Aujourd’hui, un véhicule peut contenir jusqu’à 30 000 composants, provenants de nombreux fournisseurs. La mondialisation a permis aux constructeurs d’étendre leurs chaînes d’approvisionnement, réduisant les coûts et créant de nouveaux marchés.
Cette nouvelle réalité a généré une surface d’attaque plus vaste, où une faille logicielle, matérielle ou opérationnelle peut avoir des conséquences désastreuses : atteinte à la sécurité et à la confidentialité des données, arrêt de production, pertes financières atteignant des milliards, sans parler de la perte de confiance des consommateurs.
En juin 2024, CDK Global, fournisseur de logiciels utilisé par 15 000 concessionnaires automobiles aux US, était victime d’une attaque par rançongiciel. Une indisponibilité de ses services pendant trois semaines a résulté en une perte estimée à 1,02 milliard de dollars, incluant les ventes de véhicules neufs (+/- 56 200 unités), de véhicules d’occasion, les revenus liés aux pièces détachées et à l’entretien et les coûts du personnel et des services informatiques. Ceci exclut les frais de rançon, les honoraires d’avocat et les modifications opérationnelles obligatoires.
L‘attaque récente contre Jaguar Land Rover démontre l’impact que cela peut avoir sur les fournisseurs tiers, les économies régionales et les chaînes d’approvisionnement internationales. Selon le Centre de surveillance de la cybersécurité (CMC), au Royaume-Uni les pertes financières s’élèvent à 1,9 milliard de GBP et plus de 5 000 entreprises et fournisseurs furent touchés, principalement des PME, pour lesquelles ces attaques peuvent avoir des conséquences fatales.
Grâce à la réglementation européenne sur la cyber-résilience et à la norme ISO/SAE 21434, les fabricants doivent intégrer les bonnes pratiques de cybersécurité tout au long du cycle de vie de leurs produits, de la conception à la production ainsi que les mises à jour après-vente. Ce ne sont pas que des recommandations, mais des obligations pour des véhicules connectés évoluant dans un environnement numérique toujours plus hostile.
La transparence de la chaîne d’approvisionnement est suivie de près. Le règlement NIS2 de l’UE s’applique non seulement aux fabricants d’équipement d’origine (OEM), mais répartit aussi les contraintes réglementaires sur plusieurs niveaux de cette chaîne.
83 % des consommateurs désirent que les constructeurs divulguent les sources de leurs logiciels, et 77 % considèrent les composants tiers comme des risques potentiels en cybersécurité. Cela concerne la chaîne d’approvisionnement numérique, où des erreurs commises par des acteurs apparemment sans lien peuvent paralyser toute une opération mondiale – comme pour Jaguar Land Rover.
Il ne suffit plus de fabriquer un composant de qualité : chaque ligne de code, chaque fournisseur et chaque module tiers doit répondre à des normes de sécurité élevées. Pour une PME, cela peut sembler insurmontable mais c’est l’occasion de démontrer sa réelle valeur ajoutée à ses partenaires.
La cybersécurité n’est pas que l’achat d’un outil et à la validation d’une tâche. Il faut mettre en place des défenses proactives et continues. Pour protéger les opérations, une des solutions les plus efficaces est la détection et la réponse gérées (Managed Detection and Response – MDR). Elle renforce la cybersécurité en combinant l’automatisation basée sur l’IA à l’expertise humaine et à une veille exhaustive des menaces. Ainsi, elle offre une détection des menaces et une réponse aux incidents inégalées.
Le MDR offre une surveillance 24/7, la détection des menaces et la réponse aux incidents – de nombreuses PME en sont dépourvues en interne – leur permettant de se concentrer sur les développements stratégiques en assurant une meilleure conformité réglementaire. En détectant les anomalies plus tôt et en agissant rapidement, on évite de coûteux arrêts de production.
Cela vaut aussi pour la protection de la chaîne d’approvisionnement. L’utilisation de données télémétriques complexes et de renseignements sur les menaces mondiale, permet au MDR de détecter les anomalies suite à des mises à jour logicielles suspectes, à l’utilisation d’objets connectés et de périphériques tels que les VPN, ainsi qu’aux violations d’accès révélées par un comportement anormal des utilisateurs. Il sécurise rapidement et préventivement l’environnement de production, préservant la fabrication et la propriété intellectuelle.
Le MDR donne une vision en temps réel et utilisable de la sécurité d’une entreprise. Les fabricants peuvent alors se concentrer sur l’innovation et la production au lieu de s’inquiéter d’une prochaine attaque. ESET aide ainsi à la mise en place d’une solution MDR efficace, en combinant une surveillance experte et des conseils adaptés à la taille et à la complexité d’une infrastructure.
Aujourd’hui, la résilience numérique est indissociable de la précision mécanique. Les fournisseurs qui, dès le départ, intègrent la cybersécurité, ceux qui mettent en œuvre la gestion des incidents liés aux produits (MDR) et gèrent activement les vulnérabilités de leur chaîne d’approvisionnement, se démarquent dans un marché qui assimile toujours plus sécurité et fiabilité. Pour les PME, la pression est énorme mais les opportunités le sont aussi. En considérant la cybersécurité comme un élément clé de la qualité des produits, elle devient un atout commercial, un élément de différenciation et une protection contre les risques opérationnels et de réputation.
Par le passé, la sécurité c’était survivre à un crash-test, aujourd’hui, elle consiste à l’éviter. Nous avons rendu les voitures plus sûres. Il est temps maintenant de les sécuriser.
par Tony Anscombe, Evangélist Sécurité chez ESET