L’industrie automobile a du mal à créer une cyber-fiducie

Dec 18, 2023

Pour un écosystème réussi, il doit y avoir une compréhension difficile à voir et pourtant continue de la part des gouvernements, des fabricants, des fournisseurs et des sous-traitants que des conceptions, des tests et des améliorations appropriés sont installés et maintenus pour instaurer la confiance dans la cybersécurité.

Le refrain de l'hymne de John W. Peterson de 1970 est : « Je te ferai confiance quand je ne peux pas voir, quand je serai confronté à l'adversité, et je croirai que ta volonté est toujours la meilleure pour moi. Je ferai confiance quand je ne peux pas voir. Bon pour une église, peut-être, mais telles n'ont pas été les paroles du kumbaya automobile au cours de la dernière décennie depuis que Wired Magazine a présenté Charlie Miller et Chris Valasek piratant à distance une Chrysler. Cette étape technologique a alerté l’industrie du déluge imminent de piratages et a mis en évidence le besoin urgent de renforcer la confiance dans la fidélité du système dans son ensemble.

Cette confiance, cependant, est complexe et à plusieurs niveaux : la confiance des développeurs, la confiance de l’écosystème et la confiance des acheteurs.

Faire confiance à un fournisseur qui a produit une conception, un code et des tests pour sécuriser le système nécessite un système qui doit aborder de nombreux contrôles et suivis.

Les couches de confiance du fabricant vers le bas sont presque aussi profondes que le thriller « Inception » de 2010. Le PDG doit faire confiance au responsable de la sécurité de l'information (RSSI), qui doit faire confiance à l'encadrement intermédiaire pour superviser les exigences intégrées aux programmes des véhicules (ainsi que l'informatique interne) qui respecteront ou dépasseront les réglementations du monde entier. À partir de là, l'ingénieur en chef doit être sûr que les développeurs du fabricant et des fournisseurs ont assimilé les exigences techniques de sécurité et formulé un processus et un produit qui assurent la détection et la protection souhaitées. Par la suite, le développeur s’assure que l’ingénieur de test a développé des plans de test et des scripts pour détecter toute vulnérabilité. Et puis tout cela se répétera au cours des vingt années suivantes, à mesure que de nouvelles cyberattaques surgiront. Sur chaque véhicule. Dans tous les systèmes. Dans chaque composant.

Solution 1 : La première solution, ancienne, consiste à évaluer le processus. Si les ingénieurs suivent les directives et les listes de contrôle, les produits de travail doivent respecter les normes.

Solution 2 : La deuxième solution est arrivée récemment, début 2023 : les plateformes de co-test. Dans ces types de systèmes, les fournisseurs chargent le code dans un environnement de test derrière un rideau semi-transparent. Le fabricant peut voir que le code a été testé par rapport à toutes les normes appropriées et aux menaces connues, mais n'a pas de visibilité sur la propriété intellectuelle (IP), les faiblesses exactes trouvées, etc. afin que la confiance puisse être établie dans la solution sans révéler quoi que ce soit de propriétaire. ou accablant. « Aujourd’hui, le processus de cybersécurité des véhicules est très ardu ; de nombreuses listes de contrôle tout au long du processus générant des tonnes de documents prouvant qu'ils ont fait les bons efforts d'ingénierie pour sécuriser le véhicule », déclare le fondateur et PDG de Block Harbor, Brandon Barry. « Tout cela doit se produire alors que le modèle économique de l'entreprise est bouleversé. [De tels systèmes] peuvent leur permettre de partager des données en direct entre le constructeur automobile et le fournisseur en termes de données importantes pour les normes et réglementations afin que la confiance puisse être rétablie dans la nouvelle solution et permettre des mises à jour rapides.

Une partie du défi », explique Murtada Hamzawy, COO de Block Harbor, « réside dans le fait que, tout en essayant de surmonter ces défis commerciaux, un nouveau niveau de confiance est requis ; plus qu'avant. Disposer d’une plateforme où toutes les parties peuvent voir en temps réel que les tests appropriés ont été effectués permet de garantir rapidement cette relation de confiance.

L'écosystème dans son ensemble comptait de nombreux acteurs – publics et privés – où les conceptions, les tests et les améliorations sont installés et maintenus pour renforcer la confiance dans la cybersécurité.

Imaginez la confiance et la méfiance simultanées qui sont nécessaires : la confiance dans le partage d'informations sur les attaques connues et la méfiance dans le fait que d'autres acteurs ne partageront pas accidentellement (ou intentionnellement) des informations de sécurité, n'imposeront pas de nouvelles réglementations ou n'utiliseront pas de manière malveillante des données partagées pour gagner sur le marché.