Si elles apportent de nouvelles fonctionnalités et garantissent une conduite plus sûre, plus écologique et plus agréable, les transformations numériques dans l’industrie automobile apportent également leurs lots de nouvelles menaces en cybersécurité. Constructeurs et fabricants d’équipements doivent maintenant protéger leurs véhicules, leur chaîne de valeur, mais aussi leurs clients, contre les hackers.
Voiture connectée : lE nouveau défi de la cybersécurité
Le nombre croissant d’innovations numériques, de la connexion pour de l’infodivertissement aux mises à jour de softwares OTA (Over-The-Air, méthodes de distribution de nouveaux softwares, de paramètres de configuration et de mises à jour de carte SIM à distance), transforme la voiture en centre névralgique d’informations et de données et l’expose aux hackers.
La cybersécurité : un enjeu majeur
L’industrie automobile vit une véritable transformation aux multiples ramifications : voitures autonomes, voitures électriques, connectivité dans le véhicule, nouvelles formes de mobilité, etc. La révolution numérique est le fil rouge qui parcourt toutes ces innovations. Dans ce contexte, la cybersécurité est devenue une priorité pour les constructeurs, soucieux de protéger leurs clients et de leur proposer des services digitaux sécurisés (nouvelles applications, mises à jour, offres en ligne, fonctionnalités pouvant être achetées ou débloquées en ligne, communication et transfert d’informations entre le véhicule électrique et la borne de recharge, etc.).
Si les voitures d’aujourd’hui sont composées de plus d’une centaine d’unités de contrôle électroniques, les experts pensent que, d’ici à 2030, ce sont plus de 300 millions de lignes de code qui composeront le logiciel embarqué.
Or cette architecture sera vulnérable aux hackers, dans la voiture elle-même, mais aussi dans la chaîne de valeur, c’est-à-dire dans l’ensemble des étapes du domaine d’activité stratégique (capteurs pour la conduite autonome, contrôle du véhicule, reconnaissance vocale, espionnage, manipulation des données du véhicule, piratage du WiFi et du système d’infodivertissement, arrêt du véhicule, accès au système logiciel, piratage des données personnelles, etc.). Pirater les systèmes informatiques d’un véhicule peut se faire à moindre coût. À l’inverse, créer et installer des systèmes de défense contre les cyberattaques est très onéreux.
Standardisation et collaboration
Si les constructeurs automobiles sont rompus à la standardisation, la cybersécurité est justement un problème qui échappe à la standardisation. Mais les choses sont en train de changer. Des standards dans le software et la cybersécurité pour l’ensemble de la chaîne de valeur sont en cours d’élaboration. La cybersécurité concerne aujourd’hui tous les véhicules modernes. Cela tend d’ailleurs à devenir une obligation. En avril 2018, la Californie a adopté une réglementation régissant les véhicules autonomes, notamment en ce qui concerne la cybersécurité.
Le Forum mondial pour l’harmonisation des réglementations sur les véhicules, groupe de travail de la Commission économique des Nations unies pour l’Europe, doit finaliser sa réglementation pour la cybersécurité et les mises à jour des systèmes logiciels en 2020. L’objectif est de faire de la cybersécurité une condition nécessaire pour la vente des futurs véhicules dans une soixantaine de pays qui avaient signé en 1958 les Règlements techniques harmonisés de l’ONU applicables aux véhicules à roues. Cela représente un parc de 24 millions de véhicules.
Bien qu’il soit récent, le phénomène de la cybersécurité dans la voiture elle-même est un problème en cours de traitement. Les fabricants automobiles la considèrent comme un élément central des modèles d’affaires. En fait, la cybersécurité ne relève plus exclusivement de leur département Technologies de l’information, mais bien de l’ensemble de leur chaîne de valeur. L’étroite collaboration avec les fabricants d’équipements est également une condition sine qua non pour intégrer les solutions de sécurité.
Tout cela implique l’émergence d’une véritable culture de la cybersécurité centrée sur les systèmes logiciels. Les fabricants ont déjà développé une culture de la sécurité, mais il existe un vide dans le cyber. Au-delà des limites strictes de l’industrie automobile, les fameux Digital Natives ou Enfants du numérique ont montré leurs capacités à bâtir une solide culture de la sécurité dans les départements ingénierie. Les sociétés spécialisées dans le numérique ou la haute technologie (fournisseurs de Smartphones par exemple) ont compris depuis longtemps l’importance de sécuriser les lignes de code et l’ensemble des architectures. Le rapprochement et la collaboration entre, d’une part, ces sociétés et leurs talents et, d’autre part, les constructeurs automobiles sont une condition essentielle du succès, car ils permettront à toute l’industrie automobile de développer des standards de cybersécurité en commun tout en maintenant sous contrôle les coûts liés au développement et à la maintenance.
Du problème à l’opportunité
Les hackers l’ont bien compris : les voitures, de plus en plus connectées, représentent de nouvelles opportunités. Pénétrer des systèmes, les parasiter, ou encore voler les véhicules et les données personnelles de leurs propriétaires sont des possibilités sur lesquelles les cybercriminels se concentrent aujourd’hui. Le consommateur, de son côté, considère que la cybersécurité de son nouveau véhicule est garantie à 100 %. C’est un véritable défi pour les constructeurs automobiles et leurs fournisseurs, mais aussi pour les autorités (régulateurs, législateurs, etc.) qui devront peser de tout leur poids auprès des constructeurs et des fournisseurs pour que ceux-ci assurent une protection maximale contre les attaques.
La sécurité des services de mobilité moderne dépendra de la manière dont l’industrie prendra en charge les risques cyber dans les voitures connectées et autour d’elles. Avec le développement rapide et l’interconnexion de l’Internet des objets, des capteurs sur les axes routiers et dans les villes intelligentes (smart cities), cet enjeu n’en est que plus important.