Sécuriser l’IoT : l’industrie automobile comme exemple à suivre

La transformation en cours dans le secteur automobile peut inspirer des changements d’approche pour les entreprises qui veulent profiter de l’Internet des objets. L’éditeur spécialiste en cybersécurité Trend Micro, fort d’un partenariat ambitieux avec Panasonic sur l’automobile, résume les leviers prioritaires à activer.

>> Cet article est extrait du hors-série « Le Numérique en Pratique », l’IoT téléchargez-le !

Sécuriser l’IoT : l’industrie automobile comme exemple à suivre En mars 2018, un accident mortel de circulation sur une autoroute californienne a fait les gros titres de la presse. Il a impliqué en effet une voiture électronique Tesla dotée d’une technologie de conduite « semi-autonome ». C’est pourtant moins les questions relatives à l’autonomie grandissante des véhicules que leur fragilité face aux cyberattaques qui préoccupe aujourd’hui l’écosystème automobile. Joachim Müller, membre du directoire d’Allianz Allemagne en a de nouveau fait état l’an passé, dans  L’Argus de l’Assurance : « Les voitures sont devenues des ordinateurs roulants. Les cyber-attaques sur les voitures connectées vont augmenter ces prochaines années ». Dès 2015, la prise de contrôle à distance d’une Jeep Cherokee par deux chercheurs en sécurité, relatée par Wired, avait d’ailleurs servi de signal d’alarme, entraînant le rappel de plus d’un million de véhicules.

Le problème du go-to-market

« Le tableau peut paraître assez sombre » reconnait Loïc Guézo, cybersecurity strategist de l’éditeur de sécurité japonais Trend Micro, pour qui les problématiques du secteur automobile sont à replacer plus largement dans le contexte de la croissance de lInternet des Objets (IoT) : « On assiste à la rencontre de deux tendances : l’augmentation massive des usages IoT et un développement des activités criminelles qui font de l’IoT non seulement une ressource majeure pour mener des cyberattaques, mais également une cible à part entière, face à la difficulté qu’ont les entreprises à sécuriser tous les objets connectés ».

L’opportunité business de l’IoT attire en effet de plus en plus d’entreprises variées, sans vraie expertise en matière de sécurité. « La balle est dans le camp des constructeurs. Et ils la jouent mal à cause de l’impératif du go-to-market qui supplante souvent toute autre considération » souligne Loïc Guézo, pour qui le problème risque d’empirer : « Le marché se complexifie et il va y avoir de facto une poussée vers le bas de gamme, y compris sur des objets pour lesquels on aurait pu s’attendre à plus de qualité car une certaine partie des composantes IoT se retrouvera partout. ». L’expert de Trend Micro cite notamment des problèmes de surdimensionnement de certaines briques logicielles réutilisées d’un objet à l’autre en n’en gardant pas toutes les fonctions, créant du même coup de nombreuses failles.

LNEP_carre-telechgt-CONNECTIVITE

Des partenariats pour apporter des réponses technologiques

Le cas des voitures connectées, sur lesquelles le consommateur attend justement beaucoup de qualité, pourrait cependant servir d’exemple pour toutes les entreprises qui souhaitent développer un business IoT pérenne. « Après le rappel des Jeep Cherokee, les constructeurs automobiles sont devenus beaucoup plus sensibles à la cybersécurité. Leurs exigences vis-à-vis de leurs fournisseurs ont donc également augmenté » note Kazuya Fujimura, ingénieur en chef, security RF development, automotive & industrial systems company chez Panasonic. Le groupe japonais spécialiste de l’électronique a récemment noué un partenariat avec Trend Micro pour adresser le problème pressant de la sécurité des véhicules de plus en plus connectés.

« Les voitures ont aujourd’hui de nombreuses interfaces de connexion externes telles que le wifi et le bluetooth. En exploitant des vulnérabilités, il est possible de réécrire le logiciel in-vehicle infotainement, d’extraire des informations personnelles ou, dans le pire des cas, d’affecter le système de contrôle tel que le volant et le frein. Cependant, d’autres fonctions telles que l’OBD 2 (système standardisé de diagnostic, ndr) et la serrure de la porte pourraient également être attaquées. Chacune implique des mesures de protection différentes. En combinant la technologie de Trend Micro et la technologie de sécurité automobile de Panasonic, il devient possible d’offrir une solution de sécurité totale aux constructeurs automobiles. » détaille Kazuya Fujimura. L’usage du cloud est en ce sens un facilitateur : « Le cloud permet d’appliquer des mesures de protection pour tous les véhicules, même quand une anomalie a été détectée sur un seul » explique l’ingénieur de Panasonic.

