Le secteur automobile connaît une profonde transformation avec la numérisation des systèmes embarqués qui sont nécessaires à l'automatisation des véhicules, la connectivité et la mobilité partagée. Aujourd'hui, les voitures contiennent jusqu'à 150 unités de contrôle électronique et environ 100 millions de lignes de codes - quatre fois plus qu'un avion de chasse – et ce nombre devrait passer à 300 millions d'ici 2030.

Cela s'accompagne de risques importants en matière de cybersécurité car les pirates informatiques cherchent à accéder aux systèmes et aux données électroniques, menaçant ainsi la sécurité des véhicules et la vie privée des consommateurs.

Deux nouveaux règlements des Nations unies sur la cybersécurité et les mises à jour de logiciels aideront à faire face à ces risques en établissant des exigences claires en matière de performance et d'audit pour les constructeurs automobiles. Il s'agit des toutes premières normes internationales harmonisées et obligatoires dans ce domaine.

Les deux nouveaux règlements, adoptés hier par le Forum mondial de l'harmonisation des règlements concernant les véhicules de la CEE-ONU, imposent que des mesures soient mises en œuvre dans quatre disciplines distinctes pour :

• Gérer les cyber-risques liés aux véhicules ;
• Sécuriser les véhicules dès la conception, afin d'atténuer les risques tout au long de la chaîne de valeur ;
• Détecter et répondre aux incidents de sécurité dans les flottes de véhicules ;
• Fournir des mises à jour de logiciels sûres et sécurisées et veiller à ce qu'aucun préjudice ne soit causé à la sécurité des véhicules. Le règlement introduit une base juridique pour les mises à jour sans fil - "Over-the-Air" (O.T.A.) en anglais - des logiciels embarqués dans les véhicules.

Les deux règlements s'appliqueront aux voitures, aux fourgonnettes, aux camions et aux autobus. Ils entreront en vigueur en janvier 2021.

Le Japon a indiqué qu'il prévoit de les appliquer dès leur entrée en vigueur. 

La République de Corée a adopté une approche progressive, en introduisant les dispositions du règlement sur la cybersécurité dans une ligne directrice nationale au cours du second semestre 2020, et en procédant à la mise en œuvre du règlement dans un second temps.

Dans l'Union européenne, le règlement sur la cybersécurité sera obligatoire pour tous les nouveaux types de véhicules à partir de juillet 2022 et à partir de juillet 2024 pour tous les nouveaux véhicules produits.

Ensemble, l'UE et le Japon ont produit quelque 28,9 millions de véhicules en 2018, soit près du tiers de la production mondiale.

Étant donné l'utilisation très répandue des règlements des Nations unies dans le secteur automobile à travers le monde, une large adoption de ces règlements dans le monde entier, parmi et au-delà des 54 parties contractantes de l'accord de 1958 de la CEE-ONU, est attendue.

Selon des études récentes, la nécessité de renforcer la cybersécurité automobile va se traduire par des investissements massifs – qui passeront de 4,9 milliards USD en 2020 à 9,7 milliards USD en 2030. Le cadre offert par les nouveaux règlements des Nations unies stimulera une innovation importante et créera de nouvelles opportunités économiques pour les fournisseurs de l’industrie automobile, les sociétés informatiques et les start-ups, en particulier sur le marché du développement de logiciels et des services.

Note aux rédactions

À propos du règlement des Nations unies sur la cybersécurité et les systèmes de gestion de la cybersécurité

Le règlement s'applique aux voitures, aux camionnettes, aux camions et aux autobus, aux véhicules légers à quatre roues s'ils sont équipés de fonctions de conduite automatisées à partir du niveau 3 - cela couvre les nouvelles navettes, etc. automatisées ; aux remorques si elles sont équipées d'au moins une unité de commande électronique.

