La Sécurité des Voitures connectées Est un Nouveau type de Risque de sécurité mobile
Plus tôt cette année, nous avons publié un article sur la nécessité d’un réveil de la cybersécurité dans l’industrie automobile. Le point focal de l’histoire était un rapport sur l’industrie par Synopsys qui a soulevé des signaux d’alarme critiques pour toutes les organisations opérant au sein de la chaîne d’approvisionnement automobile.
Avance rapide à un peu plus de six mois plus tard (une éternité dans le monde de la technologie), et il semble y avoir plus de raisons d’être optimiste.
J’ai de nouveau contacté Chris Clark de Synopsys non seulement pour prendre le pouls de la situation, mais aussi pour vérifier l’état de la sécurité des voitures connectées du point de vue du consommateur. Clark m’a dit que depuis notre dernière conversation en février, l’industrie a été très prompte à réagir aux défis de sécurité qui sont soulevés.
“Lorsque vous avez une organisation comme Volkswagen qui déclare que non seulement l’avenir du développement des véhicules est essentiel pour l’organisation, mais aussi la sûreté et la sécurité des véhicules développés par l’organisation, cela dit quelque chose”, a-t-il déclaré.
Suivre la technologie automobile en constante évolution
Selon Clark, l’un des plus grands défis de sécurité pour l’industrie est le long délai entre les débuts conceptuels d’un véhicule et son lancement final, qui peut souvent être de cinq ans. Pendant ce temps, les nouvelles technologies de sécurité entrent en jeu, de sorte que les fabricants d’équipement d’origine (OEM) et d’autres organisations de la chaîne d’approvisionnement réfléchissent davantage à la sécurité en cours de route.
“Ils font des pas en avant assez importants”, a déclaré Clark. “Une partie du défi est que lorsque vous regardez la conception d’un véhicule et que vous regardez la sécurité de fond en comble, vous devez regarder les puces qui pilotent ce système. S’il y a des faiblesses au niveau de la puce, peu importe la sécurité que vous mettez dessus, il y a toujours une faiblesse.”
Récemment, a-t-il déclaré, les fabricants de puces ont été invités à fournir des solutions beaucoup plus robustes et sécurisées.
“Nous commencerons à le voir davantage dans les environnements critiques pour la sécurité, en particulier avec le traitement multicœur requis pour les systèmes de vision et d’autres technologies de type maille de capteur. L’industrie réagit assez rapidement, et c’est assez impressionnant à voir jusqu’à présent “, a ajouté Clark.
Un réseau sur roues
Rappelez—vous, l’automobile d’aujourd’hui — même le véhicule le plus basique récemment commercialisé – est pilotée par des ordinateurs. Qu’il s’agisse du régulateur de vitesse, de la gestion des voies, de la mesure des voies ou du système d’infodivertissement, un ordinateur le pilote. Selon Clark, quand on parle d’une voiture, c’est vraiment un “réseau sur roues avec un tas d’ordinateurs.”
L’objectif de ce réseau pour la plupart des véhicules est, peut-être étonnamment, le système d’infodivertissement. Et ce n’est pas seulement la connectivité 5G; les véhicules intelligents équipés de Zigbee peuvent se connecter aux systèmes de maison intelligente. Par exemple, lorsque les voitures se rapprochent de la maison, elles peuvent interagir avec l’infrastructure de la maison et communiquer sur l’état du véhicule au propriétaire.
Et, comme tout réseau, il convient de mentionner que l’automobile récolte maintenant une quantité importante de données. Les chercheurs ont même réussi à récupérer des informations personnelles identifiables (PII) à partir de véhicules de location de voitures.
Nous n’y pensons pas assez — je me souviens avoir loué une voiture l’année dernière et j’ai définitivement branché mon smartphone au système CarPlay. Ai-je laissé des informations personnelles dans le cerveau de la voiture? J’avoue que mon cœur a raté quelques battements quand Clark a évoqué cela.
Toute entreprise disposant d’une flotte de véhicules à offrir à ses employés doit également tenir compte de cette question de confidentialité.
La sécurité des voitures connectées Intégrée Dès le début
En ce qui concerne la sécurité générale des voitures connectées, les constructeurs automobiles devraient commencer par les activités fondamentales du processus de conception du véhicule. Des outils tels que les tests fuzz et l’analyse de code statique devraient être standard, et ils sont sur le point d’être standardisés par tous les fabricants.
Il est également essentiel pour les constructeurs automobiles de gérer la dette technique une fois que le véhicule a quitté la production. Dans de nombreux cas, le seul moment où un véhicule est entretenu est chez le concessionnaire — à quel moment, il recevra souvent une mise à jour logicielle.
