Risques de cybersécurité avec les véhicules électriques automatisés : rapport
Alors que de plus en plus de véhicules électriques, automatisés et connectés arriveront sur les routes mondiales dans les années à venir, un nouveau rapport de Deloitte Canada détaille comment les risques de cybersécurité pourraient émerger pour les conducteurs canadiens.
Le rapport indique comment le développement et la mise en œuvre de mesures de cybersécurité devraient être appliqués aux technologies de transport avancées, qui deviennent de plus en plus capables de stocker des informations personnelles sur les conducteurs et les passagers, et d’être contrôlées et accessibles par des appareils distants.
«Les véhicules modernes sont des super-ordinateurs sur roues», a déclaré Stephen Maegher, directeur des risques cybernétiques et stratégiques chez Deloitte, lors d’un entretien téléphonique avec actualitescanada.com mercredi.
« Il existe des centaines, voire des milliers de développeurs de fabricants de pièces – des petits fabricants de puces et du développement de micrologiciels jusqu’aux unités de contrôle et aux applications mobiles qui peuvent se connecter aux véhicules », a-t-il expliqué.
Maegher a déclaré que la technologie évolutive et multiforme augmente finalement ce que l’on appelle « la surface d’attaque ». Ceci est décrit comme des vulnérabilités systématiques ou des failles de cybersécurité qui augmentent la probabilité qu’un appareil soit compromis.
Par exemple, « les véhicules sont désormais équipés d’applications mobiles – que ce soit pour le contrôle et l’accès directs du véhicule ou le contrôle de plusieurs véhicules », a-t-il déclaré.
Cet accès mobile, a-t-il expliqué, peut introduire des risques bien au-delà des atteintes à la confidentialité des données.
Le rapport identifie un incident l’année dernière lorsque 25 véhicules automatisés appartenant à une entreprise de transport ont été piratés et accessibles à distance.
« Le pirate informatique adolescent a pu déterminer l’emplacement exact de chaque véhicule, s’il était occupé par un conducteur et, surtout, exécuter des commandes à distance », explique le rapport.
Parmi les autres cyberrisques identifiés dans le rapport de Deloitte figurent le suivi et le harcèlement GPS, les logiciels malveillants ciblés et le contrôle de l’accélération et du freinage des véhicules.
Avec de vastes progrès dans la technologie des transports automatisés, le rapport avertit que les pirates pourraient devenir plus capables de faire fonctionner des voitures à distance.
Selon le rapport, en 2021, 84 % des cyberattaques contre des véhicules ont été menées à distance. Plus de 50 % des incidents automobiles liés à la cybersécurité « jamais signalés » se sont produits au cours des deux dernières années, selon les recherches de l’entreprise.
Le rapport de Deloitte indique également que « l’augmentation des cyberincidents automobiles devrait continuer de croître ».
La raison invoquée pour cette croissance est la fusion croissante des composants matériels et logiciels. « Dans de nombreux cas, la responsabilité peut incomber à plusieurs parties prenantes au sein de la chaîne d’approvisionnement automobile », lit-on.
Maegher suggère qu’une responsabilité partagée de tous les fabricants de pièces est nécessaire pour atténuer les risques de cybersécurité.
« Notre approche à cet égard est que, que vous soyez propriétaire de flotte, fabricant ou gouvernement [determining the] réglementation de la confidentialité des données dans un pays, il est de la responsabilité de toutes ces parties de s’assurer que, globalement, nous avons une bonne position en matière de cybersécurité pour faire avancer ce marché », a déclaré Maegher.
Maegher a déclaré que les constructeurs de véhicules, les propriétaires de flottes et les juridictions municipales doivent commencer à réfléchir à la manière dont ils peuvent mieux assurer la sécurité de leurs conducteurs, à savoir en comprenant mieux chaque pièce individuelle qui compose un véhicule et en évaluant collectivement le risque que chaque pièce présente. .
« Parce qu’elles ne font pas intrinsèquement partie de l’infrastructure normale de la chaîne d’approvisionnement automobile, il y a eu plusieurs lacunes dans la sécurité et le développement de ces applications », a-t-il déclaré. « Nous devons nous assurer que les multiples composants d’un véhicule sont sécurisés les uns par rapport aux autres », a-t-il déclaré.
TERRAIN JURIDIQUE DE LA CYBERSÉCURITÉ
Une partie de cette «responsabilité partagée» peut éventuellement incomber à la législation sur la cybersécurité, a déclaré Helene Deschamps Marquis, associée et leader nationale de la confidentialité des données et de la cybersécurité chez Deloitte Legal Canada. Cependant, aucune loi de cette nature ne s’applique actuellement aux véhicules automatisés.
Certaines mesures préventives, a-t-elle dit, peuvent montrer la voie.
Marquis, qui se spécialise dans les atteintes à la cybersécurité et les lois sur le respect de la vie privée, a parlé mercredi à actualitescanada.com lors d’une entrevue téléphonique d’une philosophie appelée « Privacy by Design » – une approche de la législation technologique qui favorise l’intégration de la conception de la vie privée et des mesures de cybersécurité dans l’architecture des systèmes informatiques et des pratiques commerciales. L’approche diffère de l’ajout d’options de consentement ambiguës qui peuvent facilement être ignorées par un utilisateur.
En juin de cette année, la Loi de 2022 sur la mise en œuvre de la Charte numérique — le projet de loi C-27 — a été présentée par le gouvernement fédéral du Canada, s’engageant (si elle est adoptée) à appliquer des mesures de « vie privée dès la conception », qui seraient maintenues dans le cadre de l’automatisation et de l’artificiel. industries des technologies du renseignement.
« Ces mesures », a déclaré Marquis, « s’étendraient aux transports ». .
Mais en ce qui concerne les constructeurs automobiles, la « vie privée dès la conception » dépendra également du type d’informations recueillies, a-t-elle expliqué. Cette information est ce qui élargit la « surface d’attaque » d’un véhicule.
« La réalité de ces véhicules autonomes n’est pas encore claire. On ne sait pas comment ils vont utiliser les données. On ne sait pas comment ils vont utiliser l’IA [to collect it].”
La législation future, a-t-elle expliqué, dépendra de la manière dont [the technology] se développe, et comment chaque fabricant traite avec [the risks].”
À la fin de l’entretien téléphonique, Marquis a souligné que l’erreur humaine n’est pas la véritable menace ici.
« L’IA doit être éthique », a-t-elle déclaré. « Et nous devons savoir comment il prend des décisions. »