Cybersécurité : l’UE voudrait appliquer le traitement Huawei aux éoliennes chinoises

L’Union européenne envisage d’interdire les éoliennes étrangères pour des raisons de cybersécurité, faisant ainsi écho à des recommandations similaires à la suite desquelles  certains États membres ont interdit à la société chinoise Huawei d’accéder aux réseaux 5G.

Bruxelles a entrepris de mettre en place des mesures visant à protéger les producteurs européens d’éoliennes contre les concurrents chinois. Parmi les discussions sur les exigences « made in Europe » et les considérations sur les tarifs antidumping, une inquiétude gagne discrètement du terrain : la cybersécurité.

Lorsqu’un fabricant d’éoliennes chinois a remporté un appel d’offres en Serbie fin 2023, l’industrie éolienne européenne a tiré la sonnette d’alarme et le PDG de WindEurope, Giles Dickson, a mis en avant des « intérêts de sécurité plus larges ». Il a également cité des considérations économiques, concluant que « l’installation d’éoliennes non européennes […] sur notre continent n’est pas dans l’intérêt de l’Europe ».

Quelques semaines plus tard, la Commission européenne a présenté une série de propositions politiques appelées « paquet européen sur l’énergie éolienne ». L’un de ses éléments clés consiste à donner aux États membres de l’UE la possibilité d’exclure des entreprises étrangères sur la base de critères de « prérequis », notamment en matière de cybersécurité.

Cela signifie que les éoliennes qui ne répondent pas à certains critères de cybersécurité — actuellement non définis — seront exclues des ventes aux enchères publiques pour les parcs éoliens.

Le traitement Huawei

Huawei est une grande entreprise technologique chinoise. Plusieurs gouvernements occidentaux craignaient que le gouvernement chinois n’utilise cet équipement pour recueillir des informations sensibles sur les secteurs public et privé.

Par conséquent, suivant une recommandation de Bruxelles, dix États membres de l’UE ont exclu l’entreprise chinoise, ce qui a profité à des entreprises locales comme la société suédoise Ericsson ou la société finlandaise Nokia.

Les fabricants européens d’éoliennes espèrent obtenir des avantages similaires. Les règles de l’UE devraient « garantir que des équipements sûrs » sont installés en Europe, a déclaré Juan Virgilio Marquez, de l’association espagnole de l’énergie éolienne AEE, lors du rassemblement annuel de l’industrie à Bilbao.

L’industrie évoque deux scénarios : des données sensibles provenant de capteurs d’éoliennes envoyées à des pays tiers via une connexion satellitaire et la possibilité pour la Chine d’appuyer sur un « bouton rouge » et d’éteindre des milliers d’éoliennes, entraînant ainsi les marchés de l’électricité européens dans une spirale infernale.

Données à risque ?

Les capteurs des éoliennes recueillent quotidiennement des téraoctets de données, et l’Europe ne serait pas la première région à s’inquiéter de l’endroit où ces données peuvent être envoyées.

« Nous faisons l’objet d’un audit pour savoir si les composants techniques sont fabriqués en Chine », a expliqué notamment Edward Zakrajsek, vice-président de DeTect Global, à propos d’un projet de construction d’éoliennes au large des côtes de Taïwan.

Cependant, tous les acteurs de l’industrie ne partagent pas ce point de vue.

Rafael Mateo, PDG du développeur espagnol d’énergies renouvelables Acciona Energia, affirme qu’en dehors des paramètres d’exploitation habituels tels que la vitesse du vent, la production d’électricité et l’angle des pales, il n’y a « rien » de sensible à tirer de l’accès à une éolienne.

Réseaux électriques en danger ?

Les éoliennes peuvent généralement être gérées à distance. Par conséquent, un équipement électronique compromis pourrait permettre à des tiers de prendre le contrôle.

« Dans un réseau plus faible, si vous retirez 2 GW de turbines, vous pouvez créer un événement de sous-fréquence », a expliqué M. Mateo. Les événements de sous-fréquence se produisent lorsqu’il n’y a pas assez d’électricité pour répondre à la demande, ce qui risque d’entraîner des coupures de courant ciblées ou généralisées.

Toutefois, il a ajouté qu’un attaquant devrait pouvoir « contrôler tous les parcs éoliens » pour menacer sérieusement le réseau.

De nouvelles règles imminentes

Le 23 avril, la nouvelle loi sur la politique industrielle de l’UE, le Net Zero Industry Act (NZIA), sera adoptée par les législateurs de l’UE et approuvée par les États membres peu de temps après.

Dès son entrée en vigueur, les mesures de restriction pourraient commencer : à partir de 2026, les enchères publiques offrant un soutien aux énergies renouvelables devront inclure des exigences en matière de cybersécurité. Elles seront toutefois facultatives pour les marchés publics d’énergie renouvelable.

En outre, ces exigences spécifiques doivent encore être définies. La Commission présentera plus de détails dans le courant de l’année.

Todd Davis, du fabricant de turbines Vestas, a expliqué que les fabricants européens « font activement pression les uns sur les autres » pour s’assurer que les critères de cybersécurité sont « basés sur des processus et centrés sur l’analyse des risques » au lieu d’une « liste de cases à cocher » afin de refléter l’évolution rapide des menaces.

Lukasz Kolinski, chef de l’unité des énergies renouvelables à la Direction de l’énergie de la Commission européenne, a annoncé que Bruxelles visait à trouver un équilibre délicat entre «être concret » et laisser « de la flexibilité aux États membres ».

M. Dickson de WindEurope reste confiant. Il affirme que les prérequis ne sont pas une solution miracle pour l’industrie assaillie, mais qu’ils « aideront ».

Et il voit plus grand, en considérant qu’« ils sont nécessaires non seulement pour les projets mis aux enchères, mais aussi pour ceux qui ne le sont pas ».

De plus en plus, les projets d’énergie éolienne se développent sans le soutien de l’État, et ils ne seraient donc pas soumis aux règles de la politique industrielle.

Une autre bataille se prépare déjà.

[Édité par Anna Martino]