Le texte du règlement est disponible à l'adresse suivante : http://www.unece.org/DAM/trans/doc/2020/wp29grva/ECE-TRANS-WP29-2020-079-Revised.pdf

Le règlement des Nations unies fournit un cadre permettant au secteur automobile de mettre en place les processus nécessaires pour :

• Identifier et gérer les risques de cybersécurité dans la conception des véhicules ;
• Vérifier que les risques sont gérés, y compris les tests ;
• Veiller à ce que les évaluations des risques soient tenues à jour ;
• Surveiller les cyber-attaques et y répondre efficacement ;
• Soutenir l'analyse des attaques réussies ou des tentatives d'attaques ;
• Évaluer si les mesures de cybersécurité restent efficaces compte tenu des nouvelles menaces et vulnérabilités.

Tous ces éléments seront contrôlés par les services techniques nationaux ou les autorités d'homologation.

Les principes d'homologation de l'accord de 1958 signifient que les constructeurs devront démontrer, avant la mise sur le marché des véhicules, qu'ils satisfont aux exigences suivantes :

• Le système de gestion de la cybersécurité est en place et son application aux véhicules en circulation est disponible ;
• Une analyse de l'évaluation des risques, qui identifie ce qui est critique, est en place ;
• Des mesures d'atténuation des risques sont identifiées ;
• La preuve, par des tests, que les mesures d'atténuation fonctionnent comme prévu ;
• Des mesures visant à détecter et à prévenir les cyber-attaques sont en place ;
• Des mesures de soutien à l’investigation numérique des données sont en place ;
• Surveiller les activités spécifiques au type de véhicule ;
• Les rapports des activités de surveillance seront transmis à l'autorité d’homologation compétente.

À propos du règlement des Nations unies sur les mises à jour de logiciels et les systèmes de gestion des mises à jour de logiciels

Le règlement de l'ONU s'applique aux véhicules permettant la mise à jour des logiciels des voitures, des camionnettes, des camions et des autobus ; des remorques ; des véhicules agricoles.

Le texte du règlement est disponible à l'adresse suivante : https://undocs.org/ECE/TRANS/WP.29/2020/80

Le règlement des Nations unies fournit un cadre permettant au secteur automobile de mettre en place les processus nécessaires pour :

• Enregistrer les versions de matériel et de logiciel correspondant à un type de véhicule :
• Identifier les logiciels pertinents pour l'homologation ;
• Vérifier que le logiciel d'un composant est ce qu'il devrait être ;
• Identifier les interdépendances, notamment en ce qui concerne les mises à jour de logiciels ;
• Identifier les cibles des véhicules et vérifier leur compatibilité avec une mise à jour ;
• Évaluer si une mise à jour de logiciel affecte l'homologation ou les paramètres définis par la loi (y compris l'ajout ou la suppression d'une fonction) ;
• Évaluer si une mise à jour affecte la sécurité ou la conduite sûre ;
• Informer les propriétaires de véhicules des mises à jour ;
• Documenter tout ce qui précède.

Tous ces éléments seront contrôlés par les services techniques nationaux ou les autorités d'homologation.

Les principes d'homologation de l'accord de 1958 signifient que les constructeurs devront démontrer, avant la mise sur le marché des véhicules, qu'ils satisfont aux exigences suivantes :

• Le système de gestion des mises à jour des logiciels est en place et son application aux véhicules en circulation est disponible ;
• Protéger le mécanisme de livraison des mises à jour et en garantir l'intégrité et l'authenticité ;
• Les numéros d'identification des logiciels doivent être protégés ;
• Le numéro d'identification du logiciel est lisible depuis le véhicule.
• Pour les mises à jour de logiciel sans fil :
  • Fonction de restauration en cas d'échec de la mise à jour ;
  • N'exécuter la mise à jour que si la puissance est suffisante ;
  • Exécution en toute sécurité ;
  • Informer les utilisateurs de chaque mise à jour et de son achèvement ;
  • S'assurer que le véhicule est capable d'effectuer la mise à jour ;
  • Informer l'utilisateur lorsque le recours à un mécanicien est nécessaire.