S'ABONNER
S'ABONNER

Marcel Lücht

Voici pourquoi la récente fuite de données chez Volkswagen prouve que NIS2 est nécessaire 

Marcel Lücht consultant principal chez Kazarma Consulting
consultant principal chez Kazarma Consulting 15:44 Mise à jour le: 15:44 Source: Data News

La fuite de données chez Cariad, filiale de Volkswagen, a causé des migraines à la fois à l’entreprise et à ses clients. Mais le fait que cela puisse se produire, démontre également la nécessité de lignes directrices telles que NIS2, explique Marcel Lücht, principal consultant chez Kazarma Consulting. 

La fin de 2024 ne fut pas le moment pour le personnel de Volkswagen de se reposer et de se détendre. Avant tout, parce que le principal acteur de l’industrie automobile européenne a du mal à progresser dans le développement d’une stratégie en matière de véhicules électriques, tout en restant rentable. Les chiffres du troisième trimestre, publiés fin octobre, ont montré une baisse des ventes, des rentrées et des bénéfices, alors que – plus inquiétant encore -, les liquidités nettes se sont établies à -160 milliards. 

Mais ce n’était certainement pas là le principal sujet de discussion au sein de la haute direction de Volkswagen AG. Celle-ci était probablement plus préoccupée par un autre nuage sombre qui s’est accumulé ces derniers jours sous la forme d’une faille majeure dans la sécurité des données clients au sein de la filiale logicielle Cariad. 

Les voitures sont devenues de plus en plus interconnectées ces dernières années. Et avec l’essor des véhicules électriques sur batterie, de nombreuses voitures transmettent constamment des données pour offrir fonctionnalité et convivialité au conducteur. Pensez, par exemple, à la disponibilité d’options de recharge, à la préparation de la batterie à une charge rapide, au préchauffage de la voiture via une appli, etc. Ce sont autant d’applications logiques en soi. 

Bien que de nombreux rapports aient fait surface dans le passé sur les voitures stockant et partageant beaucoup plus d’informations que ce qui est strictement nécessaire à leur fonctionnement. Une étude réalisée en 2023 par la Mozilla Foundation a en effet révélé que les voitures modernes sont un ‘cauchemar en matière de confidentialité’ avec 25 marques automobiles collectant plus de données que nécessaire et 76 pour cent d’entre elles admettant que ces données pourraient être revendues. 

Alors que s’est-il passé? A notre connaissance, pendant une longue période (apparemment après une erreur d’un développeur de logiciels l’été dernier), toutes les données collectées par Cariad sur les véhicules du groupe Volkswagen, tels que VW, Seat, Audi et Skoda, ont été stockées dans un base de données AWS non sécurisée et accessible au public. 

Ces données incluaient toutes les positions GPS précises des voitures lorsque le moteur était à l’arrêt. Le magazine allemand Der Spiegel a pris l’exemple d’une femme politique allemande, Nadja Weippert, qui, assez ironiquement, est non seulement propriétaire d’une Volkswagen ID.3, mais est également porte-parole du parti Grün dans son Landestag en matière de confidentialité. Les données collectées ont révélé l’adresse de son domicile, ainsi que sa… boulangerie préférée et les clubs sportifs où elle se rendait, y compris l’horaire précis. Et bien sûr, si cela vaut pour Nadia, tel est aussi le cas des propriétaires de quelque 800.000 véhicules électriques dans de nombreux pays européens. 

NIS2: quel impact pour Volkswagen? 

Pour ceux qui sont actifs dans le domaine de la cybersécurité, la directive NIS 1 (Network and Information Security) n’est pas une nouveauté. Sa première mise en œuvre remonte à 2016 et visait à améliorer la cybersécurité dans l’espace économique européen, à laquelle devaient se conformer des entités cruciales. 

Cette mise en œuvre a été considérée comme loin d’être un succès, principalement en raison d’un manque de compréhension commune des menaces et des défis. Un autre problème était une pénurie d’applications, ce qui a conduit certaines organisations à accorder à la directive moins d’attention que nécessaire. 

Pour relever ces défis, l’UE s’est lancée dans l’implémentation d’une nouvelle directive sur la sécurité des réseaux et de l’information. Cette directive avait pour nom NIS2 et contenait des différences importantes par rapport à la précédente. Le groupe d’organisations tenues de s’y conformer fut considérablement élargi, non seulement en termes d’activités, mais aussi en termes de taille, avec un seuil fixé à 50 employés ou plus et un chiffre d’affaires de 10 millions d’euros ou plus. 

Ces seuils signifient essentiellement que la plupart des grandes organisations dans les secteurs mentionnés doivent se conformer à NIS2. Il existe également des moyens plus stricts de faire respecter la conformité. Ces moyens ont tenté de remédier au manque de mise en œuvre en imposant des amendes élevées et même en tenant pour responsables les membres du conseil d’administration en cas de non-respect (répété) des règles. 

La directive NIS2 a été publiée en décembre 2022, et les gouvernements nationaux devaient la transposer dans leur propre législation avant le 18 octobre 2024. Seuls quelques pays y sont parvenus, la Belgique étant l’un des rares à y être arrivés. 

NIS1 ne s’appliquait pas à Volkswagen, mais dans le cadre de NIS2, il ne fait aucun doute que l’entreprise doit s’y conformer. Les firmes de production entrent en effet désormais dans son champ d’application, et Volkswagen AG en fait partie. 

La question est cependant de savoir si une simple erreur d’un employé consistant à rendre la base de données accessible au public est la seule cause du problème. Après tout, NIS2 mentionne aussi spécifiquement le cryptage comme l’une des protections, et il est clair que la base de données en question n’était pas cryptée ou que la sécurité qui l’entourait était insuffisante. Nous avons demandé à Volkswagen et à Cariad de le confirmer et avons reçu l’explication suivante: ‘Die Daten waren verschlüsselt, aber die Schlüssel wurden erlangt’ (‘ces données étaient cryptées, mais les clés de cryptage ont été acquises’). 

Cette déclaration ouvre la boîte de Pandore concernant les meilleures pratiques en matière de sécurité. La protection fortuite des clés de sécurité annule l’ensemble du processus de cryptage. Cela donne un faux sentiment de sécurité. Apparemment, les clés de sécurité n’étaient pas stockées dans un module de sécurité matériel ou une appliance virtuelle renforcée, et la gestion des ressources cryptographiques n’était pas ou insuffisamment implémentée. 

Cariad a publié une longue explication sur la fuite de données en insistant sur le fait que ces dernières ne pouvaient pas être directement liées aux clients individuels. Cependant, pour CCC Germany, qui s’est procuré les données, il n’a apparemment pas été trop difficile de recombiner les éléments (après le consentement explicite des individus) pour obtenir une image détaillée qui ne peut en aucun cas tomber entre de mauvaises mains. Et c’est précisément pourquoi la directive NIS2 a été élaborée. 

Marcel Lücht possède 30 ans d’expérience professionnelle dans l’ICT/télécoms et la cybersécurité. Il est principal consultant chez Kazarma Consulting, une agence spécialisée dans la consultance stratégique pour les pouvoirs publics et les grandes organisations. 

Lire plus de:

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire