L a cybersecurite des bornes IRVE communales est un sujet qui emerge dans les cahiers des charges municipaux en 2026, pousse par la transposition de la directive NIS 2 et par les premiers incidents documentes sur des infrastructures de recharge europeennes. Une borne IRVE connectee via OCPP 1.6 sans chiffrement TLS communique en clair sur le reseau, exposant les sessions de recharge a des interceptions et les commandes CPMS a des injections. Pour les communes, le risque ne se limite pas a la borne elle-meme : une infrastructure mal isolee du reste du SI municipal peut devenir un vecteur de compromission vers les serveurs administratifs. Ce guide detaille les vulnerabilites OCPP documentees, les mesures correctives applicables dans le cadre d un marche public, et les obligations reglementaires en vigueur en 2026.
Trois axes structurent la securisation d un parc IRVE communal : l exigence contractuelle d OCPP 2.0.1 avec TLS dans le marche, la segmentation reseau des bornes, et la definition de procedures d incident conformes a NIS 2. Ce guide presente chaque axe avec les specifications techniques et les clauses contractuelles adaptees au contexte des collectivites territoriales.
Vulnerabilites OCPP 1.6 : etat des lieux sur les parcs IRVE communaux
OCPP 1.6, deploye en masse entre 2019 et 2023, fonctionne par defaut en WebSocket non chiffre (ws://) si la configuration TLS n est pas activee explicitement. Les recherches publiees par le CERT-UE et le CLUSIF identifient trois vecteurs d attaque principaux. Le premier est l ecoute passive : un attaquant present sur le reseau local (par exemple via un point d acces Wi-Fi public a proximite de la borne) peut capturer les messages OCPP et obtenir les identifiants des utilisateurs, les sessions de recharge, et les commandes du CPMS. Le second vecteur est l attaque de l homme du milieu (MITM) : en se positionnant entre la borne et le CPMS, l attaquant peut modifier les commandes en transit, par exemple augmenter les plafonds de puissance ou modifier les profils de facturation. Le troisieme vecteur est l usurpation de CPMS : en connaissant l URL du CPMS et les identifiants OCPP par defaut (souvent le numero de serie de la borne), un attaquant peut se faire passer pour le CPMS legitime et envoyer des commandes directement aux bornes. Ces trois vecteurs sont techniquement accessible a un attaquant de niveau intermediaire, sans equipement specialise. Consultez le /installateur pour evaluer si les operateurs candidats a votre marche proposent des bornes OCPP 2.0.1 securisees.
OCPP 2.0.1 et TLS : les exigences techniques pour 2026
OCPP 2.0.1 introduit plusieurs mecanismes de securite absents de la version 1.6. Le chiffrement TLS 1.2 minimum est desormais obligatoire sur les connexions WebSocket (wss://). L authentification repose sur des certificats PKI specifiques a l infrastructure IRVE (profil OCPP 2.0.1 Security Profile 3, le plus robuste) ou sur des tokens HMAC-SHA256 (Security Profile 2). Les mises a jour de firmware sont protegees par une signature cryptographique verifiable par la borne avant installation, via le message SignedUpdateFirmware. Le journal des evenements de securite (Security Log) permet de tracer toutes les tentatives d acces non autorisees. Pour les communes, l exigence dans le CCTP est : OCPP 2.0.1 avec Security Profile 2 minimum, TLS 1.2 minimum (TLS 1.3 preferable), et journalisation des evenements de securite transmissible au CPMS. Le reglement (UE) 2025/656 art. 5 imposant ISO 15118-2 depuis le 8 janvier 2026 est complementaire : il securise la communication VE-borne, tandis qu OCPP 2.0.1 securise la communication borne-CPMS. Les bornes certifiees ISO 15118-2 et OCPP 2.0.1 representent en 2026 le standard minimum exigible dans tout nouveau marche public IRVE communal. Utilisez le /simulateur pour evaluer le cout de migration de votre parc vers ces standards.
Segmentation reseau : isoler les bornes du SI municipal
La segmentation reseau est la mesure d architecture la plus efficace pour limiter l impact d une compromission d une borne IRVE. L ANSSI recommande dans son guide de securite des systemes de controle industriel (ICS, version 2024) de placer les equipements industriels connectes sur des segments reseau isoles. Appliquee aux bornes IRVE, cette recommandation se traduit par la creation d un VLAN dedie (par exemple VLAN 100 IRVE), isole du VLAN administratif de la commune par un pare-feu filtrant. Les flux autorises entre le VLAN bornes et l exterieur sont strictement limites : connexion sortante HTTPS (port 443) vers le CPMS, connexion sortante vers les serveurs GIREVE pour l interoperabilite IRVE, et eventuellement un flux de supervision SYSLOG vers le systeme de monitoring municipal. Tout autre flux doit etre interdit par defaut. Cette architecture necessite un switch manageable (disponible a partir de 300-600 EUR HT pour un modele 24 ports) et un pare-feu capable de gestion des VLAN (souvent deja present dans les mairies equipees d un SI structure). Pour les communes sans infrastructure reseau, une connexion 4G/5G dediee pour les bornes constitue une alternative simple qui isole physiquement le flux CPMS du reseau municipal. Cette option est proposee par la plupart des operateurs IRVE pour les sites eloignes ou les communes rurales.
