Cinq points essentiels à retenir en matière de cybersécurité pour l’industrie automobile
Des experts du secteur font le point sur l’actualité pour vous aider à renforcer votre résilience
Dans un monde connecté en constante évolution, la transformation numérique prend de l’ampleur dans tous les aspects du quotidien.
L’industrie automobile n’échappe pas à cette évolution : nos voitures deviennent nos meilleurs copilotes, nous permettant de planifier nos déplacements grâce aux données en temps réel ou de lire et répondre à nos SMS avec la commande vocale.
Ce changement s’étend au reste des véhicules. L’ensemble du secteur dote ses bus, camions, tracteurs et infrastructures de nouvelles fonctionnalités leur permettant de devenir de plus en plus autonomes, connectés, électriques et partagés.
Plus intégrées dans chaque équipement, ces nouvelles fonctionnalités sont interconnectées entre elles, mais aussi avec les autres véhicules et les infrastructures routières.
Ces intégrations multiplient les points d’entrée d’attaques potentielles – chaque véhicule représentant une surface de risque plus grande – et accroît le niveau de menace et l’importance des impacts potentiels.
Comme d’autres secteurs critiques, l’industrie automobile est confrontée à des répercussions comme des dommages physiques et des impacts financiers.
Les acteurs de la cybermenace – qu’il s’agisse d’États, d’organisations criminelles ou d’individus – deviennent de plus en plus sophistiqués pour atteindre leurs objectifs. Ils visent notamment à déstabiliser des opérations, à accroître leur richesse via des rançongiciels ou des vols et à modifier des véhicules pour en altérer les performances ou les fonctionnalités.
« Presque tous les constructeurs automobiles ont été piratés » [1]
– Steve Tengler, Forbes
Face à ces défis croissants, les entités de réglementation interviennent pour guider et habiliter les équipementiers et les fournisseurs dans la fabrication de véhicules sûrs et durables :
- le règlement R155 du WP.29 de la CEE-ONU pour le système de gestion de la cybersécurité, et
- ISO/SAE 21434 pour les véhicules routiers – Ingénierie de la cybersécurité.
À partir de notre expérience en matière de cybersécurité et en nous référant à ces documents, nous discuterons dans cet article des principaux points à retenir pour commencer à se préparer à l’ingénierie de la cybersécurité et accroître votre résilience.
#1 – Les enjeux ne se conjuguent pas seulement au futur
Avec une estimation de 86% de véhicules connectés sur le marché automobile mondial d’ici 2025[2], la cybersécurité automobile peut facilement être confondue par une préoccupation futuriste.
Alors que les risques augmentent avec la croissance des véhicules autonomes et connectés, des vulnérabilités existent déjà dans les véhicules que nous utilisons tous les jours.
Dès 2015, des chercheurs en cybersécurité ont démontré qu’ils étaient capables de gérer la climatisation d’une Jeep Cherokee, et plus dangereusement, de prendre le contrôle du système de freinage et d’accélération.
Avec plus de 200 attaques signalées en 2020, dont près de 80% déclenchées à distance[3], les experts et les pirates ont démontré que les menaces sont à prendre en compte dès le début de cette décennie. N’oublions pas que les 20% restants représentent des attaques activées localement, avec ou sans l’intervention du pirate.
#2 – Un impact sur l’accès au marché – à un horizon d’un an
Comme nous l’avons mentionné, l’industrie automobile connaît depuis l’année dernière de nouvelles réglementations et normes ciblant la cybersécurité du secteur.
Depuis juin 2020, la Commission économique des Nations Unies pour l’Europe (CEE-ONU) a publié le règlement R155 du WP.29 relatif au système de gestion de la cybersécurité. Le document de la CEE-ONU fait de nombreuses références à la norme ISO/SAE 21434 qui, dès sa publication prévue en fin 2021, fournira un cadre de référence pour se conformer aux exigences du règlement.
