Le véhicule connecté, grâce à la remontée et l’analyse des données, entend fluidifier le transport au sein de villes trop encombrées, tout en jouant un rôle clé en matière de sécurisation, d’écoconduite, de réduction de consommation de carburant et de l’empreinte carbone. La Commission européenne impose depuis 2018 aux constructeurs automobiles d’équiper tous leurs nouveaux véhicules d’un système d’appel automatique en cas d’urgence baptisé eCall (emergency call) ou eCall112. Ce système a pour vocation de réduire le délai d’intervention des services d’urgence de 50 % en zone rurale et jusqu’à 60 % en zone urbaine. Grâce à ces outils connectés, plus de vies pourraient ainsi être sauvées. L’ensemble du parc automobile devrait en être équipé à horizon 2035.
Des craintes légitimes
Ce monde du transport interconnecté se doit aussi de relever les nouveaux défis d’une numérisation galopante et s’attaquer à la menace cyber. Grâce à ces interfaces numérisées et aux multiples systèmes d’information et capteurs, détourner un véhicule, un avion, paralyser un aéroport, faire dérailler un train ou créer un accident de la route en coupant la diffusion des informations de signalisation remontées sont autant de probabilités avérées, car, pour certaines, déjà vérifiées.
Et l’enjeu est de taille. En France, la SNCF transporte, chaque jour, 9 millions de personnes à bord de 17 000 trains, soit en Ile-de-France, l’équivalent d’un A380 qui décolle toutes les sept secondes. Dans le monde, 11 milliards de tonnes de marchandises transitent chaque année par la mer (source : McKinsey 2022).
Pour le marché de l’automobile, Mc Kinsley souligne que les voitures contiennent aujourd’hui plus de 150 millions de lignes de code ! Un chiffre qui devrait tripler à horizon 2030. Un avion de ligne contient pour sa part quelque 25 millions de lignes de code, et le système d’exploitation d’un PC standard environ 45 millions.
Aussi, sans surprise, Gartner 2023 annonce un marché mondial de la cybersécurité automobile en très forte croissance et qui devrait fleurter avec les 8 milliards de dollars d’ici à 2026.
Des normes internationales puissantes
Fort d’une prise de conscience accélérée, le marché automobile régule son écosystème international au travers d’analyses dédiées. Les normes éclosent avec une volonté forte de réguler par la contrainte. L’industrie automobile mondiale doit protéger son infrastructure contre les cybercriminels, dont le but est de voler des données et de prendre le contrôle des systèmes automatisés à des fins malveillantes.
Ainsi, aux Etats-Unis, dès 2016, le Comité pour l’ingénierie des systèmes de cybersécurité des véhicules publiait le Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, un manuel de cybersécurité pour les systèmes de véhicule connectés, qui définit un cadre pour l’ensemble des processus du cycle de vie. Ainsi, chaque organisation peut intégrer la cybersécurité dans les systèmes des véhicules connectés, depuis la phase de conception jusqu’à la production, l’utilisation, la maintenance et le démantèlement.
Depuis 2022, un règlement de la UNECE (Commission économique des Nations Unies pour l’Europe) établissant des règles et des obligations pour les constructeurs automobiles requiert que les constructeurs automobiles démontrent qu’ils ont bien mis en place des processus pour évaluer les risques cyber pesant sur leurs véhicules et se conformer à toutes les exigences en matière de cybersécurité avant de pouvoir commercialiser ces derniers.
Pour aller plus loin, la norme internationale ISO/SAE 21434 permet aux organisations de définir des politiques et des processus en matière de cybersécurité, de gérer les risques relatifs à la cybersécurité et de promouvoir une culture de la cybersécurité.
Pour atteindre le niveau d’assurance de qualité requis avant la mise en production des futurs véhicules, les constructeurs doivent se doter d’outils d’évaluation, d’analyse et de management des risques simplifiés, intégrés, dynamiques et opérant en continu.
Cette norme décrit ainsi un cadre qui permet d’améliorer la collaboration en matière de cybersécurité dans le secteur automobile et conduira ainsi au développement de technologies et de solutions répondant mieux aux problèmes de cybersécurité en constante évolution. Le partage d’informations entre constructeurs est en effet une nécessité. Si cette coopération semble déjà bien engagée aux Etats-Unis où les acteurs de l’industrie automobile partagent et analysent diverses informations sur la vulnérabilité des véhicules, et contribuent à l’amélioration des technologies de cybersécurité, l’approche doit s’étendre à l’échelle mondiale.
Des perspectives prometteuses
L’Organisation des Nations Unies considère déjà cette norme comme un document de référence pour la mise en œuvre des systèmes de gestion de la cybersécurité (CSMS), une exigence du règlement récemment adopté par l’organisation, en matière de cybersécurité dans les véhicules.
De nouveaux travaux ont aussi commencé portant sur une spécification publiquement disponible, ISO/PAS 5112, détaillant les lignes directrices pour l’audit des organisations en matière d’ingénierie de la cybersécurité.
Le but ultime vise la généralisation de la norme dans les pratiques d’ingénierie courantes du secteur, ainsi qu’une meilleure connaissance des enjeux. Cela passera notamment par l’intégration de la norme dans le programme de formation des futurs ingénieurs.