Des autorisations, des détails tarifaires et des données de session circulent via ce lien. L’étude Brokenwire, présentée au Symposium NDSS, met en lumière comment des interférences peuvent interrompre la connexion, écourtant ainsi la session. Cette étude souligne une réalité plus vaste : les véhicules modernes sont autant définis par leur logiciel que par leur matériel, et leur résilience dépend de la capacité de ce logiciel à résister aux attaques.
Évolution de la réglementation en matière de cybersécurité
Depuis 2024, les régulateurs européens ont intégré la cybersécurité dans le processus d’homologation des véhicules. Désormais, les nouveaux types de véhicules doivent prouver l’existence d’un système de gestion de la cybersécurité opérationnel et d’un système de gestion des mises à jour logicielles.
Le Royaume-Uni reconnaît déjà les véhicules certifiés sous ces règles, et le ministère des Transports envisage de les intégrer au système britannique à partir de 2026. Ce changement implique que la conformité ne se limite pas à de la paperasse, mais devient une responsabilité d’ingénierie, nécessitant des preuves issues des décisions de conception et des processus qui les soutiennent, étayées par des résultats de tests.
Les failles de confiance dues aux corrections tardives
Les faiblesses non résolues lors de la conception sont difficiles à corriger une fois que la plateforme entre en service. Un défaut caché dans un bus partagé ou un chemin de télématique est susceptible de rester présent tout au long de la vie du véhicule. Les orientations de la National Highway Traffic Safety Administration (NHTSA) aux États-Unis positionnent la sécurité comme une discipline qui s’étend du concept à la vérification, soutenue par des mécanismes de divulgation et de réponse.
Sécurité par conception
Les normes qui formalisent la pratique de la sécurité par conception sont désormais largement accessibles. La norme ISO/SAE 21434 décrit comment l’analyse des risques, la traçabilité des exigences et les preuves d’assurances circulent tout au long du cycle de vie, plaçant l’analyse des menaces au centre de ce processus.
En parallèle, le Règlement No. 155 de l’ONU exige des fabricants qu’ils surveillent les menaces et maintiennent des mesures d’atténuation pour les véhicules déjà en circulation, tandis que le Règlement No. 156 demande la gouvernance des mises à jour logicielles avec des enregistrements de contrôle des versions, d’autorisation et de retour en arrière.
Tests de résilience face aux cybermenaces
Les principes prennent tout leur sens lorsqu’ils sont testés dans des environnements simulant l’utilisation réelle. Les vérifications en laboratoire conventionnelles révèlent des erreurs isolément, mais de nombreuses vulnérabilités n’apparaissent que lorsque les composants interagissent. Les tests matériels en boucle et logiciels en boucle réduisent cette lacune, mais des tests de résilience face aux cybermenaces sont nécessaires pour simuler le comportement des attaquants.
Sécuriser un environnement en constante évolution
L’exposition aux cybermenaces évolue avec l’apparition de nouvelles fonctionnalités et le changement de tactiques des attaquants. Les ransomware, les attaques par déni de service et le vol de données continuent d’affecter le secteur des transports, et les écosystèmes de véhicules électriques sont concernés par ces tendances à travers des applications mobiles et des flux de télémétrie. De plus, les faiblesses dans les chaînes d’approvisionnement augmentent le risque, car un chargeur ou un composant compromis peut compromettre le fonctionnement du véhicule.
Points à retenir
- Les régulations européennes intègrent désormais la cybersécurité dans l’homologation des véhicules.
- La conformité est devenue une responsabilité d’ingénierie, nécessitant des preuves tangibles.
- La sécurité doit être intégrée dès la phase de conception pour éviter des corrections tardives.
- Les tests doivent refléter les conditions réelles d’utilisation pour être crédibles.
- Les cybermenaces évoluent rapidement, nécessitant une vigilance constante et une adaptation continue des systèmes.
Il est crucial que la cybersécurité soit envisagée non seulement comme une exigence réglementaire, mais aussi comme une part intégrante du développement des véhicules. En tant que citoyen et utilisateur, je me demande comment nous pouvons collectivement améliorer la sécurité de nos infrastructures de transport tout en facilitant l’innovation. L’enjeu n’est pas seulement technologique, mais également sociétal, évoquant un besoin d’engagement partagé pour défendre notre mobilité de demain.