Cinq points essentiels à retenir en matière de cybersécurité pour l’industrie automobile

Dans un monde connecté en constante évolution, la transformation numérique prend de l’ampleur dans tous les aspects du quotidien.

L’industrie automobile n’échappe pas à cette évolution : nos voitures deviennent nos meilleurs copilotes, nous permettant de planifier nos déplacements grâce aux données en temps réel ou de lire et répondre à nos SMS avec la commande vocale.

Ce changement s’étend au reste des véhicules. L’ensemble du secteur dote ses bus, camions, tracteurs et infrastructures de nouvelles fonctionnalités leur permettant de devenir de plus en plus autonomes, connectés, électriques et partagés.

Plus intégrées dans chaque équipement, ces nouvelles fonctionnalités sont interconnectées entre elles, mais aussi avec les autres véhicules et les infrastructures routières.

Ces intégrations multiplient les points d’entrée d’attaques potentielles – chaque véhicule représentant une surface de risque plus grande – et accroît le niveau de menace et l’importance des impacts potentiels.

Comme d’autres secteurs critiques, l’industrie automobile est confrontée à des répercussions comme des dommages physiques et des impacts financiers.

Les acteurs de la cybermenace – qu’il s’agisse d’États, d’organisations criminelles ou d’individus – deviennent de plus en plus sophistiqués pour atteindre leurs objectifs. Ils visent notamment à déstabiliser des opérations, à accroître leur richesse via des rançongiciels ou des vols et à modifier des véhicules pour en altérer les performances ou les fonctionnalités.

« Presque tous les constructeurs automobiles ont été piratés » ^[1]
– Steve Tengler, Forbes

Face à ces défis croissants, les entités de réglementation interviennent pour guider et habiliter les équipementiers et les fournisseurs dans la fabrication de véhicules sûrs et durables :

À partir de notre expérience en matière de cybersécurité et en nous référant à ces documents, nous discuterons dans cet article des principaux points à retenir pour commencer à se préparer à l’ingénierie de la cybersécurité et accroître votre résilience.

Avec une estimation de 86% de véhicules connectés sur le marché automobile mondial d’ici 2025^[2], la cybersécurité automobile peut facilement être confondue par une préoccupation futuriste.

Alors que les risques augmentent avec la croissance des véhicules autonomes et connectés, des vulnérabilités existent déjà dans les véhicules que nous utilisons tous les jours.

Dès 2015, des chercheurs en cybersécurité ont démontré qu’ils étaient capables de gérer la climatisation d’une Jeep Cherokee, et plus dangereusement, de prendre le contrôle du système de freinage et d’accélération.

Avec plus de 200 attaques signalées en 2020, dont près de 80% déclenchées à distance^[3], les experts et les pirates ont démontré que les menaces sont à prendre en compte dès le début de cette décennie. N’oublions pas que les 20% restants représentent des attaques activées localement, avec ou sans l’intervention du pirate.

Comme nous l’avons mentionné, l’industrie automobile connaît depuis l’année dernière de nouvelles réglementations et normes ciblant la cybersécurité du secteur.

Depuis juin 2020, la Commission économique des Nations Unies pour l’Europe (CEE-ONU) a publié le règlement R155 du WP.29 relatif au système de gestion de la cybersécurité. Le document de la CEE-ONU fait de nombreuses références à la norme ISO/SAE 21434 qui, dès sa publication  prévue en fin 2021, fournira un cadre de référence pour se conformer aux exigences du règlement.

À partir de juin 2022, la conformité au règlement WP.29 R155 sera obligatoire pour accéder au marché des 56 États membres de la CEE-ONU, dont le Canada et les États-Unis.

Ces exigences demandent aux constructeurs d’appliquer des mesures de cybersécurité aux véhicules futurs et de voir l’adaptation de ces outils et techniques aux modèles antérieurs dans le courant des prochaines années.

En ce qui concerne la norme ISO/SAE 21434, si son objectif n’est pas de contraindre juridiquement les acteurs de l’industrie, elle est positionnée pour devenir un différentiateur important dans l’avenir de la mobilité.

