responsabilité opérationnelle de certains cyberdommages dans le secteur privé.

Clauss : La norme minimale pour les TIC* est un bon début, mais elle ne suffit pas. Les petites PME sont dépassées par le sujet, et une entreprise étrangère se soucie peu de la norme. C’est pourquoi l’État doit mettre en place des garde-fous.

Krucker : De bonnes conditions-cadres étatiques sont utiles, mais je considère également que chaque exploitant d’infrastructure est tenu de vérifier si ses installations présentent des points faibles et d’appliquer les normes industrielles.

Pourquoi les CPO ont-ils intérêt à investir dans la cybersécurité ?

Reischuk : Avec la cyberprotection, cela revient beaucoup moins cher aux CPO que sans. Il s’agit d’une part des dommages financiers causés par les cybercriminels, par exemple à travers le chantage. La plupart n’y sont pas préparés. Une enquête a montré que 83 % des entreprises interrogées ont été victimes d’un rançongiciel en l’espace de six mois. 5 % étaient prêtes à payer des sommes importantes. Ce qui encourage les activités criminelles. Il est donc important d’avoir un plan et une tactique de négociation. Il existe pour cela des spécialistes expérimentés. D’autre part, il s’agit aussi des coûts de remise en état des infrastructures endommagées. Si les CPO concluent un contrat préventif avec une entreprise informatique, cela coûte bien moins cher qu’une négociation dans le cadre d’une intervention d’urgence.

Clauss : Les cyberattaques peuvent aussi causer une atteinte à la réputation. Et avec une mauvaise réputation, on est rapidement écarté du marché.

Peut-on assurer les cyberdommages ?

Reischuk : En principe oui, mais mieux vaut prévenir. Même la meilleure assurance ne rétablit pas les données volées ou une réputation entachée.

Bildquelle: Claudio Fornito, EBP