Les anciens modèles de voitures mécaniques cèdent rapidement la place aux véhicules définis par logiciel (SDV), qui permettent aux usagers de rester connectés au monde numérique, tout en offrant un voyage plus sûr grâce à des fonctions de conduite automatisée.
Sécuriser les véhicules définis par logiciel
L'augmentation de la connectivité s'accompagne d'une exposition accrue aux risques de cybersécurité, comme en témoigne l'internet des objets. Il n'y a pas si longtemps, les avantages de la connectivité mobile semblaient être une véritable aubaine : un simple clic suffit pour réaliser des opérations bancaires ou acheter des produits sur mesure. Jusqu'à ce que la cybercriminalité devienne un problème à part entière. Selon les estimations, elle devrait coûter plus de 20 000 milliards de dollars à l'économie mondiale d'ici à 2026, soit 1,5 fois plus qu'en 2022 (source : Statista).
Ces sommes conséquentes incitent l'industrie automobile à redoubler d'efforts pour anticiper et sécuriser la prochaine grande source de données sur roues : le véhicule défini par logiciel. Cependant, leur sécurisation est extrêmement difficile à mettre en place, car l'augmentation de la connectivité implique un nombre accru d'interfaces d'attaques potentielles. Non seulement les outils de cyber-piratage ne cessent de se perfectionner, mais les attaquants ne se contentent plus de cibler les véhicules individuels. Ils s’en prennent aux flottes, aux applications de mobilité, mais aussi aux services.
Évolution des réglementations et des normes
Jusqu’à récemment, il n'existait pas de normes mondiales en matière de cybersécurité automobile. Les exigences en matière de tests de cybersécurité étaient principalement définies par les meilleures pratiques des principaux constructeurs automobiles et de leur chaîne d'approvisionnement de niveau 1. En 2020, le Forum mondial de l'harmonisation des règlements concernant les véhicules des Nations Unies, connu sous le nom de WP.29, a introduit un cadre réglementaire pour la cybersécurité automobile, à l’attention des constructeurs.
Par exemple, le règlement 155 de l'ONU (UN R155) impose aux constructeurs automobiles et à leurs fournisseurs des audits rigoureux de leurs systèmes de gestion de la cybersécurité. Il exige également que les constructeurs automobiles obtiennent une « homologation de type de véhicule », ce qui implique que les auditeurs effectuent des tests sur des produits automobiles partageant la même architecture électrique. Le 1er septembre 2021, la Society of Automotive Engineers (SAE) et l'Organisation internationale de normalisation (ISO) ont publié conjointement la norme ISO/SAE 21434.
Mettre la sécurité à l'épreuve
Les essais sont un élément essentiel du système de gestion de la cybersécurité automobile (SGCA) UN R155. Ils doivent tester en profondeur différents systèmes, , depuis le matériel embarqué, comme les réseaux physiques dans les véhicules, les unités de contrôle électronique et les ports de charge pour les véhicules électriques, en passant par toutes les couches de la pile d'interconnexion des systèmes ouverts (OSI). Si l'on ajoute à cela les différents scénarios de menace et les itérations de conception, la nombre de tests requis est considérable.
Pour gérer les listes complexes de tests et assurer le suivi des pistes d'audit, les constructeurs automobiles et leurs fournisseurs se tournent vers des solutions de test de cybersécurité automobile, clés en main. Ces solutions comprennent des systèmes électroniques et des logiciels conçus pour simuler un véhicule victime de piratage informatique et un ou plusieurs attaquants. Elles intègrent généralement les éléments clés suivants :
-
Emulateurs et analyseurs de signaux sans fil et filaires pour simuler et contrôler les systèmes de communication du véhicule
-
des serveurs de reconnaissance et d'exploitation des attaques
-
Bibliothèque d'applications et de renseignements sur les menaces à partir de laquelle différentes attaques peuvent être sélectionnées et programmées
-
Plate-forme d'automatisation et de suivi pour gérer les données et les résultats des tests en vue de l'établissement de rapports et de l'audit.
La détection précoce de ces menaces permet d'économiser de l'argent et de préserver la réputation de l'entreprise
En tirant des leçons des expériences passées avec l'internet des objets et, plus récemment, du smartphone, où des millions de dollars sont perdus chaque jour à cause d'escroqueries et de cyberattaques, il est crucial et urgent de sécuriser le véhicule intelligent connecté du futur. Ces technologies ont changé nos modes de vie, et pour la plupart d'entre nous, il est impensable de revenir à un monde déconnecté, malgré les dangers des cyber-exploitations.
A l’avenir, les véhicules définis par logiciel devraient vraisemblablement enrichir notre mode de vie connecté. Grâce aux enseignements tirés de la sécurisation de notre monde numérique, nous pouvons espérer que les constructeurs automobiles, et leurs principaux fournisseurs, pourront devancer les cybercriminels qui souhaiteraient exploiter les propriétaires de véhicules, les gestionnaires de flottes et les systèmes de transport associés, ou encore les équipements d'approvisionnement des véhicules électriques. Des tests rigoureux tout au long du cycle de vie du véhicule aideront à réduire les risques de cyberattaques automobiles et à préserver la réputation de l’ensemble des acteurs du secteur.