Elle garantit un haut niveau de sécurité et une preuve que le véhicule a été développé selon la norme industrielle et les meilleures pratiques.

Dans la norme ISO/SAE 21434, qui vise à guider les organisations à travers les processus qu’elles doivent mettre en œuvre pour respecter les exigences de cybersécurité, les équipementiers sont responsables de l’ensemble du cycle de vie des véhicules : de la phase de conception à la mise hors service.

Étant donné que la durabilité moyenne d’une voiture est d’environ 200 000 miles ou 12 ans^[4], les processus de post-production tels que les mises à jour logicielles et la gestion des incidents doivent être fortement pris en compte.

Les équipementiers ne sont pas les seuls acteurs visés par le document : les fournisseurs devront également se conformer aux exigences de sécurité.

Pour faciliter la gestion de ces connaissances et données, la norme détaille les aspects de gouvernance à mettre en place en comprenant notamment la gestion des fournisseurs et des mises à jour, l’amélioration continue et les méthodologies d’évaluation des risques.

Des bus locaux aux camions de marchandises en passant par les voitures partagées, les flottes de véhicules représentent des opportunités de choix pour les groupes malveillants. En particulier dans le contexte pandémique actuel, une attaque pourrait affecter la distribution de fournitures médicales ou de vaccins.

Les cybermenaces à l’échelle des flottes sont à surveiller, en particulier pour les opérateurs de parcs qui devront supporter les coûts et l’impact opérationnel des interruptions de service. Depuis les achats jusqu’aux opérations quotidiennes, les équipes de gestion ont un rôle à jouer dans la lutte globale pour une industrie cybersécurisée.

À mesure que les acheteurs et les gestionnaires de flottes de véhicules introduisent des exigences en matière de cybersécurité dans leurs appels d’offres, en indiquant clairement leur importance, cela aura un impact significatif sur la sécurité globale de notre mobilité.

Il est essentiel de veiller à ce que les exigences en matière de cybersécurité soient respectées, évaluées et surtout gérées tout au long du cycle de vie du produit.

Cela peut paraître facile à dire, mais payer une rançon contribue à perpétuer les risques de cyber-attaques, car cela finance les organisations criminelles. Ce n’est pas non plus une solution, car même après avoir payé la rançon, vous n’avez aucune garantie que votre organisation récupérera ses données ou ses biens.

Ne pas avoir recours au paiement de la rançon signifie que vous devez vous protéger à l’avance avec l’aide d’experts en cybersécurité.

Que vous fabriquiez ou exploitiez des véhicules, faites le premier pas vers la résilience de vos opérations et de vos véhicules en procédant à une évaluation de votre maturité en matière de cybersécurité.

Avec les bons experts, vous identifierez les failles à sécuriser pour vous conformer aux récentes réglementations et offrir des expériences fiables à vos clients.

En tant que leader de la cybersécurité, l’équipe multidisciplinaire de Thales basée au Québec peut vous accompagner pour évaluer, organiser et implémenter un cadre conforme aux normes, selon vos besoins.

Pour une mobilité en laquelle vous pouvez avoir confiance.

^[1] https://www.forbes.com/sites/stevetengler/2020/06/30/top-25-auto-cybersecurity-hacks-too-many-glass-houses-to-be-throwing-stones/?sh=630601957f65

^[2]  https://ww2.frost.com/frost-perspectives/new-opportunities-and-vehicle-architectures-how-upcoming-cybersecurity-regulations-will-transform-the-connected-car-ecosystem/

^[3] https://upstream.auto/2021Report/

^[4] https://www.aarp.org/auto/trends-lifestyle/info-2018/how-long-do-cars-last.html

Cet article de blogue est rendu possible grâce à notre grand partenaire Thales dans le cadre du Forum Cybersécurité et sûreté dans les transports, une initiative de Propulsion Québec et soutenu par le gouvernement du Québec.