Pourquoi la cybersécurité est désormais au coeur du secteur automobile à l'ère de l'IA

Benoit Grunemwald
ESET

L'industrie automobile fait face à une transformation majeure : après la sécurité physique, la cybersécurité devient un critère de qualité incontournable.

Pendant des décennies l’industrie automobile a élevé la sécurité au rang de priorité absolue. Crash-tests, airbags et normes ISO ont défini les critères de qualité des véhicules. Mais un changement de paradigme s’opère, la sécurité se veut aussi cyber. Indicateur phare de la qualité d’un produit, les acteurs qui la négligent s’exposent désormais à des conséquences majeures.

Un véhicule moderne intègre jusqu’à 30 000 composants, répartis au sein de multiples sous-systèmes et issus d’un vaste réseau de fournisseurs. D’autre part, la mondialisation permet aux constructeurs de déployer des chaînes d’approvisionnement internationales, réduisant les coûts et accélérant l’accès à de nouveaux marchés. Cette complexité accrue a toutefois un revers. Leur surface d’attaque s’est considérablement élargie. Une seule faiblesse logicielle, matérielle ou opérationnelle, peut suffire à compromettre la sécurité et la confidentialité des données, interrompre la production, générer des pertes financières colossales et entamer durablement la confiance des consommateurs.

En juin 2024, CDK Global, éditeur de logiciels utilisé par près de 15 000 concessionnaires automobiles aux États-Unis, a subi une attaque par ransomware. Trois semaines de paralysie ont entraînés une perte directe estimée à 1,02 milliard de dollars, comprenant les ventes de véhicules neufs (environ 56 200 unités), l’activité de l’occasion, les revenus liés aux pièces et à la maintenance, ainsi que les coûts de personnel et d’informatique. Cette estimation ne prend pas en compte les frais liés au paiement éventuel de la rançon, aux conseils juridiques ni aux adaptations opérationnelles imposées par la suite.

Dans la même logique, la cyberattaque récente visant Jaguar Land Rover illustre l’ampleur des impacts qu’un incident de ce type peut avoir bien au-delà de l’entreprise ciblée. Fournisseurs, économies locales et chaînes d’approvisionnement internationales ont été affectés. Selon le Cyber Monitoring Centre (CMC), les pertes économiques au Royaume-Uni atteindraient environ 1,9 milliard de livres sterling. Plus de 5 000 entreprises, majoritairement des PME, ont été touchées, des structures pour lesquelles ce type de choc peut s’avérer fatal.

Heureusement, le cadre réglementaire évolue rapidement pour s’aligner sur les réalités actuelles. Entre le Cyber Resilience Act européen et la norme ISO/SAE 21434, les constructeurs sont désormais tenus d’intégrer la cybersécurité sur l’ensemble du cycle de vie des produits, de la conception à la production, jusqu’aux mises à jour post-commercialisation. Il ne s’agit plus de recommandations, mais d’obligations, en phase avec la réalité des véhicules connectés opérant dans un environnement numérique toujours plus hostile. La transparence de la chaîne d’approvisionnement est également au cœur des exigences. Le règlement européen NIS2 en est une illustration claire. Les constructeurs automobiles ne sont pas les seuls concernés, les responsabilités réglementaires sont étendues à l’ensemble des acteurs de la chaîne de valeur.

D’ailleurs, les attentes des clients confirment cette tendance. 83 % d’entre eux souhaitent que les constructeurs communiquent clairement sur l’origine des logiciels utilisés, tandis que 77 % identifient les composants tiers comme des risques en matière de cybersécurité. Cette vigilance s’étend à la chaîne d’approvisionnement numérique, où une défaillance semble périphérique, comme un prestataire de support informatique externalisé, peut suffire à bloquer une organisation mondiale, comme l’a démontré le cas Jaguar Land Rover. Autrement dit, il ne suffit plus de livrer un composant performant. Il faut désormais être en mesure de démontrer que chaque ligne de code, chaque fournisseur et chaque module tiers répond à des exigences de sécurité élevées. Si cette exigence peut sembler lourde pour les PME, elle représente également une opportunité stratégique : celle de prouver leur valeur ajoutée et leur fiabilité auprès des constructeurs et partenaires.

Pour autant, La cybersécurité ne se résume pas à l’acquisition d’un outil ou au respect formel d’une checklist. Elle repose sur une approche proactive et continue. La montée en puissance des cybermenaces impose aux organisations, y compris les acteurs industriels et les PME, d’adopter une posture de surveillance et de réaction continue. Les approches modernes combinant automatisation avancée, analyse comportementale et expertise humaine permettent aujourd’hui d’atteindre un niveau de vigilance qui dépasse largement les capacités internes de nombreuses structures. Cette vigilance 24/7, associée à des capacités de détection proactive, joue un rôle déterminant pour identifier rapidement les signaux faibles, limiter les interruptions de production et répondre efficacement aux exigences réglementaires croissantes. Dans un contexte industriel, où chaque minute d’arrêt peut représenter un coût élevé, la capacité à repérer les anomalies en temps réel est devenue critique. Cette logique s’applique également aux risques issus de la chaîne d’approvisionnement. L’analyse approfondie des télémétries et le croisement avec des renseignements globaux sur les menaces permettent de repérer des comportements anormaux, telles que les dérives dans l’usage d’équipements connectés ou encore accès suspects révélés par des activités utilisateur inhabituelles.

Nous entrons dans une ère où la résilience numérique est indissociable de la précision mécanique. Les fournisseurs qui intègrent la cybersécurité dès la conception, en particulier ceux qui déploient une surveillance continue et pilotent activement les risques liés à la chaîne d’approvisionnement, se distingueront dans un marché où la sécurité cyber est de plus en plus perçue comme un gage de fiabilité. Pour les PME, la pression est réelle, mais l’opportunité l’est tout autant. En considérant la cybersécurité comme un critère de qualité à part entière, elle devient un atout commercial, un facteur de différenciation et un rempart contre les risques opérationnels et réputationnels.