Onduleurs solaires chinois : une enquête américaine écarte les preuves de dispositifs malveillants

Une analyse approfondie menée par le gouvernement américain sur des onduleurs solaires fabriqués en Chine n’a pas permis d’identifier de preuves concluantes de fonctions cachées ou malveillantes. Cette enquête, initiée suite à des inquiétudes médiatiques, apporte un éclairage technique et nuancé sur les risques réels liés à ces équipements essentiels à la transition énergétique.

Les conclusions de l’enquête du département de l’Énergie américain

Le Département américain de l’Énergie (DOE) a diffusé une analyse détaillée aux acteurs du secteur après un article de Reuters de mai 2025 évoquant des communications sans fil non documentées. Les laboratoires nationaux du DOE ont inspecté environ 30 onduleurs. Ils n’ont relevé que deux cas où les communications observées différaient de la documentation officielle. Ces écarts ont été qualifiés par les enquêteurs de « non malveillants » et « non intentionnels ».

Le rapport souligne que la documentation technique ne reflète souvent que les fonctions de communication activées au moment de la livraison, et non l’ensemble des capacités matérielles. Il n’existe donc pas, selon cette enquête, de « preuve définitive » de backdoors ou de dispositifs espions intentionnellement dissimulés.

Recommandations pour la sécurité et la gestion des risques

Malgré l’absence de menace avérée, le DOE émet plusieurs recommandations pour renforcer la cybersécurité du parc solaire.

Pour les propriétaires et exploitants

Il est conseillé de réaliser un audit des protocoles de communication actifs sur les onduleurs et de désactiver ceux qui ne sont pas nécessaires aux opérations. Les fabricants peuvent, en effet, conserver un accès à distance légitime pour la maintenance, le dépannage ou les garanties, comme le précise le National Renewable Energy Laboratory (NREL).

Une responsabilité partagée dans la chaîne d’approvisionnement

Le DOE insiste sur le fait que la gestion des risques est une responsabilité partagée entre les ingénieurs, fabricants, intégrateurs et exploitants. La complexité des chaînes d’approvisionnement mondiales peut créer des vulnérabilités. Le département promeut l’adoption de ses Supply Chain Cybersecurity Principles pour renforcer la résilience des infrastructures.

Contexte international et réactions sectorielles

Les inquiétudes initiales rapportées par Reuters avaient suscité des réactions au-delà des États-Unis. Quelques jours après, l’association SolarPower Europe a appelé l’Union européenne à établir des réglementations strictes en cybersécurité pour les infrastructures solaires, suite à la découverte de composants non documentés dans des équipements énergétiques importés au Danemark.

Début juin, l’organisation danoise Green Power Denmark a toutefois précisé que son enquête en cours portait sur des technologies énergétiques au sens large et n’était pas spécifiquement liée aux onduleurs solaires ou aux allégations américaines.

Perspective sur les risques pour le réseau électrique

L’analyse du DOE évalue également l’impact potentiel. Elle estime qu’une communication non documentée sur un seul onduleur aurait un effet négligeable à l’échelle du réseau. Un scénario d’attaque coordonnée sur de multiples sites serait nécessaire pour causer un impact significatif, mais sa mise en œuvre serait complexe. La priorité reste donc la vigilance et les bonnes pratiques de sécurité, plutôt que l’alerte générale. Pour en savoir plus sur la sécurité des réseaux électriques modernes, vous pouvez consulter les ressources de l’U.S. Energy Information Administration (EIA).