Les voitures victimes de cyberattaques

Les voitures victimes de cyberattaques

Selon le « Rapport sur la situation de l'industrie automobile » de l'Office fédéral allemand pour la sécurité de l'information (BSI), les attaques de ransomwares constituent actuellement la plus grande menace opérationnelle pour la cybersécurité. L'industrie automobile exige donc de plus en plus de ses fournisseurs des évaluations TISAX en matière de sécurité des informations, qui sont divisées en trois classes (niveaux) de protection. Bon nombre des quelque 900 équipementiers automobiles autrichiens sont également concernés. CIS – Certification & Information Security Services GmbH y répond et propose désormais des évaluations de niveau 2 en plus du niveau 3. CIS est une société de services autrichienne dans le domaine de la certification des systèmes de gestion et de la certification des personnes.

"L'industrie automobile est particulièrement étroitement liée en raison de la pyramide complexe des fournisseurs - le risque d'une réaction en chaîne en cas de cyberattaque est donc élevé", explique Christoph Schuh-Wendl, directeur de TISAX et partenaire du réseau CIS. Depuis le déclenchement du conflit russo-ukrainien, la sensibilité à ce sujet s’est encore accrue. En effet, il n'est pas possible pour les fournisseurs de développement du secteur de soumettre des offres s'ils ne disposent pas des certificats et labels requis. Alors que les certifications selon IATF 16949 (qualité), ISO 14001 (environnement) ou sécurité au travail (45001) sont depuis longtemps des exigences standard dans l'industrie automobile, les évaluations TISAX sont également de plus en plus exigées récemment. TISAX (Trusted Information Security Assessment Exchange) est un mécanisme d'échange spécifique à l'industrie dans le domaine de la sécurité de l'information. "Toutes les entreprises doivent d'abord s'inscrire sur la plateforme dite ENX des constructeurs automobiles, puis se soumettre à une évaluation. Une fois les résultats des tests disponibles, les étiquettes de test délivrées peuvent ensuite être consultées par tous les partenaires commerciaux existants et potentiellement nouveaux sur la plateforme, à condition que ces informations soient partagées avec eux", explique Schuh-Wendl. Au début, les constructeurs automobiles n'exigeaient TISAX qu'à leurs fournisseurs directs (niveau 1), mais désormais, la tendance affecte également la chaîne d'approvisionnement en aval (niveau 2).

Si les entreprises sont impliquées d'une manière ou d'une autre dans le développement de véhicules, des évaluations de niveau 2 sont généralement requises - des développeurs de logiciels aux bureaux d'études ou même aux entreprises d'élimination des déchets. "Chaque morceau de papier jeté négligemment peut constituer un risque pour la sécurité. Le catalogue de tests se concentre particulièrement sur les domaines de la confidentialité (espionnage industriel), de la disponibilité, de la cybersécurité ainsi que de l'intégrité et de la sensibilisation des employés et des fournisseurs", souligne Schuh-Wendl. Klaus Veselko, directeur général de CIS - Certification & Information Security Services GmbH, est convaincu que les exigences de sécurité vont augmenter à l'avenir : « En raison de la transition vers l'e-mobilité, la numérisation dans l'industrie automobile va progresser rapidement - cela augmentera également les exigences de sécurité pour les développeurs.