Cybersécurité dans le secteur automobile : une nécessaire approche à 360°
Publié le 5 mars 2024
- Automobile & Industrie
- Cybersécurité
- Transport, voyage et logistique
La cybersécurité, un facteur de compétitivité décisif
Dans un monde plus que jamais connecté et numérisé, les risques et les menaces sont décuplés. Qu’il s’agisse de protéger les données de l’entreprise, la vie privée des clients ou la sécurité des véhicules, les constructeurs automobiles doivent prendre en compte la cybersécurité tout au long du cycle de vie du produit, à tous les niveaux de l’entreprise. Chaque année, des milliers de cyberattaques se produisent partout dans le monde. Pour l’industrie automobile, il s’agit d’une menace majeure car les risques sont décuplés avec les véhicules définis par logiciel.
- Automobile & Industrie
- Cybersécurité
- Transport, voyage et logistique
Automotive Cybersecurity Framework
Télécharger la publication (en anglais)Une cybersécurité automobile de bout-en-bout : maîtriser les 4 niveaux pivots
Quoi et pourquoi : Les menaces et les risques ont évolué très rapidement ces dernières années dans l’industrie automobile. Pour y faire face, les entreprises doivent aborder la cybersécurité de bout-en-bout, ce qui nécessite une approche et une organisation structurées, une gouvernance et une stratégie solides dès le départ.
Défis majeurs : Longtemps considérée comme un sujet de niche, la cybersécurité a été déléguée par les dirigeants aux équipes opérationnelles et aux experts. Peu d’attention lui était accordée, ce qui se traduisait par de faibles budgets et une compréhension et une atténuation partielles des risques.
Notre conviction : Le déploiement de solutions techniques ne suffit pas à définir la sécurité d’un produit ou d’une entité. Les dirigeants doivent mieux comprendre les nouveaux risques et menaces et s’engager fermement dans le cycle de vie de la sécurité de leurs produits. La cybersécurité peut devenir un facteur de différenciation concurrentielle pour les acteurs du secteur automobile si on lui accorde le bon budget et qu’elle est appréhendée au bon niveau de l’entreprise.
Quoi et pourquoi : L’intégration de la sécurité dans un produit peut s’avérer coûteuse, en particulier au cours des dernières phases de développement. C’est pourquoi les équipes de développement doivent suivre une approche « security-by-design ». Ce concept implique une analyse basée sur les risques, des exigences claires et une architecture axée sur la sécurité.
Défis majeurs : L’identification des risques et l’alignement des objectifs de sécurité sur la stratégie de l’entreprise peuvent être une source de conflits internes. En outre, de nombreuses parties prenantes sont impliquées dans les activités de sécurité, des architectes de systèmes aux développeurs, en passant par de nombreux fournisseurs.
Notre conviction : La fourniture d’un produit sécurisé dépend fortement des équipes qui peuvent prendre les mesures nécessaires dans le cadre d’une approche security-by-design. Cela nécessite que les équipes acquièrent une culture solide en matière de sécurité. La sécurité doit devenir l’un des principes fondamentaux de la conception du produit, au même niveau que la stratégie commerciale ou les exigences du marché.
Quoi et pourquoi : Outre les menaces classiques liées à la sécurité du SI, le passage de la R&D à la production est essentiel pour la sécurité des produits. C’est l’étape finale du développement qui permet de traiter les risques et de verrouiller le produit avant qu’il ne soit mis sur le marché. C’est aussi le moment où les clés cryptographiques individuelles sont intégrées dans chaque véhicule ; la production est donc un élément important de la chaîne de sécurité.
Défis majeurs : Dans la production de masse, la pression sur les délais de livraison est considérable. Avec de multiples pièces provenant de différents fournisseurs, il est complexe d’intégrer des clés ou des certificats individuels pour chaque produit et d’assurer la fermeture des interfaces ouvertes. De plus, il est difficile de garder secret l’environnement industriel : technologies anciennes, nombreux employés impliqués, etc.
Notre conviction : La phase de production connaîtra un changement majeur l’année prochaine avec l’augmentation de la partie logicielle à l’intérieur des véhicules et les clés cryptographiques associées à intégrer pour garantir la sécurité. Les capacités de production doivent être prises en compte lors de la phase de conception de la sécurité. En outre, le thème de la sécurité ne doit pas être sous-estimé lorsque l’on considère le cycle de mise à niveau des usines et des équipements de production (Industrie 4.0).
Quoi et pourquoi : Les véhicules sont de plus en plus définis par des logiciels – amplifiés par des fonctions de conduite connectées et « partiellement automatisées ». Dans ce contexte, la sécurité ne peut être maintenue que par les logiciels et les mesures de sécurité peuvent être mises à jour. Pourtant, malgré toutes les mesures prises, on peut redouter l’apparition d’incidents. Les équipementiers doivent ainsi se préparer à réagir en conséquence – car les voitures circulent déjà dans les rues.
Défis majeurs : L’ajout rapide de fonctionnalités logicielles dans les produits commercialisés augmentera les vulnérabilités ; y faire face lorsque les voitures sont sur le terrain – parfois hors ligne – est un véritable défi. Cette tendance sera amplifiée par les mises à jour « over-the-air » – un système de gestion des mises à jour logicielles (SUMS) devra être mis en place. Pour gérer cette phase de post-production, il faut des équipes de sécurité opérationnelle avec des processus associés et des capacités de gestion des incidents et des crises. Cela coûte cher et exige beaucoup de ressources et de compétences.
Notre conviction : Le monde de l’automobile s’est longtemps concentré sur les phases de développement, dans un premier temps pour mettre en œuvre la sécurité, et maintenant la sûreté. Cependant, la partie opérationnelle, après la production, reste un angle mort du concept de sécurité. Les équipementiers doivent prendre en considération l’ensemble de la chaîne de sécurité, du développement à la mise hors service, afin de garantir la sécurité et la sûreté. Ces coûts opérationnels liés à la mise à jour et à la surveillance continues peuvent même déboucher sur un modèle d’entreprise orienté « services ».
Automotive Cybersecurity Framework
Garantir la cybersécurité tout au long du cycle de vie du produit grâce à une bonne stratégie, des lignes directrices claires et des solutions établies.
Auteur
-
Dr. Thiemo Brandt
Associate Partner – Germany, Stuttgart
Wavestone
LinkedIn