Les réseaux de recharge de véhicules électriques se préparent aux cyberattaques

“Si vous avez des centaines de milliers de chargeurs, vous êtes une cible”, a déclaré Harm van den Brink, spécialiste de la cybersécurité chez ElaadNL, un organisme de recherche aux Pays-Bas axé sur les tests de recharge des véhicules électriques.

En avril, l’administration Biden a proposé des objectifs d’émissions automobiles plus stricts pour accélérer la transition vers les véhicules électriques et les a appelés à représenter la moitié de toutes les ventes de véhicules neufs d’ici 2030. L’Union européenne est allée plus loin en interdisant la vente de nouvelles voitures à essence et diesel. -voitures à moteur à partir de 2035.

Dans la ruée vers les véhicules électriques, cependant, la cybersécurité ne peut pas être une réflexion après coup, a déclaré Tomas Bodeklint, chercheur et développeur commercial aux instituts de recherche de Suède, un groupe géré par le gouvernement qui travaille sur la recharge des véhicules électriques et d’autres technologies.

«Lorsque vous obtenez un déploiement rapide, vous coupez un peu les coins. Il y a alors un risque accru si [products] n’ont pas été soigneusement testés et validés », a-t-il déclaré.

Les efforts visant à assurer la sécurité des bornes de recharge pour véhicules électriques en sont à leurs débuts. Les législateurs européens rédigent de nouvelles cyber-règles pour les opérateurs de réseaux électriques qui comprendront probablement des exigences de sécurité supplémentaires pour l’infrastructure de recharge des véhicules électriques, a déclaré Anjos Nijk, directeur général du Réseau européen pour la cybersécurité, une organisation basée aux Pays-Bas qui partage des informations sur les cybermenaces avec des infrastructures critiques. et les compagnies énergétiques.

Le Royaume-Uni a introduit des exigences telles que le cryptage des communications envoyées depuis les stations et l’utilisation de mots de passe uniques sur certains équipements.

“Les choses s’accélèrent très rapidement maintenant”, a déclaré Nijk.

Les États américains ont été tenus d’aborder la cybersécurité dans des plans créés l’année dernière pour obtenir un financement fédéral pour l’infrastructure des véhicules électriques. Plus de détails sont nécessaires, a déclaré Jay Johnson, ingénieur en mécanique aux Sandia National Laboratories travaillant sur la recherche énergétique.

Une loi américaine sur les infrastructures adoptée en 2021 prévoit un financement de 7,5 milliards de dollars pour que les États étendent les bornes de recharge pour véhicules électriques. Les directives fédérales indiquaient que les candidats devaient adopter des stratégies de cybersécurité « appropriées » pour protéger les données et les systèmes, mais laissaient aux États le soin de préciser comment.

Le Dakota du Sud, par exemple, a déclaré qu’il obligerait les entreprises qui construisent une infrastructure de véhicules électriques à chiffrer les communications et à utiliser des pare-feu. Le plan de New York a noté que les normes pour la technologie de sécurité des véhicules électriques sont toujours en cours d’élaboration. “L’État de New York se conformera à toutes les normes techniques fédérales, y compris la cybersécurité, une fois qu’elles seront finalisées”, indique le plan.

“Ce fut une très grande occasion manquée d’harmoniser les exigences à travers le pays”, a déclaré Johnson. Les exigences nationales en matière de cybersécurité auraient été plus faciles à respecter pour les entreprises travaillant dans plusieurs États, a-t-il déclaré.

Sandia a récemment évalué 12 produits de charge sans nom et a trouvé des failles de sécurité telles que des noms d’utilisateur, des mots de passe et des informations d’identification affichés ouvertement pour modifier ou configurer certains équipements, tandis que d’autres avaient de meilleures protections. “Il existe un large éventail de capacités de cybersécurité de ces produits”, a déclaré Johnson.

Tesla est sur le point de dominer la recharge des véhicules électriques aux États-Unis, et des constructeurs automobiles tels que General Motors, Ford, Volvo et Rivian ont signé pour adopter la norme de recharge de Tesla cette année. La semaine dernière, le groupe Mercedes-Benz a annoncé qu’il prévoyait de prendre en charge les stations Tesla Supercharger à partir de l’année prochaine. Tesla n’a pas répondu aux demandes de commentaires.

ChargePoint, un grand fournisseur de stations pour les parkings d’entreprise et les villes d’Amérique du Nord et d’Europe, prend plusieurs mesures pour sécuriser ses systèmes, a déclaré le directeur de la sécurité de l’information, Teza Mukkavilli, par l’intermédiaire d’une porte-parole. Fin janvier, la société exploitait environ 225 000 ports de recharge.

Parmi les cyber-mesures prises par ChargePoint figurent les tests de pénétration et l’isolement de certaines parties du réseau pour éviter les effets domino sur le réseau électrique plus large en cas de cyberattaque, a déclaré Mukkavilli.

ChargePoint utilise divers outils pour faire face aux cyber-risques dans les puces et les logiciels utilisés dans les stations, les transactions de paiement des clients et le cryptage, ainsi que son infrastructure technologique, a-t-il déclaré.

Les cyber-réglementations qui diffèrent selon la géographie ne protégeront pas contre les effets à grande échelle d’une cyberattaque majeure, a déclaré van den Brink d’ElaadNL.

« Si vous piratez 100 000 chargeurs, peu importe où ils se trouvent en Europe. Cela peut avoir un impact important sur le réseau énergétique », a-t-il déclaré.

L’année dernière, la ville d’Amsterdam a pour la première fois inclus des exigences de cybersécurité dans un appel d’offres public pour des bornes de recharge publiques pour véhicules électriques. Les organisations en lice pour des contrats doivent prouver qu’elles respectent les normes de sécurité et fournir des cyber-évaluations de leurs chaînes d’approvisionnement, a déclaré Jaap de Munnik, ancien responsable de la sécurité de l’information de la ville. Ce mois-ci, il a rejoint le fournisseur de semences néerlandais Enza Zaden en tant que responsable de la sécurité de l’information.

Les exigences d’Amsterdam sont conçues pour repousser les attaques qui pourraient provoquer des pannes de courant ou forcer les bornes de recharge à utiliser plus d’énergie qu’elles ne le devraient, ce qui pourrait endommager les transformateurs et les lignes électriques, a-t-il déclaré.

Amsterdam a partagé ses exigences avec d’autres villes néerlandaises, et de Munnik a déclaré qu’il espérait qu’elles emboîteraient le pas.

Écrivez à Catherine Stupp à [email protected]