Le vol de données guette les automobilistes

À mesure que le développement technologique s’accroit dans l’industrie automobile, les véhicules deviennent davantage vulnérables.

Selon la tendance des dernières années, les voleurs de voitures ont su utiliser la technologie des véhicules pour améliorer leur efficacité. La copie du code des clés intelligentes en est un exemple et « comme il y a de plus en plus de véhicules munis de clés intelligentes, il y a une corrélation à faire avec la multiplication des vols », croit Anne-Marie Jodoin, PDG de Sherlock.

Or, cette année une nouvelle tendance se dessine et cette dernière est beaucoup plus subtile.

La transformation technologique des voitures accentue les menaces pour les propriétaires et les véhicules en eux-mêmes. Leur automatisation et leur interconnexion avec les objets, les transforment en de microcommunautés technologiques. Les voitures devraient dorénavant être considérées des ordinateurs, selon le Rapport sur la cyberpréparation dans le secteur automobile au Canada.

Actuellement, 42 % des fabricants canadiens de pièces d’auto reconnaissent que les véhicules d’aujourd’hui sont des foyers potentiels de cybermenaces, révèle une étude menée par l’Institut de cybersécurité automobile (apmaIAC), l’Association des fabricants de pièces d’automobile du Canada (APMA), et KPMG.

Selon leur rapport sur la cyberpréparation dans le secteur automobile au Canada, la plupart des fournisseurs de pièces d’automobile n’ont pas encore pleinement intégré les éléments de sécurité, de confidentialité et de cybersécurité, car ils estiment que leur offre de produits n’est pas suffisamment avancée technologiquement. Pourtant, précise le rapport, la réalité est tout autre.

Les menaces touchent autant les fabricants que les véhicules en eux-mêmes. Les experts du rapport recommandent que toutes les composantes, systèmes, chaine d’approvisionnement, logiciels et matériels qui facilitent le fonctionnement de l’équipement de fabrication, la robotique, les canaux de distribution client et les opérations administratives soient protégés contre les attaques.

« Les entreprises du secteur manufacturier doivent protéger leurs produits, leurs opérations et leurs systèmes, quel que soit le type de composants, de pièces ou de systèmes », dit Flavio Volpe, président de l’APMA. Le développement de la technologie et son insertion dans les véhicules pourraient devenir une menace pour les conducteurs.

Actuellement, peu de constructeurs ont établi un plan pour assurer la protection de leur cyberespace.

Le Canada doit s’adapter

Le Canada et les fabricants qui y sont installés « doivent se préparer à l’adoption de plusieurs règlements nationaux et internationaux sur la cybersécurité des véhicules », insistent les experts dans le rapport collectif. La règlementation de l’ONU, par exemple, exigera des entreprises qu’elles consignent leurs méthodes de prévention pour des types d’incidents précis, qu’elles communiquent des informations sur les cyberattaques et qu’elles rendent compte de l’efficacité de leurs mesures de cybersécurité aux autorités au moins une fois l’an.

Malgré la hausse des cyberattaques au cours de la dernière année, 7 entreprises sur 10 n’ont pas apporté de changement au financement des initiatives de transformation numérique et de cybersécurité, indique l’APMA.

« Tous les membres de l’organisation et pas seulement des TI doivent se soucier de la sécurité », dit John Heaton, spécialiste des services de cybersécurité pour KPMG. « Quel que soit son produit, chaque entreprise possède des actifs numériques qui doivent être protégés », ajoute-t-il.

Combler l’écart en matière de cybersécurité

Le rapport met en lumière six éléments clés à prendre en considération pour aider le secteur à combler ses lacunes en matière de cybersécurité et à intégrer la cybergouvernance à l’échelle de l’organisation. L’adoption d’une nouvelle culture de la cybersécurité est la première.

Ensuite chaque organisation doit désigner un cadre supérieur responsable de la cybersécurité. Cette personne ne devrait pas être un dirigeant des TI, mais plutôt un responsable de la cybersécurité à l’échelle de l’entreprise et doter des compétences et des connaissances nécessaires pour le faire efficacement.

L’identification des actifs attrayants, la protection de la propriété intellectuelle et des technologies opérationnelles contre le vol, les dommages et les fuites et l’élaboration d’une cybergouvernance efficace qui couvre l’ensemble du processus complètent la liste.