Cinq étapes clés pour un avenir automobile cybersécurisé
Ces dernières années, les voitures sont devenues de formidables moyens de transport connectés, offrant de multiples options de conduite, mais renforçant du même coup les risques en cybersécurité.
Ces dix dernières années, les voitures sont devenues plus que de simples moyens de transport. Elles se sont transformées en de petits univers mobiles mêlant activités numériques et mobilité. La multitude de services et d’applications mis à la disposition des automobilistes facilite la conduite, optimise les itinéraires et divertit les passagers. Les véhicules électriques proposent également une vaste gamme de services pour aider les conducteurs, qu’il s’agisse de service de paiement en ligne pour stationner, faire le plein, ou recharger sa batterie.
Pour cela, les voitures doivent collecter une grande quantité de données, de la localisation du conducteur à ses données personnelles, en passant par ses informations bancaires. En devenant un objet connecté, la voiture est une cible pour les cybercriminels, en mesure d’exploiter les failles de son système.
Les risques de cybersécurité encourus par les véhicules connectés peuvent être extrêmement dommageables : vol de données personnelles ou bancaires, altération du comportement du véhicule, prise en main malveillante des commandes, de la conduite au verrouillage, ou encore le vol de la voiture. Toute attaque réussie peut être dangereuse pour les conducteurs, les passagers et les piétons. Elle peut également avoir un impact sur les opérateurs de flottes, les constructeurs automobiles, les fournisseurs, les distributeurs, les compagnies d’assurances et les institutions financières.
Les problématiques de cybersécurité dans l’industrie automobile sont devenues si importantes que les organisations internationales débattent activement des exigences et certifications nécessaires. Par exemple, le règlement n°155 des Nations Unies sur les dispositions relatives à la cybersécurité et aux systèmes de gestion de la cybersécurité dans l’industrie automobile a été adopté par la Commission économique des Nations unies pour l’Europe (CEE-ONU) en 2021. La CEE-ONU a également adopté le règlement n°156, qui stipule les exigences de sécurité pour le processus de mise à jour des microprogrammes et des applications installées dans les systèmes automobiles. En outre, les normes internationales ISO/SAE 21434 et ISO 24089 précisent et décrivent les mesures spécifiques que les organisations pourraient mettre en œuvre pour se conformer aux réglementations de l’ONU.
A partir du mois de juillet 2024, les règles établies par l’ONU deviendront obligatoires pour tous les nouveaux véhicules : les constructeurs automobiles devront alors s’assurer qu’ils respectent ces exigences et qu’ils obtiennent cette certification. Cependant, le processus de mise en conformité peut s’avérer difficile pour de nombreux constructeurs, car les régulateurs n’ont pas encore publié de recommandations et de réglementations techniques complètes concernant la conformité aux normes UN R 155 et UN R 156. Pour éviter que cette mise en conformité ne soit qu’une simple formalité, mais permette d’améliorer les pratiques autour de la cybersécurité des véhicules et des entreprises de l’industrie automobile, voici les cinq étapes à suivre :
1. Assurer la cybersécurité de l’infrastructure TIC
Il est indispensable de s’assurer que l’infrastructure TIC de toute organisation soit protégée contre les cyberattaques. Il s’agit là d’un facteur à prendre en compte, pour la bonne tenue des solutions de sécurité utilisées, pour protéger le réseau du bureau et les points finaux. Il est beaucoup plus difficile de réparer des processus déjà mis en place que d’en créer. Les pratiques de sécurité spécifiques qu’une entreprise doit adopter pour sécuriser son infrastructure TIC dépendent de sa maturité et de sa taille. La mise en œuvre d’une politique de cybersécurité dans une infrastructure doit être un processus continu et non une action ponctuelle.
2. Proposer un système de gestion de la cybersécurité à l’échelle de l’entreprise
Il est essentiel d’adopter une approche rationnelle pour un système de gestion de la cybersécurité qui s’applique aux activités de développement, de production et de post-production des véhicules. Élaborer la politique de cybersécurité de l’organisation et définir les principaux objectifs de cybersécurité en tenant compte des menaces qui peuvent peser sur le processus de développement et de production des véhicules. Une organisation doit non seulement protéger son périmètre et ses actifs, mais aussi mettre en œuvre et maintenir des processus utilisés pour l’identification, l’évaluation, la catégorisation et le traitement des risques de cybersécurité liés aux véhicules et à leurs composants.
3. Elaborer un plan de cybersécurité pour un projet de développement
Un plan de cybersécurité est un document qui annonce la planification et l'exécution des activités de cybersécurité dans le cadre d’un projet de développement automobile. Il permet d’énumérer les activités de cybersécurité et leurs dépendances par rapport à d'autres d’activités, de définir le personnel responsable, les ressources nécessaires, les coûts, les délais et les résultats.Il peut se référer au plan général du projet (ou à d’autres plans et documents) ou en faire partie. Ce plan lie inextricablement les activités de cybersécurité au processus de développement. Il constitue un excellent outil pour suivre sa mise en œuvre tout au long du cycle de vie d’un véhicule.
4. Sécuriser l’infrastructure de soutien et les services externes
Dans le cadre du développement d’un véhicule sécurisé, il est important de veiller à la cybersécurité de son “intérieur”, mais aussi à celle de l’infrastructure d’appui. Il s’agit d’un véritable écosystème autour des voitures : une station de recharge, des services externes, l’infrastructure de services, des nuages de données, etc. Lorsqu’on définit le cahier des charges, il ne faut pas oublier de dresser une liste d’exigences relatives aux services et de les apposer lors de la conclusion du contrat. Si le prestataire de services ne peut pas garantir la sécurité, et il n’y a aucun moyen d’exclure ce dernier, il est nécessaire d’inclure des mesures de sécurité supplémentaires auxquelles le constructeur automobile pourra répondre.
5. Veiller à ce que le cycle de vie du projet réponde aux exigences de cybersécurité
Depuis la phase de conception, jusqu’au démarrage du véhicule, voire la réutilisation des composants, chaque étape du cycle de vie doit être conforme aux exigences de cybersécurité. D’une part, il est essentiel de ne pas surcharger ce procédé avec trop d’exigences et de n’ajouter que celles qui répondent aux objectifs de sécurité et n’entrent pas en conflit avec la sécurité fonctionnelle. D’autre part, il convient de prendre en compte tous les risques, y compris ceux liés aux fournisseurs, à l’infrastructure d’appui et aux services externes. Le problème auquel vous pouvez être confronté au cours de cette phase est la pénurie de personnel sur le marché de l’emploi, ce qui est un problème systémique. Dans ce cas précis, l’unique solution consiste à faire appel à des organisations externes pour vérifier la qualité du code, rechercher les vulnérabilités dans les produits développés et effectuer des tests de pénétration.
En conclusion, votre équipe de cybersécurité doit s’adapter aux nouvelles vulnérabilités et à l’évolution du paysage des menaces. De la conception et du développement à la production, en particulier dans l’industrie automobile, le parcours peut être semé d’embûches. Cependant, la route vers une industrie automobile cyber sécurisée est un long chemin qui doit prendre en compte l’ensemble du cycle de vie du véhicule et proposer une stratégie adaptée.