Le stockage par batterie s’impose comme un levier stratégique des architectures énergétiques modernes. Autonome, intelligent et interconnecté, il agit en temps réel sur les flux électriques d’un site ou d’un réseau.Mais cette intelligence embarquée s’accompagne d’un risque : celui de l’exposition à des cybermenaces capables d’interférer avec son fonctionnement, ses consignes ou ses priorités réseau.
Entre connexions SCADA, protocoles ouverts, échanges avec l’EMS et accès à distance, la surface d’attaque d’un système de stockage moderne ne cesse de s’élargir. Et lorsqu’une attaque touche un équipement, l’impact ne reste jamais virtuel.
Dans cet article, nous vous montrons comment identifier les failles typiques, durcir chaque composant et vous aligner avec les normes et obligations.
Pourquoi un système de stockage par batterie est une cible potentielle pour les cyberattaques ?
Le stockage par batterie, ou BESS (Battery Energy Storage System), pilote en temps réel ses cycles de charge et décharge, interagit avec des systèmes de supervision, s’adapte aux signaux réseau et optimise ses performances en fonction des consignes d’un EMS. Cette sophistication technique en fait aussi une cible idéale pour des cyberattaques.
La surface d’attaque d’un système de stockage par batterie ne cesse de s’élargir :
- Il communique en continu avec un SCADA via des protocoles industriels comme OPC UA ou IEC 61850 ;
- Il échange des données clés avec l’EMS pour le pilotage énergétique ;
- Et il reste souvent accessible à distance pour la maintenance, via des accès VPN.
Ces interconnexions hétérogènes sont autant de portes d’entrée potentielles si elles ne sont pas rigoureusement sécurisées.
Un système de stockage par batterie participe au soutien de fréquence, à la continuité d’alimentation en cas de défaillance du réseau, à la réserve rapide ou encore à l’arbitrage tarifaire. Le moindre dysfonctionnement dans son fonctionnement peut avoir des répercussions immédiates sur la stabilité locale d’un site, voire sur celle d’un réseau entier. Un attaquant capable de modifier les consignes de puissance, de désactiver des seuils de sécurité thermique ou de bloquer les processus de charge pourrait provoquer une surcharge, un blackout, une dérive incontrôlée du profil de charge ou une perte totale de résilience énergétique.
Contrairement à un automate isolé, le stockage par batterie agit et réagit rapidement, avec une logique embarquée. Il prend des décisions, échange des flux de données continus, et peut influer directement sur la qualité de service énergétique. C’est précisément cette capacité à agir en toute autonomie qui, en cas de compromission, devient un risque majeur pour l’exploitant comme pour l’intégrité du réseau.
Cartographie des principales cybermenaces pesant sur les systèmes de stockage par batterie
La sécurité des systèmes de stockage par batterie reste trop souvent sous-estimée. Pourtant, les retours d’audit de terrain sont sans appel : les vecteurs d’attaque sont nombreux, récurrents, et bien connus des attaquants.
Parmi les points d’entrée critiques, le firmware non maintenu du PCS figure en tête. Ces convertisseurs de puissance embarquent un OS léger, souvent livré avec des services réseaux activés par défaut (HTTP, Telnet, FTP). L’absence de mise à jour régulière ouvre la porte à l’exploitation de vulnérabilités connues et référencées publiquement dans les bases CVE. Ce manque de patch management est d’autant plus préoccupant que le PCS est au cœur du flux énergétique entre batterie et réseau.
Les ports debug ou série laissés actifs en exploitation constituent une autre faille physique majeure. Ils offrent un accès direct à la console système, sans journalisation ni restriction. Un simple accès local suffit alors pour injecter un firmware modifié, contourner les protections ou dévier les fonctions de contrôle.
Sur le plan réseau, l’absence de filtrage structuré est une faiblesse récurrente : aucun pare-feu industriel, pas de DMZ entre le SCADA, l’EMS et le système de stockage, ni de segmentation via VLAN. Ce type d’architecture « full flat » constitue l’un des scénarios les plus risqués : la compromission d’un composant IT (poste de supervision, client VPN, PC d’exploitation) permet un déplacement latéral rapide jusqu’aux équipements critiques.