À partir de juin 2022, la conformité au règlement WP.29 R155 sera obligatoire pour accéder au marché des 56 États membres de la CEE-ONU, dont le Canada et les États-Unis.
Ces exigences demandent aux constructeurs d’appliquer des mesures de cybersécurité aux véhicules futurs et de voir l’adaptation de ces outils et techniques aux modèles antérieurs dans le courant des prochaines années.
En ce qui concerne la norme ISO/SAE 21434, si son objectif n’est pas de contraindre juridiquement les acteurs de l’industrie, elle est positionnée pour devenir un différentiateur important dans l’avenir de la mobilité.
Elle garantit un haut niveau de sécurité et une preuve que le véhicule a été développé selon la norme industrielle et les meilleures pratiques.
#3 – Une responsabilité tout au long du cycle de vie du véhicule
Dans la norme ISO/SAE 21434, qui vise à guider les organisations à travers les processus qu’elles doivent mettre en œuvre pour respecter les exigences de cybersécurité, les équipementiers sont responsables de l’ensemble du cycle de vie des véhicules : de la phase de conception à la mise hors service.
Étant donné que la durabilité moyenne d’une voiture est d’environ 200 000 miles ou 12 ans[4], les processus de post-production tels que les mises à jour logicielles et la gestion des incidents doivent être fortement pris en compte.
Les équipementiers ne sont pas les seuls acteurs visés par le document : les fournisseurs devront également se conformer aux exigences de sécurité.
Pour faciliter la gestion de ces connaissances et données, la norme détaille les aspects de gouvernance à mettre en place en comprenant notamment la gestion des fournisseurs et des mises à jour, l’amélioration continue et les méthodologies d’évaluation des risques.
#4 – Le rôle des opérateurs de flotte
Des bus locaux aux camions de marchandises en passant par les voitures partagées, les flottes de véhicules représentent des opportunités de choix pour les groupes malveillants. En particulier dans le contexte pandémique actuel, une attaque pourrait affecter la distribution de fournitures médicales ou de vaccins.
Les cybermenaces à l’échelle des flottes sont à surveiller, en particulier pour les opérateurs de parcs qui devront supporter les coûts et l’impact opérationnel des interruptions de service. Depuis les achats jusqu’aux opérations quotidiennes, les équipes de gestion ont un rôle à jouer dans la lutte globale pour une industrie cybersécurisée.
À mesure que les acheteurs et les gestionnaires de flottes de véhicules introduisent des exigences en matière de cybersécurité dans leurs appels d’offres, en indiquant clairement leur importance, cela aura un impact significatif sur la sécurité globale de notre mobilité.
Il est essentiel de veiller à ce que les exigences en matière de cybersécurité soient respectées, évaluées et surtout gérées tout au long du cycle de vie du produit.
#5 – Une règle d’or : ne payez pas la rançon
Cela peut paraître facile à dire, mais payer une rançon contribue à perpétuer les risques de cyber-attaques, car cela finance les organisations criminelles. Ce n’est pas non plus une solution, car même après avoir payé la rançon, vous n’avez aucune garantie que votre organisation récupérera ses données ou ses biens.
Ne pas avoir recours au paiement de la rançon signifie que vous devez vous protéger à l’avance avec l’aide d’experts en cybersécurité.
Évaluez vos vulnérabilités
Que vous fabriquiez ou exploitiez des véhicules, faites le premier pas vers la résilience de vos opérations et de vos véhicules en procédant à une évaluation de votre maturité en matière de cybersécurité.
Avec les bons experts, vous identifierez les failles à sécuriser pour vous conformer aux récentes réglementations et offrir des expériences fiables à vos clients.
En tant que leader de la cybersécurité, l’équipe multidisciplinaire de Thales basée au Québec peut vous accompagner pour évaluer, organiser et implémenter un cadre conforme aux normes, selon vos besoins.
Pour une mobilité en laquelle vous pouvez avoir confiance.