NIS 2 et bornes IRVE communales : obligations applicables
La directive NIS 2 (UE 2022/2555) a ete transposee en droit francais en 2024. Elle definit deux categories d entites soumises a des obligations de cybersecurite renforcees : les entites essentielles et les entites importantes. Les communes exploitant un service public de distribution d energie ou de mobilite peuvent entrer dans le perimetre entite importante si elles depassent les seuils de taille ou sont designees par l ANSSI. Les obligations applicables comprennent : la gestion des risques cyber (cartographie des actifs IRVE, analyse de risques, plan de traitement), les mesures techniques de securite (authentification forte sur les acces CPMS, chiffrement des communications, gestion des mises a jour), la gestion des incidents (procedures de detection, de notification a l ANSSI sous 72 heures, et de remediation), et l extension de ces obligations aux prestataires (operateurs CPMS, installateurs IRVE via clauses contractuelles). La FNCCR accompagne les collectivites membres dans l evaluation de leur perimetre NIS 2 et dans la redaction des politiques de securite adaptees. Pour les communes hors perimetre NIS 2, ces bonnes pratiques restent recommandees car elles reduisent significativement le risque de compromission.
Redaction des clauses cybersecurite dans un marche public IRVE
Les clauses cybersecurite d un marche public IRVE communal doivent figurer dans le CCTP et le CCAP. Dans le CCTP, les exigences techniques couvrent : OCPP 2.0.1 avec Security Profile 2 minimum et TLS 1.2 (rapport de certification Open Charge Alliance fourni), authentification des acces CPMS par authentification multifacteur (MFA), politique de gestion des secrets (aucun mot de passe par defaut, rotation periodique), signature des firmwares et procedure de mise a jour documentee, et fourniture d un Software Bill of Materials (SBOM) pour la borne et le CPMS. Dans le CCAP, les clauses contractuelles incluent : engagement du titulaire a corriger les vulnerabilites critiques (CVSS superieur a 7) sous 30 jours apres publication, obligation de notification de la commune en cas d incident de securite affectant le parc dans un delai de 24 heures, et penalites en cas de non-respect des obligations de securite. Ces clauses sont compatibles avec le code de la commande publique (art. L.2112-1 et suivants). Le code de la commande publique permet d imposer des specifications techniques de securite dans les marches MAPA et les appels d offres. Pour un accompagnement sur la redaction de ces pieces, consultez /proposition ou contactez votre syndicat d energie departemental.
Plan de continuite et gestion des incidents cyber IRVE en pratique
La gestion des incidents cyber sur les bornes IRVE communales doit etre integree au Plan de Continuite des Services (PCS) de la commune. Ce plan doit definir : les contacts d urgence (operateur CPMS, installateur, syndicat d energie, ANSSI via cybermalveillance.gouv.fr), la procedure d isolation des bornes (coupure du port switch ou du routeur 4G dedie, sans coupure physique de la borne pour ne pas bloquer un vehicule en cours de recharge), la procedure de conservation des preuves (export des logs CPMS avant redemarrage, capture reseau si possible), la procedure de notification (ANSSI sous 72 heures si entite NIS 2, usagers via affichage sur borne ou application CPO), et la procedure de retablissement (reinstallation firmware depuis un depot verifie, changement de tous les identifiants OCPP, audit de l integrite du CPMS). L ANSSI met a disposition via cybermalveillance.gouv.fr des fiches reflexes adaptees aux collectivites territoriales. Une simulation d incident (table top exercise) annuelle est recommandee pour tester ces procedures sans attendre un incident reel. Cette demarche s inscrit dans la continuite du service public de mobilite que la commune est tenue d assurer. Utilisez le /proposition pour obtenir un accompagnement sur l audit de securite de votre infrastructure IRVE.
Passer a l action
Pour estimer precisement le cout total et la prime ADVENIR sur votre projet, utilisez le simulateur Loi LOM : calcul en 90 secondes, application automatique des baremes de l Arrete du 24 decembre 2025, breakdown reste a charge.
Pour comparer objectivement les 6 operateurs IRVE entreprise sur 27 criteres publics, utilisez le comparateur d operateurs : Driveco, ChargeGuru, ChargePoint, PowerDot, IZI by EDF, Beev.