Aller au contenu principal

La cybersécurité et la voiture connectée

Les véhicules connectés sont de plus en plus nombreux sur les routes, offrant aux conducteurs un confort de conduite et une dynamique sans pareil. Mais pour pouvoir fonctionner comme ils sont censés le faire, ils ont besoin d’une solide connectivité permanente. Ce qui ne va pas sans poser un certain nombre de défis, notamment pour garantir la sécurité des véhicules et de leurs occupants.

Christine Caviglioli, vice-présidente Thales Automotive, et Jean-Marie Letort, vice-président  Consulting & Opérations de cybersécurité, nous expliquent comment le Groupe relève les défis actuels et se prépare à faire face aux enjeux futurs.

On parle beaucoup des véhicules connectés. Pour beaucoup de personnes, cela signifie essentiellement accéder à leur playlist favorite via le cloud ou pouvoir utiliser les voies de télépéage sur l’autoroute. Je suppose que cela ne se limite pas à ces deux fonctions ?

Christine Caviglioli (CC) : Ce ne sont en effet que deux aspects familiers de la connectivité interne et externe du véhicule. En réalité, elle couvre un champ beaucoup plus large que le simple confort et le divertissement du conducteur, et devrait s’étendre encore avec l’augmentation du nombre de voitures électriques qui circulent sur les routes.

Les enjeux dans ce domaine – en particulier en zone urbaine – sont considérables : non seulement les véhicules sont censés amener le conducteur et ses passagers d’un point A à un point B, mais ils doivent en outre consommer moins d’énergie, s’intégrer parfaitement dans les nouvelles villes intelligentes et offrir toutes les garanties de sécurité pour les conducteurs et les piétons.

Plusieurs initiatives ont été prises pour renforcer la sécurité, en particulier le déploiement à l’échelle européenne du système eCall qui permet d’appeler automatiquement les secours en cas d’accident. Selon les estimations, ce système pourrait réduire de l’ordre de 40-50 % les délais d’intervention des secours.

Tout cela semble très positif. Mais quels sont les sujets de préoccupation ?

CC : C’est effectivement très positif. Mais l’intégration et la fiabilité requièrent plus de connectivité et cela a un prix. La voiture d’aujourd’hui est un ordinateur sur roues – les modèles de luxe comptent jusqu’à 100 millions de lignes de code – connecté à de multiples systèmes et réseaux qui lui permettent de fonctionner efficacement en toute sécurité. Toutes ces communications et connexions sont sans fil, avec un risque accru d’exposition aux cyberattaques visant les systèmes du véhicule, les infrastructures routières ou les données personnelles du conducteur. On assiste depuis quelques années à une véritable flambée de ce type d’attaques : les cyber-incidents ciblant le parc automobile ont été multipliés par sept entre 2016 et 20191.

C’est dans ce domaine que la cybersécurité joue un rôle crucial, pas seulement en termes de protection tout au long de la chaîne de valeur, mais en permettant d’exploiter pleinement le potentiel offert par la connectivité. Elle est essentielle à la fois pour les constructeurs automobiles, par exemple dans le domaine de la télématique (gestion du véhicule), et pour l’utilisateur final, qui bénéficie de nombreux services, notamment l’accès à divers contenus multimédias et à des informations en temps réel sur les conditions de circulation. Elle facilite en outre grandement l’autopartage, grâce à la communication, via le smartphone du conducteur, de la clé qui lui donne accès au véhicule.

Devant les nombreux pays et constructeurs /équipementiers concernés par les questions de cybersécurité, une réglementation semble inéluctable…

Jean-Marie Letort (JML) : On voit apparaître des directives et des règlements pour contrer ces cybermenaces et protéger les utilisateurs. Adopté en juin 2020, le règlement WP29 de la Commission économique pour l’Europe (ONU) relatif à l’homologation des véhicules, qui couvre le déploiement des systèmes de gestion de la cybersécurité, impose aux constructeurs et équipementiers automobiles d’intégrer des activités de cybersécurité tout au long de la chaîne de valeur.

Ces règlements, dont Thales a suivi l’élaboration, seront obligatoires pour les véhicules neufs dès 2022 et s’appliqueront à tous les véhicules d’ici 2024. Si le règlement WP29 est clair sur le Quoi – la mise en œuvre de la cybersécurité par les constructeurs – il l’est nettement moins sur le Comment. C’est là que Thales intervient : nous nous employons à aider nos clients à comprendre ces règlements et à concevoir et construire des solutions de cybersécurité innovantes conformes à ces règles, afin de protéger tous les équipements automobiles critiques contre les cybermenaces. Notre expérience de la sécurité sur des marchés très divers nous permet de déployer des services connectés sécurisés qui minimisent les risques et protègent l’utilisateur du véhicule. 

