L’industrie automobile prend très au sérieux la question de la cybersécurité. Depuis plus de dix ans, ses acteurs cherchent des réponses aux enjeux uniques que posent les 4 évolutions majeures du secteur : automatisation, connectivité, mobilité partagée et carburants alternatifs. En 2015, les risques sécurité ont  été exposés au grand jour lorsque des hackers ont réussi à prendre le contrôle à distance par internet d’un véhicule. 1,4 millions de véhicules ont alors été rappelés et le secteur a redoublé d’efforts pour lutter contre ce fléau.

Dès 2011, les fabricants ont commencé à travailler avec l’UNECE afin de développer un cadre réglementaire dédié à la cybersécurité automobile. En 2021, l’autorité a annoncé que les nouvelles normes seraient applicables à compter de juillet 2022 pour tous les nouveaux modèles de véhicules, et en juillet 2024 pour l’ensemble des voitures neuves dans 54 pays.

Malgré ces évolutions rapides, de nombreux observateurs estiment qu’il est n’est que trop urgent d’instaurer davantage de régulations pour pallier le risque bien réel d’exploitation des failles par les hackers. Selon l’UNECE, les voitures contiennent aujourd’hui jusqu’à 150 unités de contrôle électronique et près de 100 millions de lignes de code… soit 4 fois plus qu’un avion de chasse. Ce chiffre pourrait atteindre les 300 millions d’ici 2030. Les acteurs de l’industrie automobile sont donc parfaitement conscients que, loin d’être un détail, la cybersécurité est l’un des défis majeurs auxquels ils seront confrontés dans les années à venir.

Un nouvel horizon

Aujourd’hui, pour les voitures en circulation il n’y a pas de règles contraignante liée à la cybersécurité. Mais les acteurs travaillent déjà à définir la meilleure réglementation possible, en collaborant avec l’UNECE pour développer la Réglementation 155. Pour l’heure, les équipementiers se réfèrent à la norme ISO/ SAE21434 ou SAE J3061. Cette situation a donné lieu à une forme d’autorégulation du secteur, qui attend impatiemment l’arrivée d‘une réglementation collective.

Les acteurs en présence

En attendant la mise en place de la Réglementation 155, il ne fait aucun doute que l’Organisation internationale de normalisation (ISO) continuera à actualiser ses normes pour qu’elles restent pertinentes. Cela signifie toutefois que les équipementiers – ainsi que leurs fournisseurs de niveau 1 et 2 – auront besoin d’être accompagnés dans un environnement règlementaire en constante évolution. Ils leur faudra un partenaire de confiance qui puisse les conseiller sur les enjeux actuels, tout en leur apportant des informations sur les prochaines évolutions.

Regard vers l’avenir – trois défis cybersécurité pour l‘automobile

  1. Il n’y a pas de solution universelle

Il ne suffira pas d’appliquer au secteur de l’automobile des approches élaborées pour d’autres secteurs. En effet, la cybersécurité est un enjeu relativement nouveau pour l’automobile – il remonte à une dizaine d’années – alors que la question de la sécurité informatique de manière plus générale trouve ses origines à la fin des années 80. L’industrie automobile est ainsi confrontée à un manque d’expérience et de compétences interne dans ce domaine spécifique. À cela viennent s’ajouter la vitesse à laquelle les réglementations évoluent et la complexité des systèmes légaux CAN et FlexRay, créant ainsi des problématiques uniques et complexes. Il convient également de s’interroger sur la rigueur avec laquelle les nouvelles réglementations seront appliquées. Par exemple, les grands équipementiers et les plus petits fabricants devront-ils répondre aux mêmes exigences ?

  • Un cycle de vie prolongé

La problématique du cycle de vie des produits automobiles vient encore complexifier la question. Avec un cycle de développement s’échelonnant de 5 et 10 ans et un âge moyen de mise à la casse d’une voiture avoisinant les 14 ans, alors le cycle de vie total d’un véhicule atteint plus de 20 ans. Au cours de ce processus, les menaces de cybersécurité évoluent drastiquement, forçant les équipementiers et leurs fournisseurs à s’adapter rapidement pour assurer la sécurité à long terme de leur flotte. Les fabricants pourraient même se voir obligés de fournir des garanties ou du service après-ventes, ainsi que des mises à jour régulières.

  • Le temps est aux changements majeurs

Nous sommes tous conscients du changement de modèle radical opéré par l’industrie automobile qui, désormais, se tourne vers les énergies alternatives pour répondre simultanément aux objectifs fixés par les gouvernements et à la demande croissante des consommateurs. Cependant, les enjeux de cybersécurité induits par la voiture connectée sont au moins aussi urgents, même s’ils peuvent paraître moins évidents aujourd’hui. La connectivité accrue amène avec elle des enjeux de sécurité importants. Bien que la sécurité soit une question prioritaire, les modèles de transport à la demande ou de mobilité en tant que service feront émerger de nouvelles préoccupations, telles que la sécurité des paiements, de la facturation et des données personnelles. Si la plupart des grands équipementiers mettent en place des équipes cybersécurité en interne, qu’en sera-t-il pour les fournisseurs, qui seront tenus de respecter les mêmes standards ? Ils auront besoin d’un partenaire qui puisse les soutenir. Expleo s’appuie sur son expertise et son expérience dans les domaines de l’ingénierie et de la technologie – au service des secteurs bancaire, de la finance et de l’assurance, mais également de l’automobile -, pour proposer des solutions innovantes qui répondent tant aux impératifs de sûreté que de sécurité.

La réglementation 155 de l’UNECE devrait entrer en vigueur dans 2 ans. D’ici là, les acteurs du secteur devront répondre aux enjeux soulevés par l’automatisation et la connectivité, sous peine de prendre du retard [CITATION]. Les entreprises qui y réussiront sont celles qui ’ouvriront à de nouvelles façons de penser et tireront des enseignements des autres secteurs pour affronter ces défis inédits pour l’insdustrie automobile. Expleo sera là pour aider ses clients, en les guidant, en les conseillant et en leur proposant des solutions adaptées.

Pour en savoir davantage sur les solutions que peut vous proposer Expleo pour vous préparer à l’arrivée de la réglementation 155 de l’UNECE, ou pour tout accompagnement lié à la cybersécurité, contactez Glynn Beeken (ajouter adresse mail).

Parlons-en.

Pour savoir comment Expleo peut aider votre entreprise à se préparer au règlement 155 de l’UNECE ou pour discuter de nos autres services liés à la cybersécurité, contactez Glynn Beeken et l’équipe.