Les voitures, nouveau foyer potentiel de cybercriminalité

De nos jours, une des puissantes menaces concerne la cybersécurité. Ce fléau du domaine informatique n’est toutefois plus dédié qu’aux grandes entreprises et banques, par exemple. Les véhicules sont maintenant de plus en plus connectés… et représentent par le fait même de nouvelles menaces.

Selon les fabricants canadiens de pièces d’automobiles, 42 % d’entre eux reconnaissent que les véhicules d’aujourd’hui sont des foyers potentiels de cybermenaces, a révélé un nouveau rapport de l’Institut de cybersécurité automobile de l’Association des fabricants de pièces d’automobile du Canada (APMA), l’apmaIAC, et de KPMG au Canada.

Selon le rapport conjoint de l’apmaIAC et de KPMG, de nombreux fournisseurs de pièces d’automobile n’ont pas encore pleinement intégré les éléments de sécurité, de confidentialité et de cybersécurité, car ils estiment que leur offre de produits n’est pas suffisamment avancée technologiquement. Pourtant, les véhicules d’aujourd’hui sont en soi des microcommunautés en raison de la technologie. De plus, les cybermenaces touchent aussi les fabricants eux-mêmes, si bien qu’ils doivent protéger contre les attaques toutes les composantes de leurs activités, y compris les systèmes de chaîne d’approvisionnement, le matériel et les logiciels qui facilitent le fonctionnement de l’équipement de fabrication, la robotique, les canaux de distribution clients et les opérations administratives.

« Dans le secteur automobile, la cybersécurité comporte de nombreuses facettes ; elle pose des risques importants si elle n’est pas maîtrisée, affirme Flavio Volpe, président de l’APMA. En réalité, maintenant plus que jamais dans l’histoire du secteur manufacturier, les entreprises doivent protéger leurs produits, leurs opérations et leurs systèmes, quel que soit le type de composants, de pièces, de systèmes et d’assemblages qu’elles produisent. »

Le rapport indique aussi que les équipementiers et leurs fournisseurs au Canada doivent se préparer à l’adoption de plusieurs règlements nationaux et internationaux sur la cybersécurité des véhicules, des Lignes directrices sur la cybersécurité des véhicules de Transports Canada au la Commission économique des Nations Unies pour l’Europe. La réglementation de l’ONU, par exemple, exigera des entreprises qu’elles consignent leurs méthodes de prévention pour des types d’incidents précis, qu’elles communiquent des informations sur les cyberattaques et qu’elles rendent compte de l’efficacité de leurs mesures de cybersécurité aux autorités au moins une fois l’an.

Par ailleurs, selon le rapport, la norme ISO 21434 Véhicules routiers – Ingénierie de la cybersécurité à venir a établi des exigences en matière de gestion des risques liés à la cybersécurité pour les systèmes, les composantes et les interfaces des véhicules routiers à toutes les étapes de leur développement (ingénierie, production, exploitation, entretien et démantèlement).

Toujours selon le rapport, les équipementiers obligent leurs fournisseurs de tous les niveaux à protéger leur apport à la chaîne d’approvisionnement, ce qui fait ressortir l’urgence de changer les mentalités en matière de cybersécurité.

« L’établissement d’une culture de cybersécurité signifie que tous les membres de l’organisation, et pas seulement des TI, doivent se soucier de la sécurité », affirme John Heaton, associé, Services de cybersécurité de KPMG. « Quel que soit son produit, chaque entreprise possède des actifs numériques attrayants qui doivent être protégés. Les acteurs de chaque maillon de la chaîne d’approvisionnement doivent non seulement les recenser et les protéger, mais aussi veiller à ce que leurs partenaires fassent de même. »

Le rapport met en lumière six éléments clés à prendre en considération pour aider le secteur à combler ses lacunes en matière de cybersécurité et à intégrer la cybergouvernance à l’échelle de l’organisation :

  • L’adoption d’une nouvelle culture de la cybersécurité : Tous les acteurs de la chaîne d’approvisionnement doivent tenir compte de la cybersécurité. Il suffit d’un seul lien vulnérable pour exposer toute la chaîne.
  • La désignation d’un leader en cybersécurité : Chaque organisation doit désigner un cadre supérieur responsable de la cybersécurité. Cette personne ne devrait pas être un dirigeant des TI, mais quelqu’un de haut niveau responsable de la cybersécurité à l’échelle de l’entreprise et doté des compétences et des connaissances nécessaires pour le faire efficacement.
  • L’identification des actifs attrayants : Vous ne pouvez pas protéger efficacement vos opérations si vous ne savez pas ce qui doit être protégé.
  • Regardez au-delà des TI : votre propriété intellectuelle et vos technologies opérationnelles sont votre atout concurrentiel. Si vous ne les protégez pas contre le vol, les dommages ou les fuites, vous pourriez perdre votre position sur le marché.
  • Tenez compte de votre cycle de vie : la cybersécurité n’est pas que le produit final. Une cybergouvernance efficace couvre l’ensemble du processus, de la conception et de l’ingénierie à la production et à la distribution, en passant par le service après-vente et au-delà. Chaque étape comporte ses propres considérations en matière de cybersécurité.
  • Prenez le taureau par les cornes sans tarder : bien qu’il y ait de nombreux exemples de sociétés canadiennes qui prennent en main la cybersécurité, le secteur a tendance à attendre les directives des équipementiers ou des consommateurs pour changer de culture. Il est important de s’y mettre dès maintenant, tant au sein de votre entreprise que de votre chaîne d’approvisionnement, parce que tout incident vous affectera inévitablement.
Articles similaires
Share via
Copy link