News

Risques de cybersécurité avec les véhicules électriques automatisés : rapport

Alors que de plus en plus de véhicules électriques, automatisés et connectés parcourent les routes mondiales dans le années à venirun nouveau rapport par Deloitte Canada détaille comment les risques de cybersécurité pourraient survenir pour les conducteurs canadiens.

Le rapport indique comment le développement et la mise en œuvre de mesures de cybersécurité devraient être appliqués aux technologies de transport avancées, qui deviennent de plus en plus capables de stocker des informations personnelles sur les conducteurs et les passagers, et d’être contrôlées et accessibles par des appareils distants.

«Les véhicules modernes sont des super-ordinateurs sur roues», a déclaré Stephen Maegher, directeur des risques cybernétiques et stratégiques chez Deloitte, lors d’un entretien téléphonique avec CTVNews.ca mercredi.

« Il existe des centaines, voire des milliers de développeurs de fabricants de pièces – des petits fabricants de puces et du développement de micrologiciels jusqu’aux unités de contrôle et aux applications mobiles qui peuvent se connecter aux véhicules », a-t-il expliqué.

Maegher a déclaré que la technologie évolutive et multiforme augmente finalement ce que l’on appelle « la surface d’attaque ». Ceci est décrit comme des vulnérabilités systématiques ou des failles de cybersécurité qui augmentent la probabilité qu’un appareil soit compromis.

Par exemple, « les véhicules sont désormais équipés d’applications mobiles – que ce soit pour le contrôle et l’accès directs du véhicule ou le contrôle de plusieurs véhicules », a-t-il déclaré.

Cet accès mobile, a-t-il expliqué, peut introduire des risques bien au-delà des atteintes à la confidentialité des données.

Le rapport identifie un incident l’année dernière lorsque 25 véhicules automatisés appartenant à une entreprise de transport ont été piratés et accessibles à distance.

« Le pirate informatique adolescent a pu déterminer l’emplacement exact de chaque véhicule, s’il était occupé par un conducteur et, surtout, exécuter des commandes à distance », explique le rapport.

Parmi les autres cyberrisques identifiés dans le rapport de Deloitte figurent le suivi et le harcèlement GPS, les logiciels malveillants ciblés et le contrôle de l’accélération et du freinage des véhicules.

Avec de vastes progrès dans la technologie des transports automatisés, le rapport avertit que les pirates pourraient devenir plus capables de faire fonctionner des voitures à distance.

Selon le rapport, en 2021, 84 % des cyberattaques contre des véhicules ont été menées à distance. Plus de 50 % des incidents automobiles liés à la cybersécurité « jamais signalés » se sont produits au cours des deux dernières années, selon les recherches de l’entreprise.

Le rapport de Deloitte indique également que « l’augmentation des cyberincidents automobiles devrait continuer de croître ».

La raison invoquée pour cette croissance est la fusion croissante des composants matériels et logiciels. « Dans de nombreux cas, la responsabilité peut incomber à plusieurs parties prenantes au sein de la chaîne d’approvisionnement automobile », lit-on.

Maegher suggère qu’une responsabilité partagée de tous les fabricants de pièces est nécessaire pour atténuer les risques de cybersécurité.

« Notre approche à cet égard est que, que vous soyez propriétaire de flotte, fabricant ou gouvernement [determining the] réglementation de la confidentialité des données dans un pays, il est de la responsabilité de toutes ces parties de s’assurer que, globalement, nous avons une bonne position en matière de cybersécurité pour faire avancer ce marché », a déclaré Maegher.

Maegher a déclaré que les constructeurs de véhicules, les propriétaires de flottes et les juridictions municipales doivent commencer à réfléchir à la manière dont ils peuvent mieux assurer la sécurité de leurs conducteurs, à savoir en comprenant mieux chaque pièce individuelle qui compose un véhicule et en évaluant collectivement le risque que chaque pièce présente. .

« Parce qu’elles ne font pas intrinsèquement partie de l’infrastructure normale de la chaîne d’approvisionnement automobile, il y a eu plusieurs lacunes dans la sécurité et le développement de ces applications », a-t-il déclaré. « Nous devons nous assurer que les multiples composants d’un véhicule sont sécurisés les uns par rapport aux autres », a-t-il déclaré.


TERRAIN JURIDIQUE DE LA CYBERSÉCURITÉ

Une partie de cette «responsabilité partagée» peut éventuellement incomber à la législation sur la cybersécurité, a déclaré Helene Deschamps Marquis, associée et leader nationale de la confidentialité des données et de la cybersécurité chez Deloitte Legal Canada. Cependant, aucune loi de cette nature ne s’applique actuellement aux véhicules automatisés.

Certaines mesures préventives, a-t-elle dit, peuvent montrer la voie.

Marquis, qui se spécialise dans les atteintes à la cybersécurité et les lois sur le respect de la vie privée, a parlé à CTVNews.ca lors d’une entrevue téléphonique mercredi au sujet d’une philosophie appelée «Confidentialité dès la conception« – une approche de la législation technologique qui promeut l’intégration de la conception de la confidentialité et des mesures de cybersécurité dans l’architecture des systèmes informatiques et des pratiques commerciales. L’approche diffère de l’ajout d’options de consentement ambiguës qui peuvent facilement être ignorées par un utilisateur.

En juin de cette année, le Loi de mise en œuvre de la charte numérique2022 – Le projet de loi C-27 – a été présenté par le gouvernement fédéral du Canada, s’engageant (s’il est adopté) à appliquer des mesures de « vie privée dès la conception », qui seraient maintenues dans les industries des technologies de l’automatisation et de l’intelligence artificielle.

« Ces mesures », a déclaré Marquis, « s’étendraient aux transports ». .

Mais en ce qui concerne les constructeurs automobiles, la « vie privée dès la conception » dépendra également du type d’informations recueillies, a-t-elle expliqué. Cette information est ce qui élargit la « surface d’attaque » d’un véhicule.

« La réalité de ces véhicules autonomes n’est pas encore claire. On ne sait pas comment ils vont utiliser les données. On ne sait pas comment ils vont utiliser l’IA [to collect it].”

La législation future, a-t-elle expliqué, dépendra de la manière dont [the technology] se développe, et comment chaque fabricant traite avec [the risks].”

À la fin de l’entretien téléphonique, Marquis a souligné que l’erreur humaine n’est pas la véritable menace ici.

« L’IA doit être éthique », a-t-elle déclaré. « Et nous devons savoir comment il prend des décisions. »

Articles similaires

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Bouton retour en haut de la page