La cybersécurité dans la branche
Aucun garage n’est trop petit pour être une cible pour les pirates informatiques
22 mai 2024 agvs-upsa.ch – La numérisation et la mise en réseau sont l’une des grandes tendances du monde automobile. Mais cela augmente aussi le risque de cyberattaques. Une étude du CAM en collaboration avec Cisco Systems montre que ce sont justement les attaques contre les petits et moyens garages qui augmentent de manière alarmante. Ilir Pinto
Les cybercriminels frappent souvent du jour au lendemain. Photo : iStock
Cela ne concerne que les grandes entreprises ? Pas du tout : on pense souvent à tort que la cybersécurité est l’apanage des entreprises disposant d’une vaste infrastructure informatique. En réalité, les petites et moyennes entreprises ont récemment été particulièrement touchées par les cyberattaques, car elles ne disposent pas des ressources ou de l’expertise des grandes entreprises pour mettre en place des mesures de sécurité adéquates. Cela vaut également pour les garages.
«Avec la méta-analyse que nous avons réalisée, il est clairement apparu que les attaques de pirates informatiques visent surtout les petits exploitants», explique Stefan Bratzel, directeur du Center of Automotive Management (CAM) en Allemagne. Et de poursuivre : «Il est également clair que dans les années à venir, l’automobile sera de plus en plus un point d’attaque pour les pirates informatiques». L’étude identifie douze points d’entrée potentiels rien que pour la voiture connectée. Il s’agit par exemple des unités de commande de l’engrenage et du moteur, des systèmes d’assistance à la conduite, de la commande du châssis ou des systèmes multimédias.
Les appareils de diagnostic comme facteur de risque
L’étude CAM montre que la surface d’attaque ne cesse de croître en raison de la numérisation, de la mise en réseau et de l’automatisation croissantes, y compris dans la chaîne d’approvisionnement du secteur automobile. Les garagistes jouent aujourd’hui un rôle important dans cette chaîne d’approvisionnement : ils ne sont pas seulement responsables de l’entretien et de la réparation des véhicules, mais aussi de la réalisation des mises à jour et de la garantie de la sécurité des données. S. Bratzel ajoute : «Les garagistes sont également responsables de la mise à jour de leurs propres systèmes et processus en matière de cybersécurité». De ce fait, un outil de diagnostic peut même devenir un risque informatique. Si un appareil de diagnostic automobile connecté au réseau interne d’un garage est infecté par un virus, il est possible que ce virus se propage à d’autres systèmes ou véhicules. Comme les voitures modernes sont de plus en plus connectées et qu’elles contiennent de nombreux logiciels, les logiciels malveillants peuvent causer de nombreux dégâts. Par exemple, un appareil de diagnostic infecté pourrait lire les données d’un véhicule ou apporter des modifications non autorisées au véhicule. Il est donc important que les garagistes garantissent la cybersécurité de leurs appareils de diagnostic et de service. Il faut être conscient du fait que l’on ne gère pas seulement des données relatives aux véhicules, mais aussi des données personnelles des clients. Il s’agit par exemple d’informations sur les travaux de réparation et d’entretien effectués, de données de contact avec les clients, de l’historique du véhicule ou de données de diagnostic.
Une meilleure protection contre les cyberattaques
Les garages peuvent prendre des mesures pour protéger leurs systèmes et leurs données contre les cyberattaques. «Il existe des sociétés d’audit qui s’assurent que le système de cybersécurité est vraiment conforme aux exigences», explique S. Bratzel. De telles entreprises vérifient le respect des normes, des directives et des processus dans les entreprises et apportent leur soutien lors de la mise en œuvre de mesures.
L’UPSA conseille vivement à ses membres de vérifier leur sécurité informatique et de l’améliorer en permanence, et propose à cet effet une offre de services en coopération avec Swisscom.
Pour évaluer la cybersécurité dans un établissement, les auteurs de l’étude proposent le modèle dit des 4C. Il souligne l’importance des compétences, de la coopération, de la culture d’entreprise et de la cyberstratégie. «Cela ne sert à rien si seuls quelques spécialistes les connaissent et pas l'ensemble du personnel. Cela doit être consigné, et des processus doivent être mis en place», explique S. Bratzel.
Les conséquences d’une cyberattaque peuvent être considérables : il y a quelques années, par exemple, des cybercriminels ont frappé du jour au lendemain la société Aarauer Carrosserie Werke AG (AUTOINSIDE 09/2022). Le propriétaire Felix Wyss a tout de même réussi à négocier la demande initiale de 480’000 à 50’000 dollars.
Nouvelles normes de cybersécurité pour le secteur automobile
Des stratégies de cybersécurité complètes sont aujourd’hui indispensables pour garantir la sécurité de l’ensemble du secteur automobile. Toutefois, la qualité de la mise en œuvre des stratégies de cybersécurité varie fortement d’un acteur à l’autre. Il est urgent d’accroître la prise de conscience des dangers et des risques et d’introduire des mesures de protection à tous les niveaux. Cela est également indispensable pour les garages. C’est la seule façon de garantir la confiance des clients dans la sécurité de leurs véhicules et des prestations du garage.
Pour faire face à la menace croissante des cyberattaques, il existe depuis juillet 2022 la directive R155 de l’ONU. Cette directive est obligatoire pour tous les nouveaux types de véhicules dans l’UE et s’appliquera également à partir de juillet 2024 aux nouvelles immatriculations de véhicules déjà existants. Elle pose des exigences en matière de cybersécurité des véhicules. La Suisse est également tenue de mettre en œuvre ces normes.
