Les voitures intelligentes : la nouvelle cible des cybercriminels

L’industrie automobile évolue rapidement en raison de l’introduction de nouvelles technologies dans les véhicules modernes. Nos voitures sont désormais connectées à des réseaux complexes abritant de nombreux capteurs et composants intelligents qui sont à leur tour connectés au web. Ce qui était un moyen de se déplacer d’un point A à un point B, devient un objet connecté sur 4 roues. Or, qui dit objet connecté dit aussi des risques considérables en matière de cybersécurité. Alors que des pirates peuvent perturber le fonctionnement des feux de circulation ou des usines de traitement des eaux, les voitures ne sont pas à l’abri. Explications. 

Tout changement radical en matière de technologie crée de nouveaux défis et risques, et les voitures dites « intelligentes » ne font pas exception. Selon l’étude « Driving Security : Cyber Assurance for Next-Generation Vehicle », il existe des points clés à prendre en considération lors de la fabrication de ces voitures :

• Concevoir des voitures sécurisées :  les exigences en matière de sécurité font partie de la première étape du processus de conception. Les concepteurs doivent se concentrer sur la sécurité, en mettant en œuvre des protections contre les menaces connues pour chaque composant, sous-système et réseau auquel le véhicule connecté sera exposé une fois qu’il quittera la chaîne de production.
• Créer des réseaux sûrs : les communications internes et externes doivent être cryptées. Les constructeurs automobiles doivent également concevoir des systèmes de surveillance capables de détecter les activités suspectes qui pourraient être potentiellement associées à des schémas d’attaque connus.
• Mise en place des meilleurs processus : les constructeurs doivent sécuriser leurs voitures à tous les niveaux. Ce qui implique un chiffrement des données au repos et en mouvement, la mise en œuvre de contrôles de sécurité appropriés pour le cloud, des mécanismes de contrôle d’accès renforcés, une sécurisation éprouvée du système d’exploitation et des tests de pénétration des applications.

Au cours de la dernière décennie, les constructeurs automobiles ont équipé leurs véhicules de capacités numériques. Des centaines de commandes informatiques embarquées ont ainsi remplacé les systèmes mécaniques pour contrôler les caractéristiques de fonctionnement d’une voiture et, surtout, ses systèmes essentiels à la sécurité, tels que la transmission, la propulsion, la direction et le freinage. Bon nombre de ces systèmes de commande embarqués communiquent dans les deux sens par le biais de systèmes cellulaires ou du Wi-Fi. Or, les fabricants qui n’ont pas toujours pris en compte de manière proactive les questions de cybersécurité et ont commencé à supporter les coûts des rappels et des correctifs logiciels :

• Jeep a dû rappeler 1,4 million de véhicules après que des chercheurs, à une distance de 15 km, ont exploité sans fil une vulnérabilité dans les ordinateurs de tableau de bord. Alors que la Jeep Cherokee était en mouvement, ils ont pris le contrôle des fonctions du tableau de bord, de la direction, de la transmission et des freins.
• Des correctifs logiciels ont été appliqués à 2,2 millions de véhicules après qu’une association automobile allemande a inversé le logiciel télématique de BMW, imité les serveurs et piraté le système de déverrouillage des voitures. 
• Des correctifs logiciels ont été distribués à toutes les Tesla Model S en circulation après que des chercheurs ont démontré qu’ils pouvaient pirater à distance le système d’information de la voiture pour démarrer ou couper le moteur.

Il ne s’agit ici que de quelques exemples alors que l’on parle de voitures « connectées » ou « intelligentes ». Si demain, les constructeurs parviennent à créer des voitures véritablement autonomes capables de circuler librement et sans surveillance sur toutes les routes, les clients doivent être certains que tous les systèmes sont à l’abri d’un piratage ou d’une prise de contrôle à distance.

Un rapport de GMD Research prédit que le marché mondial de la cybersécurité automobile augmentera de 21,7 % par an pour atteindre 10,92 milliards de dollars en 2030. Il existe cinq éléments clés à prendre en considération pour faire de la cybersécurité et de la cybergouvernance une priorité à l’échelle de toutes les entreprises automobiles : 

• L’adoption d’une culture de la cybersécurité où tous les acteurs de la chaîne d’approvisionnement doivent travailler ensemble et être tenus responsables pour leur travail, car il suffit d’un seul lien vulnérable pour exposer toute la chaîne de valeur.
• La désignation d’un directeur de la cybersécurité : c’est un poste clé qui a un haut niveau de connaissances et d’expertise en cybersécurité à l’échelle de l’entreprise et qui doit coordonner toutes les initiatives avec son équipe.
• L’identification des actifs clés : afin de savoir ce qui doit être protégé et avec quelle technique.
• La mise en place d’une cybergouvernance qui doit couvrit l’ensemble du processus, de la conception et de l’ingénierie à la production et à la distribution, en passant par le service après-vente et au-delà. 
• Ne jamais attendre un incident et être proactif pour tester en continu la qualité et la résilience des systèmes (stress test, bug bounties, white hat, etc. ) 

Un MBA Management de la Cybersécurité permet l’apprentissage théorique et pratique de la maîtrise des données numériques. Il donne les clés d’un management opérationnel pour gérer et prévoir l’évolution des stratégies face aux risques techniques, aux enjeux concurrentiels et aux évolutions législatives et juridiques. Parce que l’industrie automobile n’aura jamais assez de professionnels de la cybersécurité, c’est une occasion idéale pour développer ses compétences ou se reconvertir dans un secteur en pleine évolution.