La cybersécurité semble désormais aussi importante que la sécurité routière proprement dite...

CC : Dans le véhicule connecté, la cybersécurité est inséparable de la sécurité du véhicule et de la protection de l’utilisateur : elle est la meilleure garantie de succès de la voiture connectée et de la confiance des utilisateurs.

Cette confiance est également primordiale pour les constructeurs automobiles et les équipementiers de premier niveau. Ils ont besoin d’être sûrs que Thales est capable de gérer les défis posés par cette montée en puissance de la connectivité et de leur permettre de protéger la voiture et ses multiples interactions avec les éléments de l’écosystème externe : les autres véhicules, les infrastructures routières ou, plus généralement, la ville intelligente.

Comment vous y prenez-vous pour relever un défi aussi complexe ?

JML : Ce qu’il faut, c’est une solide architecture de cybersécurité qui couvre la totalité de l’écosystème. L’utilisateur doit avoir l’assurance que les informations communiquées par la voiture et par les réseaux extérieurs sont dignes de confiance, et qu’il est protégé tout au long du chemin, depuis le moment où il accède au véhicule grâce un code numérique sécurisé, jusqu’à celui où le système de navigation du véhicule l’amène sain et sauf à sa destination finale. 

Dans ce domaine, Thales agit depuis 2013 aux côtés des constructeurs automobiles et des équipementiers de premier niveau en mettant à profit son expertise en cybersécurité, depuis l’usine jusqu’à la mise en circulation. Dans le contexte de la conformité aux règlements que je viens d’évoquer, nous prenons en charge l’analyse du risque, la conception de l’architecture de cybersécurité et – par l’intermédiaire de notre Trusted Key Manager – la gestion des identifiants tout au long du cycle de vie du véhicule.

Nous disposons en outre – et c’est l’une des composantes majeures de l’architecture de cybersécurité de bout-en-bout de Thales – de plusieurs Centres opérationnels de sécurité (SOC) dans le monde, qui aident les constructeurs automobiles à surveiller la situation internationale et à protéger les véhicules contre les cyberattaques émergentes. 

S’agit-il de solutions qui s’installent sur des véhicules finis ?

CC : Pour les véhicules déjà en circulation, c’est le cas. Mais les solutions de cybersécurité sont nettement plus efficaces si on les intègre dans les véhicules dès la construction. C’est la raison pour laquelle nous avons travaillé avec les grands constructeurs et équipementiers sur une approche de « sécurité par conception » de l’architecture, qui prend en compte les différentes fonctions interconnectées et les réseaux avec lesquels la voiture entre en relation. Plus nous anticipons les problèmes potentiels loin en amont – et la phase de conception est l’ultime phase amont  –, plus la protection du véhicule sera efficace. 

Vous avez évoqué les défis que vous rencontrez actuellement. Qu’en sera-t-il dans le futur ?

JML : C’est une bonne question. L’industrie automobile évolue à un rythme extrêmement rapide, ce qui fait de la gestion du cycle de vie un facteur clé. Lors du développement de nos solutions et de notre architecture de cybersécurité, nous concevons des composants intégrés évolutifs, capables de s’adapter aux nouveaux environnements futurs pour continuer à assurer la cybersécurité des véhicules de bout-en-bout.

La volonté de Thales de mettre son expertise à profit dans ces environnements trouve une illustration dans notre participation à l’initiative Mobena et à l’écosystème ouvert « Software République » pour une mobilité intelligente et durable. Le but est de créer un service innovant et sécurisé, basé sur le système Plug & Charge qui vise à simplifier la recharge des voitures électriques.

L’acquisition de Gemalto en 2019 nous a permis d’assurer l’adaptabilité nécessaire dans ces environnements dynamiques et d’élaborer une gamme complète de solutions de cybersécurité qui couvrent la protection du véhicule et des échanges de données, la gestion du cycle de vie des fonctions de sécurité de la voiture, avec service de mises à jour à long terme, la détection et la réponse aux nouvelles menaces et attaques contre la cybersécurité.

En un mot, une expérience de la conduite automobile qui inspire confiance.
 

1 Source : Upstream Security 2020 Global Automotive Cybersecurity Report