Les véhicules collectant, accédant et stockant désormais un grand volume de données, la cybersécurité est devenue une préoccupation majeure du secteur automobile. D’ailleurs, des travaux sont en cours depuis plus de dix ans pour répondre aux questions de sécurité spécifiques posées par les grands perturbateurs de l’industrie automobile : l’automatisation, la connectivité et l’e-mobilité.
Dès 2011, les constructeurs automobiles ont collaboré avec la Commission économique des Nations unies pour l’Europe (CEE-ONU) pour élaborer un cadre réglementaire pour la cybersécurité automobile. Le risque cybersécuritaire a d’ailleurs attiré l’attention du monde entier en 2015, lorsque des pirates informatiques de type “white hat” ont pris le contrôle d’un véhicule via internet, entraînant le rappel de 1,4 million de véhicules. L’industrie a alors redoublé d’efforts pour s’attaquer au problème.
Selon la CEE-ONU, les voitures contiennent aujourd’hui jusqu’à 150 unités de contrôle électronique et près de 100 millions de lignes de code, soit quatre fois plus qu’un avion de chasse. Ce chiffre pourrait atteindre 300 millions d’ici à 2030.
La nouvelle frontière : UN R155 et UN R156
Pour faire face à la menace croissante des cyberattaques, la CEE-ONU a donc publié les premiers règlements en janvier 2021. Les règlements UN R155 et UN 156, qui visent à renforcer la sécurité des modèles de voitures actuels et futurs, ont été appliqués à partir de juillet 2022 pour les nouvelles homologations. À partir de juillet 2024, elles deviendront obligatoires pour tous les nouveaux véhicules produits, et ce dans 54 pays.
- La norme UN R155 prévoit que les véhicules doivent disposer d’un système de gestion de la cybersécurité (SGC ou CSMS pour Cybersecurity Management System), c’est-à-dire appliquer des pratiques et des mesures de cybersécurité tout au long du processus de développement et de cycle de vie des véhicules. Bien qu’aucun système de gestion de la cybersécurité ne soit actuellement obligatoire pour les fournisseurs, ceux-ci ont tendance à mettre en place les processus, les évaluations et les concepts de sécurité adéquats (par exemple ISO 21434) pour se conformer aux réglementations.
- La norme UN R156 traite du système de gestion des mises à jour des logiciels (SUMS pour Software Update Management System). Elle fournit toutes les exigences nécessaires à la réalisation d’une mise à jour logicielle sécurisée au cours du cycle de vie d’un système.
Les acteurs de la nouvelle frontière
Trois défis en matière de cybersécurité pour l'industrie automobile
- Une taille unique qui ne convient pas à tous
La cybersécurité est relativement récente dans le secteur automobile – une dizaine d’années – il s’agit donc encore d’un travail en cours. Le principal défi actuel consiste à standardiser les concepts de sécurité, afin de s’assurer que tous les fabricants et fournisseurs utilisent les mêmes. La fonction de diagnostic a été couronnée de succès ; elle a été jugée prioritaire parce qu’il s’agit d’une fonction de sécurité cruciale. Qu’un fabricant ou un fournisseur veuille mettre en place une interface de diagnostic, il devra toujours se référer à la norme UDS (Unified Diagnostic Service, ou Service de Diagnostique Unifié). Dans ce contexte, le terme « unifié » siubliéegnifie qu’il s’agit d’une norme internationale et non d’une norme spécifique à une entreprise. L’objectif principal aujourd’hui est de disposer d’une norme pour toutes les caractéristiques relatives à la sécurité, ce qui est évidemment très complexe à réaliser, car tous les fabricants devront se mettre d’accord sur ces caractéristiques. - Un cycle de mise à jour perpétuel
La longévité du cycle de vie des produits automobiles, face à la rapidité de l’évolution des cybermenaces, constitue un défi supplémentaire. Les cycles de développement peuvent aller jusqu’à 5 ans et l’âge moyen d’une voiture à la casse est de 12 ans. Il faut donc considérer un cycle de vie complet de plus de 15 ans. À cela s’ajoute l’aspect intégré des systèmes automobiles. Les constructeurs automobiles disposent de ressources restreintes et doivent limiter le coût d’un nouveau véhicule. Ils ne peuvent alors pas toujours intégrer la meilleure sécurité dans les systèmes. Lorsqu’un algorithme ou un hardware est sélectionné, il est basé sur des recommandations internationales publiées par le NIST (National Institute of Standards and Technology ou Institut national des normes et de la technologie) ou le FIPS (Federal Information Processing Standard) et doit contenir des mesures de cybersécurité inviolables pendant au moins 10 ans. Si une faille de sécurité est découverte, les algorithmes sont dépassés et devront être gérés par des mises à jour logicielles. - Une période de changements sismiques
L’intensification de la connectivité s’accompagne d’une augmentation des menaces. Dans le passé, les piratages informatiques entraînaient principalement des désagréments pour les utilisateurs de systèmes d’info-divertissement. Aujourd’hui, les cyberattaques peuvent avoir un impact sur la sécurité des conducteurs, des passagers et des autres usagers de la route. Cela signifie que la cyberprotection est désormais aussi fondamentale que la sécurité fonctionnelle. En outre, les nouveaux modèles de transport à la demande ou MaaS (Mobility as a Service) poseront de nouveaux problèmes à résoudre, comme la sécurité des paiements, de la facturation et des données personnelles.
Poursuivre l'innovation avec Expleo
Dans la bataille entre l’innovation et la cybersécurité, l’innovation doit toujours sortir victorieuse. Les clients de l’automobile sont friands de fonctionnalités innovantes et sont prêts à partager leurs données personnelles pour en profiter. Etant donné que la demande priorise l’innovation, les équipementiers et leurs fournisseurs doivent poursuivre la dynamique d’automatisation et de connectivité, afin de ne pas se laisser distancé. Mais favoriser l’innovation ne doit pas signifier d’accepter le risque de cyberincidents. La priorité doit être de combiner innovation, cybersécurité et sécurité fonctionnelle de manière intégrer afin de façonner l’avenir de l’industrie automobile.
Nous puisons nos compétences et notre expérience dans les domaines de l’ingénierie et de la technologie – de la banque, des services financiers et de l’assurance à l’ingénierie automobile – ce qui signifie que nous offrons à nos clients une combinaison unique de réflexion sur la conception qui permet d’innover tout en garantissant la sûreté et la sécurité. Nous aidons également nos clients à naviguer dans un paysage réglementaire en constante évolution.