Une stratégie qui demande l’engagement de la direction

Mais au-delà de la technologie, c’est bien la prise en compte de la sécurité dans la stratégie et le time-to-market des constructeurs qui va faire la différence. En la matière, l’industrie automobile a un atout. « La période de développement des voitures varie selon le constructeur automobile, mais cela prend généralement plus de deux ans » note Kazuya Fujimura, pour qui ce tempo permet aux industriels d’adopter les solutions. « Le point le plus important dans la stratégie de sécurité est l’engagement de la direction. Avec les stratégies créées par la direction, la sécurité est intégrée dans le processus de développement. De cette façon, il permet de renforcer aussi la R&D et l’évaluation » précise l’ingénieur. Des changements en cascade sont donc à l’œuvre suite aux prises de conscience récentes dans le secteur.

Ces changements ont tout intérêt à dépasser le secteur automobile pour être progressivement adoptés par les entreprises lancées dans la course à l’IoT. « Les stratégies IoT sont tellement transversales qu’elles contribuent à entretenir un certain flou sur le « comment » intégrer la sécurité sans briser l’élan d’innovation et sur l’identité de ceux qui doivent porter le sujet. Dans les faits, il y a cependant un moment clé pour les entreprises, c’est la phase d’appel d’offres. C’est le moment où le responsable achat, le RSSI, voir le CDO et le DSI peuvent se coordonner et avoir l’effet de levier nécessaire pour changer les choses. Aidés par le jeu des autorités de régulations, ils vont pouvoir commencer à faire pression sur les constructeurs » estime Loïc Guézo. Pour l’expert de Trend Micro, le règlement général européen sur la protection des données personnelles (RGPD) pourra permettre dès 2018 d’activer plus facilement ces leviers vis-à-vis des prestataires, tout en favorisant l’émergence d’une pression commerciale chez les consommateurs également, de l’autre côté de la chaine.

Et à nouveau, le secteur automobile pourrait bien montrer l’exemple – notamment en termes d’équilibres économiques à trouver. « Pour Ford, la data est sacrée. Elle restera chez nous et on ne la vendra pas » témoigne ainsi Céline Armitage, directrice marketing de Ford en France. Le constructeur automobile américain a pris le parti d’héberger ses données également en France et en Allemagne pour tenir compte du nouveau contexte, tout en modifiant ses contrats, son système d’information et ses processus internes. Des changements ambitieux poussé par le RGPD mais qui permettent mécaniquement de penser différemment la sécurité. « Les normes de sécurité que nous utilisons sont parfois plus forte que celles des systèmes bancaires » souligne-t-elle. Une vision qui s’appliquera aux véhicules eux-mêmes alors que Ford a annoncé le souhait de connecter, rétroactivement avec un dongle dédié, tous les véhicules de la marque construits entre 2010 et 2017. 

Trend Micro sera présent au Hannover Messe 2018, salon professionnel mondial dédié à l’innovation au sein de la technologie industrie, dont l’édition 2018 se tiendra du 23 au 27 avril prochain à Hanovre.

  • Eva Chen, CEO et co-fondatrice Trend Micro, animera une conférence de presse le 24/04 de 11h à 12h00 ; elle y présentera les solutions Trend Micro permettant de sécuriser les équipements industriels connectés contre les cyber-menaces (Convention Center, salle 17)
  • Une démonstration de piratage de voiture connectée en live, sera proposée avec notre partenaire Objectif Software (Stand Trend Micro n° B16, Hall 6)
  • Les différentes solutions de cyber-sécurité Trend Micro (Smart Factory/Industry 4.0, IoT industriel et Cloud Security) seront présentées sur le stand
  • Plus d’infos : http://www.hannovermesse.de/exhibitor/trend-micro-deutschland/W139587