Cet article de blogue est rendu possible grâce à notre grand partenaire Thales dans le cadre du Forum Cybersécurité et sûreté dans les transports, une initiative de Propulsion Québec et soutenu par le gouvernement du Québec.
Poursuivre la lecture sur le sujet
Corridor décarboné 100% électrique
Une première pour le Québec Le projet pilote de corridor décarboné 100% électrique entre Québec et Montréal sera une première pour le Québec. Dans un contexte où les véhicules lourds représentent plus de 27% des émissions de GES liés au transport au Québec, ce projet sera une avancée significative vers l’électrification du transport interurbain de […]
Lire la suiteLeddarTech : un logiciel automobile au service des systèmes d’aide à la conduite et de conduite autonome
Basée à Québec, Canada, LeddarTech est une entreprise de logiciels automobiles fondée en 2007 qui développe et propose des solutions de perception complètes permettant le déploiement d’applications ADAS et de conduite autonome.
Lire la suiteLes politiques industrielles traceront-elles l’avenir des industries québécoises ?
L’économie québécoise – et plus largement mondiale – fait face à des enjeux multiples : crise climatique, problèmes d’approvisionnements, pénuries de main d’œuvre, inflation etc. Bien que le Québec regorge de ressources, de savoir-faire et d’expertises, un exercice pour structurer, planifier les actions et développer les activités industrielles est maintenant à l’ordre du jour.
Lire la suiteLe laboratoire d’infonuagique du Cégep de l’Outaouais au service de l’éducation spécialisée et de l’innovation technologique en cybersécurité
CyberQuébec est l’un des 59 Centres collégiaux de transfert de technologie (CCTT) du réseau Synchronex.
Lire la suiteÉmergence des métiers de la donnée pour le transport électrique et intelligent – des parcours d’apprentissages spécialisés et uniques au Québec par la formation continue du Collège de Bois-de-Boulogne
L’industrie du transport électrique et intelligent est en émergence à travers le monde. Dans un contexte de grande rareté de main-d’œuvre, de nouvelles opportunités d’emploi se présentent à une population, jeune et adulte, très sollicitée.
Lire la suiteLes données télématiques: la clé d’une transition énergétique réussie
Les gestionnaires de flotte font actuellement face au défi colossal de la transition énergétique, afin de répondre aux exigences législatives et à la demande sociétale. Pour la majeure partie des transporteurs, tant dans le secteur du transport passagers que dans celui de la livraison du dernier kilomètre, ce virage vert est déjà amorcé.
Lire la suiteAmbition TEI 2030 : une feuille de route industrielle pour faire du Québec un chef de file des TEI d’ici 2030
Propulsion Québec, la grappe des transports électriques et intelligents, en collaboration avec la firme Deloitte, a réalisé une feuille de route destinée à l’écosystème des transports électriques et intelligents (TEI) intitulée Ambition TEI 2030.
Lire la suiteLa transition énergétique, l’enjeu qui bouscule l’industrie du transport
Le ministère américain de l’énergie a récemment publié un rapport contenant une analyse du coût des véhicules pour les camions moyens et lourds zéro émission.
Lire la suiteLa Mobilité de l’avenir, c’est intelligent, vert, inclusif et sain
L’innovation fait partie de notre stratégie Alstom in Motion 2025. C’est ce qui nous a mené où nous sommes aujourd’hui, et nous voulons aller encore plus loin.
Lire la suiteCAPEX – comment prendre des bonnes décisions concernant l’électrification des flottes?
Reconnaissant l'importance de maintenir l'avance du Canada et du Québec dans le secteur de l’électrification des transports tout en assurant notre engagement lié à la réduction des GES selon l’accord de Paris, le Gouvernement du Québec offre d’aides financières pouvant aller à plus de 100 000 $ pour la mise en œuvre d’un projet de migration vers une flotte électrique.
Lire la suite