À cela s’ajoutent les connexions croisées non cloisonnées. Trop souvent, les flux entre SCADA, EMS et PCS s’échangent sans passer par des interfaces intermédiaires sécurisées. Cette complexité d’interconnexion multiplie les surfaces d’attaque, tout en rendant difficile le traçage d’une intrusion en cas d’incident.
Un attaquant ayant accès à l’infrastructure peut facilement injecter une fausse consigne de décharge à pleine puissance, provoquer un arrêt immédiat de charge, ou neutraliser les alarmes batterie pour masquer une dérive thermique. Ces scénarios sont techniquement simples à mettre en œuvre si les couches de défense ne sont pas en place. Ils peuvent entraîner une perte d’intégrité fonctionnelle, des dommages matériels irréversibles, voire une perte de disponibilité du site dans son ensemble.
Sécuriser un système de stockage par batterie composant par composant
La sécurisation d’un système de stockage par batterie exige une approche granulaire, rigoureuse et systématique. Voici les mesures techniques à mettre en œuvre pour durcir efficacement son périmètre :
Power Conversion System
Le PCS (Power Conversion System), interface entre le DC batterie et l’AC réseau, doit faire l’objet d’une supervision renforcée. Tous les journaux d’événements (logs) doivent être collectés et transmis au SCADA ou à un SIEM OT pour détection d’anomalies. Les paramètres critiques (tension d’entrée, plage de fréquence, facteur de puissance) doivent être verrouillés en écriture depuis le SCADA, avec des profils d’accès différenciés pour les utilisateurs de supervision, d’exploitation et de maintenance.
Energy Management System
L’EMS embarqué, qui pilote dynamiquement le profil de charge et les stratégies d’arbitrage, constitue une cible stratégique. Chaque consigne énergétique dynamique (puissance, timing, réserve) doit être auditée, traçable et justifiée dans les logs systèmes. Une authentification forte (certificats, MFA ou jetons cryptographiques) est obligatoire pour accéder à l’interface de pilotage. Toute action doit être journalisée, avec horodatage sécurisé (PTP/NTP certifié) pour permettre un retour d’analyse post-incident fiable.
RTU, capteurs et entrées/sorties
Les RTU, capteurs et entrées/sorties (I/O) doivent être protégés au plus près du terrain. Leur durcissement passe par :
- L’intégration d’un proxy OT ou d’un firewall applicatif pour filtrer les trames entrantes (validation des types de commandes autorisées, suppression des broadcast parasites).
- La vérification des CRC ou signatures de trame sur les protocoles série ou propriétaires.
- L’isolation physique des ports série non utilisés (déconnexion ou scellement physique).
- La surveillance locale des valeurs anormales (tension hors seuil, température cellule > 60°C) avec alarmes autonomes, même sans SCADA.
Les protocoles de communication
Les protocoles de communication, qu’ils soient IP, série ou propriétaires, doivent être chiffrés et surveillés en continu. OPC UA doit impérativement être déployé avec chiffrement TLS et certificats serveur signés, le broker MQTT doit être local, cloisonné et protégé par mot de passe + ACL.
En environnement électrique, les trames GOOSE (IEC 61850) doivent être validées par signature et supervisées dans leur temporalité pour détecter toute injection asynchrone ou spoofing. Chaque canal actif doit faire l’objet d’une supervision continue, avec alerte en cas de flux anormal ou de dialogue inhabituel.
Le réseau industriel OT
Le réseau industriel OT lui-même est la première ligne de défense. Il doit combiner plusieurs couches de protection :
- Firewalls industriels L3/L4 avec DPI (Deep Packet Inspection) spécifiques aux protocoles OT.
- DMZ dédiée entre SCADA/EMS et équipements BESS pour casser la transversalité réseau.
- VLAN par fonction (diagnostic, supervision, commande, historique) pour segmenter le trafic et limiter les rebonds.
