Les parcs éoliens en mer sont vulnérables aux cyberattaques, selon une nouvelle étude de l’Université Concordia

Si l’électrification accélérée de la société constitue une avancée prometteuse sur le plan environnemental, la transition des combustibles fossiles vers des sources renouvelables – comme l’énergie éolienne – comporte de nouveaux risques encore méconnus.

Des chercheurs de l’Université Concordia et d’Hydro-Québec ont présenté une nouvelle étude sur le sujet à Glasgow, au Royaume-Uni, à l’occasion de la Conférence internationale 2023 de l’IEEE sur les technologies de communication, de surveillance et d’informatique pour les réseaux intelligents (SmartGridComm). Leur étude porte sur les risques de cyberattaques auxquels sont exposés les parcs éoliens en mer. Plus précisément, les chercheurs ont examiné les parcs éoliens qui utilisent des connexions à courant continu haute tension avec convertisseur de source de tension, un modèle en voie de devenir la solution la plus rentable pour récolter l’énergie éolienne en mer dans le monde entier.

« Alors que nous progressons dans la mise en œuvre des énergies renouvelables, il est impératif de reconnaître que nous avançons en terrain inconnu, et que nous faisons face à des vulnérabilités et à des cybermenaces insoupçonnées », soutient Juanwei Chen, qui prépare un doctorat à l’Institut d’ingénierie des systèmes d’information de Concordia (CIISE) de l’École de génie et d’informatique Gina-Cody.

« Les parcs éoliens en mer sont connectés au réseau électrique principal à l’aide de technologies de courant continu à haute tension, explique Juanwei Chen. Ces parcs pourraient être confrontés à de nouveaux défis opérationnels. »

« Notre objectif consiste à déterminer dans quelle mesure ces défis pourraient être accentués par les cybermenaces et à évaluer l’impact que ces dangers pourraient avoir à plus grande échelle sur notre réseau d’électricité. »

Hang Du, doctorant à Concordia, Jun Yan, professeur agrégé à l’Institut d’ingénierie des systèmes d’information de Concordia, Mourad Debbabi, doyen de l’école Gina-Cody, ainsi que Rawad Zgheib (Ph. D.), de l’Institut de recherche d’Hydro-Québec (IREQ), ont également contribué à l’étude. Ces travaux s’inscrivent dans le cadre d’un vaste projet de collaboration scientifique entre le groupe du Pr Debbabi et le groupe de recherche en cybersécurité de l’IREQ – dirigé par Marthe Kassouf (Ph. D.) –, une équipe de chercheuses et chercheurs dont fait partie Rawad Zgheib.

Des systèmes complexes et vulnérables

Les parcs éoliens en mer nécessitent une cyberinfrastructure plus importante que les parcs éoliens terrestres, car ils sont souvent situés à des dizaines de kilomètres de la côte, en plus d’être exploités à distance. Les parcs éoliens en mer communiquent avec les systèmes terrestres au moyen d’un réseau étendu. Les turbines communiquent également avec les navires d’entretien et les drones d’inspection, tout en restant en contact les unes avec les autres.

Cette architecture complexe de communication hybride comporte de multiples points d’accès vulnérables aux cyberattaques. Si des acteurs malveillants parvenaient à pénétrer dans le réseau local de la station de conversion située dans le parc éolien, ils pourraient saboter les capteurs du système et ainsi causer le remplacement des données réelles par de fausses données. En conséquence, des perturbations électriques auraient pour effet de déstabiliser le parc éolien en mer aux points communs de raccordement au réseau public.

À leur tour, ces perturbations pourraient déclencher des oscillations de puissance insuffisamment amorties en provenance des parcs éoliens en mer lorsque tous ceux-ci produisent leur puissance maximale. Si ces perturbations électriques déclenchées par les technologies informatiques sont répétitives et qu’elles suivent la même fréquence que les oscillations de puissance mal amorties, celles-ci risquent d’être amplifiées. Ces oscillations intensifiées peuvent alors être transmises par le système de courant continu à haute tension, et potentiellement compromettre la stabilité du réseau électrique principal. Alors que les systèmes existants disposent généralement de redondances intégrées pour les protéger contre les défaillances physiques, une telle protection contre les atteintes à la cybersécurité est rare.

« Les réseaux de systèmes peuvent prendre en charge certains problèmes tels que les pannes de routeurs ou la diminution des signaux. Or, si un pirate informatique tente de détourner les signaux, la situation devient plus préoccupante », avance le P^r Yan, titulaire de la Chaire de recherche de l’Université Concordia en intelligence artificielle appliquée à la cybersécurité et à la résilience (niveau 2).

Le professeur ajoute qu’il existe des lacunes considérables dans l’industrie, tant chez les fabricants que dans le secteur des services publics. Alors que de nombreuses organisations se concentrent sur des questions d’entreprise telles que la sécurité des données et les contrôles d’accès, il reste encore beaucoup à faire pour renforcer la sécurité des technologies opérationnelles.

Il note que Concordia est à l’avant-garde des initiatives de normalisation internationale, mais reconnaît que le travail ne fait que commencer.

« Il existe des normes réglementaires pour les États-Unis et le Canada, mais elles ne font souvent qu’énoncer ce qui est requis sans préciser comment cela doit être fait, note-t-il. Les chercheurs et les opérateurs sont conscients de la nécessité de protéger notre sécurité énergétique, mais il reste encore beaucoup de pistes à explorer et de questions en suspens auxquelles il faut répondre. »

Cette recherche est financée par la Chaire de recherche en partenariat Concordia/Hydro-Québec/Hitachi, avec l’appui du CRSNG et de PROMPT.

Lisez l’étude citée (en anglais seulement) : A Data Integrity Attack Targeting VSC-HVDC-Connected Offshore Wind Farms”