La cybersécurité est désormais indissociable de la sûreté des véhicules
Questions à Laurent Sudarskis, Directeur de mission, Sécurité des Technologies de l'Information chez Thales.
Est-ce l’arrivée prochaine de la voiture sans conducteur qui pousse les constructeurs à s’intéresser à la cybersécurité ?
Laurent Sudarskis - Il ne faut pas croire que les questions de cybersécurité ne concernent que les voitures autonomes : elles se posent pour l’ensemble des véhicules dès lors qu’ils intègrent des équipements connectés, qui ne sont d’ailleurs pas toujours visibles du conducteur. En effet, au-delà du boîtier multimédia et de ses fonctions 4G ou Bluetooth que nous utilisons quotidiennement, les voitures sont désormais généralement équipées d’un boîtier télématique, qui recueille et transmet, via les réseaux 2G et 3G, un certain nombre d’information, comme le kilométrage, la géolocalisation ou la consommation, qui sont par exemple utiles pour gérer des flottes de véhicules. Enfin, il existe un troisième type de connectivité, la prise-diagnostic, cette-fois-ci utilisée par les garagistes pour la maintenance du véhicule.
En quoi ces nouveaux équipements connectés changent-ils la donne ?
LS - Si les bénéfices pour le conducteur sont indéniables, il faut garder à l’esprit que les équipements connectés sont autant de points d’entrée et de surfaces d’attaques pour les pirates informatiques. A partir de ces équipements, ils peuvent tenter d’accéder à d’autres composants, le plus souvent dans le but de voler le véhicule ou les données personnelles du conducteur, mais aussi parfois pour perturber la conduite en portant atteinte à l’intégrité du véhicule, en générant par exemple une explosion sonore au sein de l’habitacle en prenant le contrôle des baffles. Le scénario ultime consisterait en une prise de contrôle du véhicule à distance, potentiellement sur une flotte entière.
Comment Thales agit-il pour prévenir ces cyberattaques sur les véhicules connectés ?
LS - Thales accompagne les constructeurs sur toute la chaîne de sécurité des équipements embarqués, que ce soit en matière d’évaluation des risques liés au déploiement de nouvelles fonctionnalités, de définition des mesures de sécurité à mettre en place ou de validation du niveau de sécurité des équipements déployés. Plus spécifiquement, Thales a mis au point, en partenariat avec PSA, une méthode d’analyse des risques spécifique au monde de l’automobile, dans le but de déduire les mesures de sécurité à mettre en place. Au-delà de cet axe méthodologique, Thales intervient aussi sur le plan technique, en menant des audits et des tests d’intrusion sur les véhicules pour identifier les vulnérabilités, en analysant par exemple la connexion du boîtier multimédia au réseau du véhicule, les processus de mises à jour logicielles, le niveau de cloisonnement entre l’espace multimédia et les fonctions vitales du véhicule, etc.
Comment les constructeurs prennent-ils en comptent la cybersécurité ?
LS - Il faut savoir que les composants embarqués n’ont pas nécessairement été conçus, à l’origine, pour supporter des fonctions de sécurité, d’autant que la priorité est donnée aux fonctions premières du véhicule (direction, freinage, etc.) ; il est donc assez complexe de développer des fonctions cryptographiques ou de chiffrement sur certains éléments. Le sujet est de plus en plus pris en compte par les constructeurs et les équipementiers, qui ont parfaitement conscience que la cybersécurité est devenue indissociable de la notion de sûreté de fonctionnement des véhicules et qu’un des enjeux est de parvenir à faire cohabiter les deux : il y a désormais un vrai réflexe cyber. La voiture est en train de devenir « un ordinateur avec des roues » – et cela sera encore plus vrai demain avec l’arrivée de la voiture autonome, prévue pour 2020, et qui sera appelée à avoir des interactions considérables avec les infrastructures, les autres usagers, etc. Le développement de cette nouvelle technologie ne pourra se faire sans des solutions ultra-performantes de cybersécurité.
