Les directives de cybersécurité du Royaume-Uni pour les véhicules connectés ne sont pas ennuyeuses, mais beaucoup plus d'informations sont nécessaires

Bob Emmerson

Cela a commencé comme un examen d'une publication du gouvernement britannique intitulée « Les principes clés de la cybersécurité pour les véhicules connectés et automatisés, " des mots qui semblaient ennuyeux comme un fonctionnaire.

Oubliez ça, dit Bob Emmerson, rédacteur indépendant pour l'IoT :c'est tout sauf ennuyeux. Ce document est court, 18 pages; bien écrit, facile à lire; et bourré de directives percutantes qui s'appliquent aussi bien à d'autres secteurs industriels.

Cela fonctionne bien comme introduction à la cybersécurité, mais pour quiconque s'intéresse sérieusement au sujet, cela semble quelque peu superficiel. Il y a sept pages de dessins au trait joliment conçus de pièces automobiles qui n'ajoutent rien vraiment.

Ils auraient pu et auraient dû être utilisés pour fournir plus de contenu sur des sujets importants sans tomber dans les détails techniques. Des sujets tels que l'authentification sécurisée, l'utilisation de technologies éprouvées basées sur des normes et des solutions qui exploitent les certificats numériques pour fournir le plus haut niveau de sécurité. Des commentaires similaires sont venus de spécialistes de l'industrie.

Gary McGraw, vice-président de la technologie de sécurité chez Synopsys a commenté : " Compter sur un gouvernement pour réglementer les véhicules autonomes ne sera probablement pas très fructueux, surtout en matière de sécurité. La réglementation sur la confidentialité en Europe (et au Royaume-Uni) peut avoir un meilleur impact. Heureusement, les fabricants intensifient leurs efforts et travaillent avec diligence sur la sécurité. Ils sont beaucoup plus susceptibles de bien faire les choses avec des entreprises comme Synopsys sans que le gouvernement soit impliqué du tout. »

Il y avait aussi des doutes de Leigh-Anne Galloway, responsable de la résilience de la cybersécurité chez Positive Technologies :« Les principes clés proposés semblent raisonnables, mais nous doutons qu'ils soient suffisants pour assurer la sécurité lorsqu'il s'agit de vraies technologies. Le principe le plus douteux est le dernier, affirmant que le système devrait « répondre de manière appropriée lorsque sa défense ou ses capteurs échouent ». Si les capteurs n'ont pas échoué mais sont compromis, ils peuvent fournir des données erronées et mettre en danger des vies humaines. »

« Un autre principe qui serait difficile à mettre en pratique est celui qui dit que « toutes les organisations, y compris les sous-traitants, les fournisseurs et les tiers potentiels (devraient) travailler ensemble pour améliorer la sécurité du système ». Bien que nous soyons d'accord avec cette directive, certains des récents incidents liés à l'IoT prouvent que ce concept est difficilement possible. Les fournisseurs de télécommunications ne connaissent pas les vulnérabilités de leurs routeurs fabriqués quelque part en Chine. Les agents de sécurité ne connaissent pas les portes dérobées des caméras de surveillance qu'ils utilisent », a ajouté Galloway.

Ilia Kolochenko, PDG de la société de sécurité Web, High-Tech Bridge a déclaré :« C'est un signe très positif et un effort louable finalement entrepris par le gouvernement. Les voitures connectées, et l'industrie de l'IoT en général, ont besoin d'une réglementation gouvernementale et de l'application de normes de sécurité strictes.

«Cependant, nous avons besoin de directives pratiques beaucoup plus détaillées avec la contribution d'experts, de praticiens et de chercheurs de pointe en matière de cybersécurité, et pas seulement un ensemble de meilleures pratiques généralisées. De plus, une violation des directives doit être sévèrement sanctionnée, sinon les vendeurs de voitures, et en particulier leurs fournisseurs, les ignoreront probablement », a conclu Kolochenko.

Pour obtenir cette publication, cliquez ici.

L'auteur de ce blog est Bob Emmerson, rédacteur indépendant et observateur de l'industrie des télécommunications