Les cybercriminels frappent souvent du jour au lendemain. Photo : iStock
Cela ne concerne que les grandes entreprises ? Pas du tout : on pense souvent à tort que la cybersécurité est l’apanage des entreprises disposant d’une vaste infrastructure informatique. En réalité, les petites et moyennes entreprises ont récemment été particulièrement touchées par les cyberattaques, car elles ne disposent pas des ressources ou de l’expertise des grandes entreprises pour mettre en place des mesures de sécurité adéquates. Cela vaut également pour les garages.
«Avec la méta-analyse que nous avons réalisée, il est clairement apparu que les attaques de pirates informatiques visent surtout les petits exploitants», explique Stefan Bratzel, directeur du Center of Automotive Management (CAM) en Allemagne. Et de poursuivre : «Il est également clair que dans les années à venir, l’automobile sera de plus en plus un point d’attaque pour les pirates informatiques». L’étude identifie douze points d’entrée potentiels rien que pour la voiture connectée. Il s’agit par exemple des unités de commande de l’engrenage et du moteur, des systèmes d’assistance à la conduite, de la commande du châssis ou des systèmes multimédias.
Les appareils de diagnostic comme facteur de risque
L’étude CAM montre que la surface d’attaque ne cesse de croître en raison de la numérisation, de la mise en réseau et de l’automatisation croissantes, y compris dans la chaîne d’approvisionnement du secteur automobile. Les garagistes jouent aujourd’hui un rôle important dans cette chaîne d’approvisionnement : ils ne sont pas seulement responsables de l’entretien et de la réparation des véhicules, mais aussi de la réalisation des mises à jour et de la garantie de la sécurité des données. S. Bratzel ajoute : «Les garagistes sont également responsables de la mise à jour de leurs propres systèmes et processus en matière de cybersécurité». De ce fait, un outil de diagnostic peut même devenir un risque informatique. Si un appareil de diagnostic automobile connecté au réseau interne d’un garage est infecté par un virus, il est possible que ce virus se propage à d’autres systèmes ou véhicules. Comme les voitures modernes sont de plus en plus connectées et qu’elles contiennent de nombreux logiciels, les logiciels malveillants peuvent causer de nombreux dégâts. Par exemple, un appareil de diagnostic infecté pourrait lire les données d’un véhicule ou apporter des modifications non autorisées au véhicule. Il est donc important que les garagistes garantissent la cybersécurité de leurs appareils de diagnostic et de service. Il faut être conscient du fait que l’on ne gère pas seulement des données relatives aux véhicules, mais aussi des données personnelles des clients. Il s’agit par exemple d’informations sur les travaux de réparation et d’entretien effectués, de données de contact avec les clients, de l’historique du véhicule ou de données de diagnostic.
Une meilleure protection contre les cyberattaques
Les garages peuvent prendre des mesures pour protéger leurs systèmes et leurs données contre les cyberattaques. «Il existe des sociétés d’audit qui s’assurent que le système de cybersécurité est vraiment conforme aux exigences», explique S. Bratzel. De telles entreprises vérifient le respect des normes, des directives et des processus dans les entreprises et apportent leur soutien lors de la mise en œuvre de mesures.
L’UPSA conseille vivement à ses membres de vérifier leur sécurité informatique et de l’améliorer en permanence, et propose à cet effet une offre de services en coopération avec Swisscom.
Pour évaluer la cybersécurité dans un établissement, les auteurs de l’étude proposent le modèle dit des 4C. Il souligne l’importance des compétences, de la coopération, de la culture d’entreprise et de la cyberstratégie. «Cela ne sert à rien si seuls quelques spécialistes les connaissent et pas l'ensemble du personnel. Cela doit être consigné, et des processus doivent être mis en place», explique S. Bratzel.
Les conséquences d’une cyberattaque peuvent être considérables : il y a quelques années, par exemple, des cybercriminels ont frappé du jour au lendemain la société Aarauer Carrosserie Werke AG (AUTOINSIDE 09/2022). Le propriétaire Felix Wyss a tout de même réussi à négocier la demande initiale de 480’000 à 50’000 dollars.
Nouvelles normes de cybersécurité pour le secteur automobile
Des stratégies de cybersécurité complètes sont aujourd’hui indispensables pour garantir la sécurité de l’ensemble du secteur automobile. Toutefois, la qualité de la mise en œuvre des stratégies de cybersécurité varie fortement d’un acteur à l’autre. Il est urgent d’accroître la prise de conscience des dangers et des risques et d’introduire des mesures de protection à tous les niveaux. Cela est également indispensable pour les garages. C’est la seule façon de garantir la confiance des clients dans la sécurité de leurs véhicules et des prestations du garage.
Pour faire face à la menace croissante des cyberattaques, il existe depuis juillet 2022 la directive R155 de l’ONU. Cette directive est obligatoire pour tous les nouveaux types de véhicules dans l’UE et s’appliquera également à partir de juillet 2024 aux nouvelles immatriculations de véhicules déjà existants. Elle pose des exigences en matière de cybersécurité des véhicules. La Suisse est également tenue de mettre en œuvre ces normes.
Ajouter un commentaire
Commentaires