“Les organisations doivent examiner comment gérer le logiciel de ces voitures pendant toute la durée de vie du véhicule”, a déclaré Clark. ” La virtualisation va donc jouer un rôle clé à cet égard.”
Parce que les fabricants ne peuvent pas conserver toutes les versions de leur véhicule dans le lot pour les tester, Clark a conseillé de créer un environnement virtualisé pour imiter le véhicule. Ensuite, ils peuvent effectuer le niveau de tests requis pour gérer les vulnérabilités de sécurité au fur et à mesure qu’elles surviennent au cours de la durée de vie du véhicule. Bien que cela représente un défi sérieux pour la culture actuelle de voitures, cela deviendra plus facile pour les véhicules dans les années à venir lorsque des environnements plus virtualisés dans lesquels travailler seront disponibles.
Enfin, en abordant les différents piratages qui ont affecté l’industrie, Clark a vu les OEM aborder le problème de différentes manières.
“La diversité est vraiment bonne quand on commence à parler de sécurité”, a déclaré Clark. “Au fur et à mesure que ces diverses méthodes commencent à mûrir et que nous constatons que certaines méthodes fonctionnent mieux que d’autres, nous commencerons à voir les fournisseurs à tous les niveaux arriver à des méthodologies de développement standardisées et à des solutions technologiques qui profitent finalement au consommateur.”
Conseils pratiques pour le consommateur
Pour les consommateurs qui cherchent à acheter une voiture “plus intelligente”, il existe de nombreuses options et fonctionnalités qui peuvent facilement submerger même les amateurs de voitures les plus avertis. Selon Clark, il y a quelques questions que vous devriez vous poser:
- Le véhicule a-t-il des antécédents avec un certain potentiel de service et d’assistance pendant la durée de son cycle de vie?
- Le véhicule possède-t-il les attributs technologiques que je trouve intéressants et s’intègre-t-il à ma maison, à mon téléphone et à mon mode de vie en général?
- S’il y a beaucoup plus d’électronique dans ce véhicule que dans la plupart des véhicules, à quoi cela ressemblera-t-il du point de vue de l’assurance?
Cette dernière question mérite une discussion plus approfondie. Synopsys prévoit un regain d’intérêt des consommateurs pour les exigences raisonnables en matière de cybersécurité pour un véhicule, en particulier lorsqu’ils commencent à examiner leurs factures d’assurance après l’achat.
“En règle générale, la plupart des consommateurs ne réagissent que lorsqu’ils en ressentent un impact financier, et là où ils vont penser que c’est une assurance”, a déclaré Clark, notant que le secteur de l’assurance examine de très près les futurs véhicules. ” Au cours des trois dernières années, le secteur de l’assurance a effectué un travail considérable pour examiner la cybersécurité en ce qui concerne non seulement les véhicules autonomes, mais également les véhicules dotés de plus d’électronique qu’ils n’en ont jamais eu auparavant.”
Alors que les véhicules évoluent vers une autonomie complète avec des fonctionnalités telles que l’auto-réparation et l’autodiagnostic, la sécurité et la sûreté seront certainement prises en compte dans les taux d’assurance. Cela sera également un facteur inévitable dans les décisions financières des consommateurs.
L’optimisme demeure Malgré les menaces profondes
Lors de la rédaction de cette histoire, CNN a rapporté un avertissement du FBI indiquant que “l’industrie automobile sera probablement confrontée à un large éventail de cybermenaces et d’activités malveillantes dans un proche avenir.”
Cela sonne certainement l’alarme, mais lorsque vous vous arrêtez pour y réfléchir, quelle industrie n’est pas ciblée par les cybermenaces? Je ne doute pas que nous devions être prudents, mais cela ne renforce-t-il pas l’argument selon lequel nous devons tous accorder plus d’attention à la cybersécurité en général? Heureusement, Clark m’a dit que tous les fournisseurs d’automobiles développent une langue vernaculaire universelle pour la façon dont ils partagent des informations sur les exigences de sécurité des voitures connectées.
“L’industrie commence à s’aligner sur un langage commun qu’elle peut partager pour une compréhension claire et cohérente de ce qui est demandé”, a-t-il déclaré. “C’est un bond en avant majeur par rapport à ce que nous avons vu au cours des deux dernières années.”
Avec tant de pessimisme entourant l’état du paysage des menaces dans l’industrie, il est certainement encourageant d’entendre que les fabricants adoptent plus que jamais les concepts de sécurité. Pourtant, l’industrie ne peut pas se permettre de retirer son pied de la pédale d’accélérateur de la cybersécurité.