EnOcean Secure utilise un rolling code (compteur incrémental) combiné à un CMAC (Cipher-based MAC sur AES-128) pour authentifier chaque télégramme et empêcher les attaques par rejeu, ce qui est critique pour les usages sécurité (alarmes, serrures sans fil).

Le rolling code est un compteur 24 ou 32 bits incrémenté à chaque émission ; le CMAC est une signature cryptographique calculée sur (data + counter) avec une clé AES-128 ; l'anti-replay impose que le récepteur accepte uniquement les compteurs supérieurs ou égaux à la valeur attendue ; la clé de 16 octets est partagée au moment du Teach-In Secure. Sans Secure, EnOcean reste vulnérable au replay, même si l'espace Device ID de 32 bits limite le spoofing aléatoire.

Pour toute application sécurité (alarme intrusion, contrôle d'accès), EnOcean Secure n'est pas optionnel : un télégramme RPS classique se rejoue trivialement avec un sniffer.