- IDS OT (Intrusion Detection System) tels que Snort, Suricata ou Nozomi, pour détecter les signatures d’attaque, les scans, les tentatives de brute-force ou les comportements anormaux en temps réel.
Appliquer ces mesures relève du minimum acceptable dans tout projet de stockage par batterie connecté. Les cyberattaques ciblent désormais les systèmes où une simple consigne falsifiée peut avoir un impact physique immédiat. Et c’est précisément ce que permet d’éviter une architecture sécurisée composant par composant !
Normes, obligations et recommandations pour un stockage par batterie sécurisé
Pour sécuriser un système de stockage par batterie, il est indispensable d’intégrer la cybersécurité dans une logique de conformité, dès la phase de conception de l’architecture. Et c’est l’une de nos valeurs ajoutées chez JSA. C’est à cette condition que les exploitants peuvent garantir la résilience opérationnelle de leurs installations, tout en respectant les exigences réglementaires et normatives de leur secteur.
1. IEC 62933-4-1
La norme IEC 62933-4-1 constitue le socle de référence en matière de sécurité fonctionnelle appliquée aux systèmes de stockage par batterie. Elle définit les risques propres aux installations BESS (surchauffe, surcharge, dysfonctionnements électroniques) et impose des exigences d’analyse de risques, de redondance et de gestion d’événements anormaux.
2. IEC 62443
Sur le volet cybersécurité industrielle, c’est la série IEC 62443 qui s’impose. Elle définit les exigences techniques et organisationnelles pour sécuriser les systèmes OT, y compris les équipements embarqués, les réseaux de communication et les plateformes SCADA.
Dans les architectures déployées par JSA pour ses projets CCN / SCADA, un choix fort et structurant a été fait en faveur de l’application de la norme IEC 62443, rendu possible grâce à l’engagement conjoint de l’ensemble des partenaires et à la sélection rigoureuse des équipements mis en œuvre : du RTU de BRODERSEN, au Relais de protection d’ARCTEQ, en passant par les Switches de PHOENIX CONTACT et la Plateforme de Supervision Zenon de COPA DATA, une structure commune certifiée IEC 62443.
3. NERC CIP
Dès lors que le système de stockage par batterie est connecté à une infrastructure critique (poste HTA, réseau de transport RTE, ou dispositif Enedis) les exigences de conformité s’élargissent. Les référentiels NERC CIP deviennent alors applicables, notamment pour les installations situées en Europe et interconnectées à des réseaux transnationaux. Ces standards imposent des mécanismes avancés de contrôle d’accès, d’auditabilité, de gestion des vulnérabilités et de plans de réponse aux incidents.
Ces normes se traduisent par des obligations concrètes, attendues dans tout projet de stockage de dernière génération :
- Une authentification forte sur tous les accès SCADA et EMS
- Une journalisation centralisée et horodatée (avec PTP ou NTP sécurisé),
- Des tests de pénétration réguliers sur l’architecture réseau et les firmwares embarqués,
- Et surtout, la simulation d’attaques entre SCADA et BESS pour vérifier la robustesse des interfaces critiques, des consignes d’énergie, et des mécanismes de coupure d’urgence.
Renforcer la cybersécurité d’un système de stockage par batterie connecté est devenu une exigence. Face à des architectures de plus en plus interconnectées, pilotées et autonomes, toute faille peut devenir une porte d’entrée vers des dysfonctionnements majeurs, aux impacts physiques immédiats.
En structurant la cybersécurité autour des composants critiques (PCS, EMS, I/O, réseau OT), en renforçant la cybersécurité SCADA, et en intégrant les exigences normatives dès la conception, les exploitants peuvent reprendre le contrôle sur la surface d’exposition de leurs installations.
Chez JSA, nous accompagnons nos clients avec des solutions de supervision sur mesure, conformes aux normes les plus strictes, et pensées pour résister aux menaces actuelles comme futures. Besoin de sécuriser vos systèmes énergétiques ? Parlons-en.
