Le transport connecté se veut l'avenir d'une mobilité repensée. Avion, train, bus et voiture, l'ensemble de la multimodalité est concerné par les évolutions du numérique.
Le véhicule connecté, grâce à la remontée et l'analyse des données, entend fluidifier le transport au sein de villes trop encombrées, tout en jouant un rôle clé en matière de sécurisation, d'éco-conduite, de réduction de consommation de carburant et de l'empreinte carbone. La Commission européenne impose depuis 2018 aux constructeurs automobiles d'équiper tous leurs nouveaux véhicules d'un système d'appel automatique en cas d'urgence baptisé eCall (emergency call) ou eCall112. Ce système a pour vocation de réduire le délai d'intervention des services d'urgence de 50 % en zone rurale et jusqu'à 60 % en zone urbaine. Grâce à ces outils connectés, plus de vies pourraient ainsi être sauvées. L'ensemble du parc automobile devrait en être équipé à horizon 2035.
Des craintes légitimes
Ce monde du transport interconnecté se doit aussi de relever les nouveaux défis d'une numérisation galopante et s'attaquer à la menace cyber. Grâce à ces interfaces numérisées et aux multiples systèmes d'information et capteurs, détourner un véhicule, un avion, paralyser un aéroport, faire dérailler un train ou créer un accident de la route en coupant la diffusion des informations de signalisation remontées sont autant de probabilités avérées, car, pour certaines, déjà vérifiées.
Et l'enjeu est de taille. En France, la SNCF transporte, chaque jour, 9 millions de personnes à bord de 17 000 trains, soit en Ile-de-France, l'équivalent d'un A380 qui décolle toutes les sept secondes. Dans le monde, 11 milliards de tonnes de marchandises transitent chaque année par la mer (source : McKinsey 2020).
Pour le marché de l'automobile, Mc Kinsley souligne que les voitures contiennent aujourd'hui plus de 100 millions de lignes de code ! Un chiffre qui devrait tripler à horizon 2030. Un avion de ligne contient pour sa part quelque 15 millions de lignes de code, et le système d'exploitation d'un PC standard environ 40 millions.
Aussi, sans surprise, Gartner 2019 annonce un marché mondial de la cybersécurité automobile en très forte croissance : de 2,4 milliards de dollars en 2019, il devrait fleurter avec les à 6 milliards de dollars d'ici à 2025.
Des normes internationales puissantes
Fort d'une prise de conscience accélérée, le marché automobile régule son écosystème international au travers d'analyses dédiées. Les normes éclosent avec une volonté forte de réguler par la contrainte. L'industrie automobile mondiale doit protéger son infrastructure contre les cybercriminels, dont le but est de voler des données et de prendre le contrôle des systèmes automatisés à des fins malveillantes.
Ainsi, aux Etats-Unis, dès 2016, le Comité pour l'ingénierie des systèmes de cybersécurité des véhicules publiait le Cybersecurity Guidebook for Cyber-Physical Vehicle Systems, un manuel de cybersécurité pour les systèmes de véhicule connectés, qui définit un cadre pour l'ensemble des processus du cycle de vie. Ainsi, chaque organisation peut intégrer la cybersécurité dans les systèmes des véhicules connectés, depuis la phase de conception jusqu'à la production, l'utilisation, la maintenance et le démantèlement.
Le groupe de travail WP.29 de la UNECE (Commission économique des Nations Unies pour l'Europe) a publié lui, en juin 2020, un règlement établissant des règles et des obligations pour les constructeurs automobiles. Ce dernier devrait être appliqué dès juillet 2022 pour tous les nouveaux véhicules en Europe. Les constructeurs automobiles doivent ainsi démontrer qu'ils ont bien mis en place des processus pour évaluer les risques cyber pesant sur leurs véhicules et se conformer à toutes les exigences en matière de cybersécurité avant de pouvoir commercialiser ces derniers.
Pour aller plus loin, une nouvelle norme internationale, devrait voir le jour prochainement. En s'appuyant sur les travaux américains, l'ISO et le SAE ont ainsi réuni leurs forces desquelles naîtra la proposition de norme ISO/SAE 21434 - Véhicules routiers - Ingénierie de la cybersécurité - afin que l'industrie automobile puisse livrer des véhicules dotés de systèmes et de logiciels hautement sécurisés. Cette norme permettra aux organisations de définir des politiques et des processus en matière de cybersécurité, de gérer les risques relatifs à la cybersécurité et de promouvoir une culture de la cybersécurité.
Pour atteindre le niveau d'assurance de qualité requis avant la mise en production des futurs véhicules, les constructeurs doivent se doter d'outils d'évaluation, d'analyse et de management des risques simplifiés, intégrés, dynamiques et opérant en continu. Toutes les équipes EGERIE se sont ainsi mobilisées, une année durant, afin d'être en capacité d'accompagner les constructeurs automobiles dans la mise en œuvre de cette nouvelle norme internationale ISO 21434. Centraliser, communiquer et collaborer sont les 3 piliers que nous déployons avec les constructeurs automobiles que nous accompagnons dans une démarche active de co-construction.
Cette norme décrit enfin un cadre qui permettra d'améliorer la collaboration en matière de cybersécurité dans le secteur automobile et conduira ainsi au développement de technologies et de solutions répondant mieux aux problèmes de cybersécurité en constante évolution. Le partage d'informations entre constructeurs est en effet une nécessité. Si cette coopération semble déjà bien engagée aux Etats-Unis où les acteurs de l'industrie automobile partagent et analysent diverses informations sur la vulnérabilité des véhicules, et contribuent à l'amélioration des technologies de cybersécurité, l'approche doit s'étendre à l'échelle mondiale.
Des perspectives prometteuses
L'Organisation des Nations Unies considère déjà cette norme comme un document de référence pour la mise en œuvre des systèmes de gestion de la cybersécurité (CSMS), une exigence du règlement récemment adopté par l'organisation, en matière de cybersécurité dans les véhicules. De nouveaux travaux ont aussi commencé portant sur une spécification publiquement disponible, ISO/PAS 5112, détaillant les lignes directrices pour l'audit des organisations en matière d'ingénierie de la cybersécurité.
Le but ultime vise la généralisation de la norme dans les pratiques d'ingénierie courantes du secteur, ainsi qu'une meilleure connaissance des enjeux. Cela passera notamment par l'intégration de la norme dans le programme de formation des futurs ingénieurs. Promouvoir une culture de la cybersécurité commence dès le début !