L'automobile moderne est un appareil complexe et connecté. Alors que les it offre plus de services services et de fonctions, il également est exposé à de de nombreuses vulnérabilités en matière de cybersécurité.
Cadre réglementaire et lignes directrices
SAE J3061: Cybersecurity Guidebook for Cyber-Physical Vehicle Systems (Guide de cybersécurité pour les systèmes de véhicules cyber-physiques) - un cadre pour la conception et l'évaluation des mesures de cybersécurité dans le processus de développement. Il présente des concepts tels que le cycle de vie de la cybersécurité (CSL) et recommande des pratiques pour l'évaluation des risques, l'analyse des menaces et les réponses aux incidents.
ISO/SAE 21434: Véhicules routiers - Ingénierie de la cybersécurité - spécifie les exigences relatives à la gestion des risques de cybersécurité. Elle comprend la conception et le développement, la production, l'exploitation, la maintenance et la mise hors service des systèmes électriques et électroniques des véhicules. Il s'agit notamment de répercuter les exigences de cybersécurité tout au long de la chaîne d'approvisionnement automobile, jusqu'aux fournisseurs de niveau 1 et inférieur.
Meilleures pratiques de la NHTSA en matière de cybersécurité: La National Highway Traffic Safety Administration (NHTSA) a publié des bonnes pratiques pour améliorer la cybersécurité des véhicules à moteur. Les recommandations portent sur divers aspects de la cybersécurité, tels que la sécurité dès la conception, la détection et la prévention des menaces, la réponse aux incidents et la collaboration avec l'industrie.
CEE-ONU WP.29: Il s'agit d'une norme principalement européenne, mais la conformité est requise pour vendre des véhicules dans l'Union européenne. Les réglementations primaires R155 et R156 portent respectivement sur la création d'un système de gestion de la cybersécurité (CSMS) et d'un système de gestion des mises à jour Software (SUMS).
Décoder PKI dans l'industrie automobile
Les cadres énumérés ci-dessus ne mentionnent pas spécifiquement PKI. Cependant, le site PKI est essentiel pour documenter la conformité d'une entreprise aux meilleures pratiques.
PKI implique l'utilisation de clés privées et publiques pour sécuriser les communications. Dans le contexte automobile, elle facilite les échanges sécurisés d'informations entre différents domaines :
Communication de véhicule à tout (V2X): Elle comprend les communications de véhicule à véhicule (V2V), de véhicule à infrastructure (V2I), de véhicule à piéton (V2P), de véhicule à domicile (V2H), etc. Le V2X est essentiel pour partager des informations vitales sur le fonctionnement des véhicules et l'état des routes. En exploitant le site PKI, les dispositifs peuvent garantir l'authenticité et la fiabilité des données échangées, ce qui renforce la sécurité.
Communication Plug and Charge (PnC): La technologie PnC permet de se passer de carte de crédit grâce à des paiements transparents et automatisés. PKI joue un rôle crucial dans cet écosystème, en sécurisant les communications et les transactions entre les véhicules, les stations de recharge et les systèmes dorsaux (ISO 15118).
Communication entre le véhicule et le nuage (V2C): V2C est utilisé lorsque des données doivent être partagées dans le temps et l'espace, par exemple dans des zones reculées. PKI garantit que les données échangées entre les véhicules et les systèmes dorsaux sont sécurisées et maintiennent l'intégrité et la confidentialité.
Mises à jour sécurisées par voie aérienne (OTA): Essentielle pour les mises à jour à distance des véhicules, la technologie OTA utilise PKI pour authentifier les sources de données et garantir la sécurité et l'inviolabilité de la mise à jour.
Boot sécurisé: Essentiel pour prévenir les attaques à la mise sous tension, le démarrage sécurisé garantit que le site software d'un véhicule est la dernière version et qu'il n'a pas été compromis.
L'informatique post-quantique (PQC)) : Les algorithmes résistants au quantum approchent rapidement. L'industrie automobile devra mettre à jour la cryptographie sur les véhicules existants, de sorte que la crypto-agilité est nécessaire pour assurer l'avenir.
Défis et solutions dans la mise en œuvre de PKI
L'intégration de PKI dans les systèmes automobiles n'est pas sans poser de problèmes. Des questions telles que l'évolutivité, la gestion du cycle de vie de l'identité numérique et la diversité de l'écosystème automobile constituent des obstacles importants. Toutefois, l'industrie progresse à grands pas :
Collaborations et partenariats: Les constructeurs automobiles, les fournisseurs de technologies et les experts en cybersécurité unissent leurs forces pour créer des solutions PKI évolutives et sécurisées, adaptées au secteur automobile.
Normes et protocoles ouverts: Ils sont essentiels pour assurer la cohérence des pratiques de cybersécurité entre les différentes marques et les différents modèles de véhicules.
Gestion du cycle de vie: Les gestionnaires du cycle de vie des certificats ciblant les cas d'utilisation de IoT facilitent la gestion à distance des certificats et des chaînes de confiance de PKI . Cela permet d'assurer une sécurité dynamique et solide des véhicules pendant leur durée de vie de 10 à 20 ans, ce qui est essentiel pour l'agilité post-quantique.
La voie à suivre
À mesure que les frontières entre les industries technologiques et automobiles s'estompent, le rôle de la cybersécurité devient plus critique. PKI offre un cadre solide pour protéger cette nouvelle ère de mobilité numérique. En comprenant et en abordant les complexités de PKI, l'industrie automobile peut relever efficacement les défis de cette transformation numérique.
Le chemin vers un avenir automobile sûr est complexe mais réalisable grâce à l'innovation, à la normalisation et à la collaboration continues. Pour les constructeurs automobiles comme pour les consommateurs, cela ouvre la voie à un avenir où la conduite connectée sera aussi sûre que transformatrice.
Pour en savoir plus sur l'émission et la gestion d'identités numériques sécurisées pour IoT et Enterprise, contactez-nous à l'adresse suivante [email protected].