Pour une mobilité connectée de confiance

La baisse du coût de stockage et des échanges de données combinée à des performances accrues en débit et en latence permettent d’envisager des communications proches du temps réel. En parallèle, le volume d’information croît avec le nombre d’objets connectés. Cette numérisation du monde réel et la capacité à stocker et à traiter de larges volumes de données contribuent à extraire de l’information pertinente à la demande.

Ces avancées se rencontrent et se conjuguent dans la mobilité connectée, qui apporte des informations pertinentes à l’utilisateur – du particulier sur son mobile au grand groupe international via ses tableaux de bord – au moment où il en a besoin, là où il se trouve.

Mais ces connexions démultipliées amènent leur lot de risques, qu’il convient de maîtriser. Chaque nouvelle connexion est un vecteur d’attaque potentiel, les niveaux de maturité et les moyens techniques hétérogènes des différents fournisseurs de données créant un écosystème complexe dans lequel il devient compliqué de suivre tous les acteurs de la chaîne d’approvisionnement.

Nous avons coutume de dire de la sécurité qu’elle est aussi solide que son maillon le plus faible. Or, dans le domaine de la mobilité connectée, nous sommes en train d’ajouter beaucoup de maillons de qualité très variable et peu maitrisés.

Faut-il pour autant se passer de ces opportunités pour rendre la mobilité plus efficace et sûre ? Comment se saisir de ces possibilités en maîtrisant les risques ? Quelles sont les étapes clés pour assurer une mobilité connectée de confiance ?

Evaluer la maturité cyber de l’écosystème

Il est essentiel de commencer par un travail sur la maturité de chaque acteur, pour mettre en place un plan d’actions, une étude de risques et des contrôles visant à décliner une stratégie cohérente de cybersécurité. Celle-ci se traduit par la rédaction de politiques et procédures, la mise en place de sensibilisations et formations des équipes, de plans de continuité et de reprise d’activité pour parer aux contingences, et des audits pour s’assurer de l’efficacité des actions.

Prendre en compte les enjeux de sécurité dès le départ

La prise en compte de la sécurité dès la conception des produits est vitale car elle permet d’intégrer la cybersécurité à un moment où elle est à la fois plus facile et moins coûteuse à prendre en compte. Qu’il s’agisse de matériel électronique temps réel embarqué, ou de systèmes informatiques débarqués, il faut savoir ajouter de la cybersécurité tout en respectant les contraintes de fonctionnement. Le développement logiciel doit lui aussi faire l’objet d’une démarche de cybersécurité intégrée au plus proche du circuit de développement à travers des méthodes, des outils et des contrôles automatisés. Enfin l’architecture et l’urbanisme des solutions, qu’elles soient physiques ou dématérialisées dans le cloud, permet de concevoir un système à la fois résistant et résilient.

Déployer des mesures de protection au bon moment

Ce n’est qu’à ce moment qu’intervient l’étape de la protection, par laquelle on essaie trop souvent de commencer en ayant ignoré les autres. C’est à ce stade que l’on va déployer le contrôle de la chaîne d’approvisionnement pour certifier la provenance des composants, et que l’on va mettre en œuvre des moyens physiques en contrôlant les accès et en restreignant la possibilité d’altérer le matériel. Ces mesures organisationnelles et physiques sont accompagnées par des protections logiques de restriction et de contrôle des flux et par la surveillance des activités suspectes des systèmes et réseaux.

S’inscrire dans une démarche d’amélioration continue

Toutes ces mesures ne peuvent être efficaces dans la durée que si elles font l’objet d’un cycle d’amélioration continue : veille de sécurité, standards et réglementations, adaptation continue des politiques à l’évolution des menaces, une surveillance constante des systèmes pour détecter les menaces et réagir aux attaques, tests de charge et de pénétration réguliers, audits, etc.

Miser sur la communication entre l’ensemble des acteurs

Les métiers et techniques en jeu dans ces écosystèmes complexes sont multiples. Qu’il s’agisse des technologies embarquées dans les véhicules, du développement d’application, des télécommunications, ou encore du cloud ou du contrôle des chaînes d’approvisionnement, comprendre les interactions et les points d’articulation entre tous les acteurs et métiers de la chaîne de valeur est impératif. La communication sera donc essentielle pour prendre en compte la spécificité et les contraintes de chacun.

Ainsi, en renforçant la solidité de chaque maillon de la chaîne, la démarche sera de créer une synergie pour tirer la cybersécurité de l’ensemble vers le haut plutôt que de se résigner à s’aligner sur le plus faible.

*Cet article s’inscrit dans la continuité de l’étude réalisée dans le cadre du consortium 5G Open Road, qui évalue les risques cyber autour des cas d’usage de voiture autonome et identifie les mesures prioritaires de sécurité à mettre en œuvre, prenant en compte les enjeux safety.