L’aspect cybersécurité des véhicules toujours plus connectés et sophistiqués dans le prisme du projet de loi cyber-résilience de la commission Européenne
Les évolutions technologiques ont apporté des contributions significatives au monde automobile notamment en termes de sécurité mais aussi de fonctionnalités telles que le contrôle de la stabilité, l'injection électronique de carburant, la navigation et  la prévention du vol. Elles ont également amélioré la connectivité, en ajoutant de nombreuses fonctions communes aux smartphones : les données cellulaires et les fonctions vocales, les navigateurs Web, etc…. Mais le partage d'informations et la communication à bord des véhicules ont rendu les voitures vulnérables aux cyberattaques. 
Au fil des années, un nombre croissant d’experts en sécurité se sont penchés sur les piratages des voitures, en démontrant que les hackers pouvaient compromettre plus ou moins facilement les différents composants des véhicules. En 2015, le piratage d’une voiture a même été à la portée d’un adolescent de 14 ans. Dans la même période, le duo de spécialistes de la sécurité Charlie Miller et Chris Valasek avait exploité des failles de sécurité dans le système automobile Uconnect avec connectivité cellulaire pour prendre le contrôle d'une Jeep Cherokee 2014. Ces deux piratages avaient choqué l'industrie automobile et provoqué un débat public sur les cyber risques des véhicules connectés.
Bon nombre d’experts en sécurité affirmaient que, dans certains cas, les constructeurs automobiles n'avaient jusqu’à présent pas mis en place des protections adéquates contre les cyberattaques. 
Aujourd’hui, un véhicule contient une grande quantité d’électronique et d’informatique : on retrouve de nombreux capteurs, des calculateurs et des millions de lignes de codes pour les véhicules de dernière génération. Une véritable  aubaine pour les hackers.
C’est d’ailleurs pour cela que les autorités ont décidé de prendre en main le sujet de la sécurité des objets connectés et les voitures qui sont devenues des plateformes technologiques sont bien entendu concernées.
En septembre dernier, la Commission Européenne a présenté la loi sur la cyber-résilience qui vise à devenir une norme mondiale en introduisant des exigences obligatoires en matière de cybersécurité pour chaque produit comportant des éléments numériques et à rendre les consommateurs plus informés de l'aspect cybersécurité de ce qu'ils achètent.
Jusqu’à présent la plupart des produits matériels et logiciels n’étaient soumis à aucune obligation de cybersécurité. En introduisant la cybersécurité dès la conception (cybersecurity by design), la loi sur la cyber-résilience contribuera à protéger ce type de produits et surtout les consommateurs.
Les exigences en matière de sécurité font partie de la première étape du processus de conception d’un véhicule. Aujourd’hui lorsque l’on parle de sécurité on parle aussi de cybersécurité et les autorités l'ont bien compris. Les constructeurs doivent tout mettre en œuvre pour protéger les véhicules contre les menaces connues pour chaque composant, sous-système et réseau auquel le véhicule connecté sera exposé une fois qu'il quittera la chaîne de production.
De nos jours, pouvoir fermer sa voiture avec une clé ne suffit plus. Il faut créer des réseaux sûrs, des communications internes et externes cryptées, des systèmes de surveillance capables de détecter les activités suspectes, mais aussi sécuriser les contrôles d’accès et le système d’exploitation, mettre en œuvre des contrôles des sécurités appropriés pour le cloud,  tests de pénétration (pentest), mettre en place des programmes de Bug Bounty. Autant de mesures qui complexifient encore plus la création des véhicules. 
Si ce projet de loi cyber-resilience a été mis en place et que les véhicules sont concernés, c’est que les autorités estiment que les fabricants ne donnent pas la priorité aux fonctions de cybersécurité. Quand on adopte un appareil IoT (voiture comprise) c’est pour son côté pratique et les fabricants l’ont bien compris. Sécurité ou commodité : un fabricant choisira l'avantage que le client peut voir immédiatement. Dans le cas du domaine automobile, les constructeurs auront tendance à éviter d'accroître la complexité des véhicules en ajoutant des systèmes de défense supplémentaires.
Il ne faut pas oublier que les composants disposent d'un espace, d'une mémoire et/ou d'une puissance de calcul limités pour les fonctions de sécurité, de sorte que les fabricants réduisent les coûts en laissant une sécurité faible ou inexistante. Le cryptage et le décryptage sont des processus exigeants.
Il sera donc intéressant de voir lorsque la loi cyber résilience sera validée et effective de quelle manière les constructeurs réussiront à faire en sorte qu’un enfant de 14 ans ne puisse plus potentiellement hacker un véhicule ! 

La loi cyber-résilience incitera-t-elle les constructeurs automobiles à faire plus d’efforts en matière de cybersécurité. Credit @NordVPN Les évolutions technologiques ont apporté des contributions significatives au monde automobile notamment en…
Je gère mes abonnements push
Les informations recueillies sont destinées à CCM Benchmark Group pour vous assurer l’envoi de votre newsletter.
Elles seront également utilisées sous réserve des options souscrites, à des fins de ciblage publicitaire.
Vous bénéficiez d’un droit d’accès et de rectification de vos données personnelles, ainsi que celui d’en demander l’effacement dans les limites prévues par la loi.
Vous pouvez également à tout moment revoir vos options en matière de ciblage. En savoir plus sur notre politique de confidentialité.

source

Catégorisé:

Étiqueté dans :