Les véhicules modernes conçus pour la mobilité intelligente ont amélioré la connectivité IoT. Cependant, les voitures connectées ont également introduit des vulnérabilités logicielles et augmenté les risques de cyberattaques. Le secteur automobile étant confronté à une augmentation des menaces, les gouvernements et les régulateurs prennent des mesures pour réguler le secteur et atténuer les cyberattaques. Voici dix choses à savoir sur les réglementations en matière de cybersécurité pour le secteur automobile :
1. Pourquoi la connectivité rend les véhicules vulnérables ?
Selon la Commission économique des Nations Unies pour l'Europe ( CEE-ONU ), les voitures compteront environ 300 millions de lignes de code logiciel d'ici 2030. Aujourd'hui, une voiture moyenne compte environ 100 millions de lignes de code et 150 unités de contrôle électronique. L'augmentation du code signifie également une augmentation des vulnérabilités en matière de cybersécurité et, par conséquent, des menaces.
2. Quel est l’objectif de la réglementation ?
Les objectifs de la réglementation sur la cybersécurité dans le secteur automobile sont d'améliorer la sécurité des véhicules et d'accroître la protection contre le vol. Cependant, la réglementation a également été élaborée pour améliorer l'efficacité énergétique, ce qui contribue à protéger l'environnement.
3. Pertes financières potentielles dues aux cyberattaques
Les pertes financières prévues pour l’industrie automobile d’ici 2023 pourraient atteindre jusqu’à 24 milliards de dollars.
4. L’approbation de la réglementation sur la cybersécurité pour le secteur automobile
Le 23 juin 2020, le Conseil économique et social des Nations Unies a proposé un nouveau règlement qui impose des dispositions uniformes pour l'homologation des véhicules. Ce règlement définirait de nouveaux processus et mesures de cybersécurité. Le 25 juin 2020, deux nouveaux règlements des Nations Unies ont été adoptés : l'un pour la cybersécurité et l'autre pour la mise à jour des logiciels (et leurs systèmes de gestion respectifs).
5. Le rôle de la Commission économique des Nations Unies pour l'Europe dans la réglementation automobile
La Commission économique des Nations Unies pour l'Europe (CEE-ONU) relève de la compétence du Conseil économique et social des Nations Unies. Le Comité des transports intérieurs (CTI) de la CEE-ONU s'occupe des besoins mondiaux en matière de transports intérieurs. L'une de ses filiales est le Forum mondial pour l'harmonisation des règlements concernant les véhicules (WP.29) .
6. Vers une adoption internationale ?
L'objectif de la CEE-ONU est d'initier et de poursuivre des actions visant à l'harmonisation ou au développement à l'échelle mondiale de réglementations techniques pour les véhicules. Même si seuls 54 États parties à l'Accord de 1958 de la CEE-ONU sont parties à cet accord, une large adoption de ces réglementations à travers le monde est attendue.
7. Domaines d'application et de mise en œuvre
Le règlement sur la cybersécurité s'applique aux véhicules tels que les voitures, les camionnettes, les camions et les bus s'ils sont équipés de fonctionnalités de conduite automatisée ( >= niveau 3 ), tandis que le règlement sur les mises à jour logicielles s'applique à tous les véhicules prenant en charge les mises à jour logicielles.
La réglementation WP.29 exige que les constructeurs automobiles appliquent des processus de contrôle dans quatre domaines.
- Le premier domaine gère les cyber-risques dans les véhicules.
- Le deuxième objectif est d’atténuer les risques tout au long de la chaîne de valeur.
- Le 3ème domaine de mise en œuvre se concentre sur la détection et la réponse aux problèmes de sécurité dans les flottes de véhicules.
- Ce dernier fournit des mises à jour logicielles pour garantir que les véhicules ne sont pas compromis.
8. Les menaces à la cybersécurité et à l'IoT auxquelles la réglementation répond
La réglementation WP.29 vise à atténuer les menaces liées aux processus de mise à jour des véhicules, à la perte de données, aux violations et aux connexions de communication, y compris la connectivité externe telle que les menaces sur les serveurs principaux et les erreurs humaines.
9. Comment la réglementation atténue les cybermenaces et les vulnérabilités
La réglementation a identifié sept principales cybermenaces pour le véhicule, ses composants et ses serveurs principaux, ce qui conduit à 69 voies d'attaque différentes. La réglementation prévoit 23 mesures d'atténuation de la cybersécurité pour protéger ces zones contre les menaces potentielles.
10. Dates importantes d’application
D'ici le deuxième trimestre 2021, la réglementation devrait être finalisée et publiée. Si le calendrier est respecté, les nouvelles homologations de type de véhicules d'ici juillet 2022 devront être conformes à la réglementation sur les systèmes de cybersécurité pour être acceptées. Dans l'UE, la réglementation sera obligatoire pour tous les nouveaux véhicules fabriqués à partir de juillet 2024.
Si vous souhaitez en savoir plus sur cette réglementation, vous préparer ou vous faire pré-auditer par des experts en cybersécurité spécialisés dans le secteur, n'hésitez pas à nous contacter .