Cybersécurité des bornes IRVE : défis et normes pour 2026

L’ère des bornes de recharge intelligentes : un nouveau front cyber

Le déploiement massif de l'infrastructure de recharge pour véhicules électriques (IRVE) en Europe transforme les bornes de recharge en équipements IoT critiques. De simples points de distribution d'énergie, elles sont devenues des nœuds connectés, gérant des transactions financières, des données utilisateurs et l'intégration au réseau électrique. Cette hyper-connectivité, portée par des protocoles comme OCPP et des standards comme ISO 15118, ouvre un champ de vulnérabilités potentielles. Pour les acteurs de l'eMobility – CPO, installateurs, gestionnaires de flottes ou de copropriétés – la cybersécurité n'est plus une option technique mais une exigence opérationnelle et règlementaire centrale pour 2026 et au-delà.

Le cadre règlementaire européen : AFIR, RED III et la pression législative

L'Europe impose désormais une sécurité *by design*. Deux textes majeurs structurent cette approche :

• Le Règlement AFIR (Alternative Fuels Infrastructure Regulation) exige, via son article 5 et ses annexes, que les points de recharge disposent « d'un niveau élevé de résilience contre les cyberattaques et de capacités de mise à jour à distance sécurisée des micrologiciels ». La conformité est obligatoire pour les nouveaux points installés à partir d'avril 2025, avec un délai d'adaptation pour l'existant. Les opérateurs des grands corridors européens (France, Allemagne, Benelux, Espagne, Italie) doivent déjà en tenir compte.
• La directive RED III (Radio Equipment Directive) étend son champ aux équipements connectés, imposant des exigences de cybersécurité pour tout dispositif radio (Wi-Fi, 4G/5G) intégré dans les bornes. Sa transposition dans les États membres aura un impact direct sur la mise sur le marché des équipements.

Ces cadres, couplés à la directive NIS2, signifient que les CPO et les exploitants peuvent être tenus responsables d'incidents affectant la continuité de service ou la protection des données.

Les risques concrets pour l'écosystème de la recharge électrique

Les menaces sont multidimensionnelles et ont des implications directes sur le business modèle et la réputation.

Un exemple probant : une attaque en 2025 contre un réseau de bornes de recharge publiques aux Pays-Bas a temporairement désactivé plusieurs centaines de points, démontrant la matérialité du risque.

Les standards techniques : la première ligne de défense (OCPP, ISO 15118, PKI)

La sécurité s'implémente via des protocoles et des architectures robustes.

OCPP 2.0.1 et au-delà : l'impératif de chiffrement et d'authentification

Le protocole OCPP est le système nerveux des réseaux IRVE. Les versions antérieures à la 1.6 offraient peu de sécurité native. Aujourd'hui, OCPP 2.0.1 intègre des mécanismes essentiels :

• Chiffrement TLS obligatoire pour toutes les communications entre la borne et le système central (CSMS).
• Authentification mutuelle forte (certificats), empêchant l'usurpation de bornes ou de serveurs.
• Gestion sécurisée des firmware avec signature numérique des mises à jour.

Pour les opérateurs, auditer la conformité OCPP de son parc et exiger ces fonctionnalités chez les fournisseurs est une action prioritaire.

ISO 15118 et la PKI : la confiance dans la recharge intelligente et le V2G

Le standard ISO 15118 (recharge Plug & Charge et V2G) repose sur une Infrastructure à Clés Publiques (PKI). Cette "usine à certificats" numérique garantit :

• L'identité unique et inviolable du véhicule et de la borne.
• L'intégrité et la confidentialité des données échangées.
• La non-répudiation des transactions.

Le déploiement à l'échelle européenne de la PKI interopérable (comme celle gérée par la eMI3 group) est un projet critique pour la sécurité du marché unique de la recharge électrique.

Plan d'action pour les décideurs en 2026

1. Audit et cartographie : Établir un inventaire précis du parc (modèles, firmware, connectivité) et évaluer les vulnérabilités. Les syndicats de copropriété et les gestionnaires d'hôtels doivent exiger ces audits de leurs installateurs. 2. Exigences contractuelles fortes : Intégrer dans les appels d'offres et contrats avec les fournisseurs de bornes ou de CSMS des clauses exigeant la conformité aux versions sécurisées de l'OCPP, la signature des firmware, et la gestion des vulnérabilités sur le cycle de vie. 3. Supervision active et mise à jour : Passer d'une maintenance corrective à une supervision proactive. La détection d'anomalies de trafic OCPP peut signaler une tentative d'intrusion. Un plan de mise à jour régulier des firmware est non-négociable. 4. Ségrégation des réseaux : Isoler le réseau des bornes de recharge du réseau informatique principal de l'entreprise (hôtel, centre commercial, siège), notamment via des VLAN. 5. Préparation à l'incident : Disposer d'un plan de réponse aux cyber-incidents spécifique à l'IRVE, incluant la procédure de déconnexion manuelle et la communication aux utilisateurs.

L'enjeu de cybersécurité est un pilier de la fiabilité et de la confiance dans l'eMobility. Il transforme la gestion de l'IRVE d'une simple logistique technique en une compétence stratégique de résilience numérique.

> La maîtrise de ces enjeux implique une expertise pointue sur la stack technique des bornes. Greenfinops IRVE accompagne les opérateurs en PACA et au-delà grâce à son savoir-faire en audit OCPP, en mise à jour sécurisée des firmware et en supervision active des infrastructures, pour déployer et maintenir un réseau de recharge performant et résilient.