Aucune faiblesse ne peut être tolérée en matière de sécurité IT pour les véhicules connectés et automatisés. Mais ces faiblesses n’affectent pas que le véhicule en lui-même ; elles pourraient conduire à ce que des hackers accèdent aux données du véhicule ou à des clés cryptographiques durant la fabrication, ou permettre des cyberattaques qui se propageraient au-delà du véhicule, dans les services de mobilité et systèmes backend associés. C’est pourquoi la sécurité automobile intégrée doit associer la sécurité IT durant la fabrication, la sécurité IT embarquée et la sécurité IT de l’entreprise.

La sécurité automobile démarre dès la production

La sécurité IT des véhicules ne s’avère efficace que dès lors qu’elle fait partie intégrante de leur développement et de leur fabrication. Parallèlement, la production des véhicules et de leurs composants individuels doit être protégée contre les cyberattaques et le vol de données. Si des hackers infectent les calculateurs avec des logiciels malveillants en cours de production par exemple, ou accèdent à leur matériel cryptographique, les conséquences peuvent être désastreuses.

En tant que spécialiste de la sécurité automobile, ESCRYPT dispose de compétences approfondies en matière de sécurité IT pour les processus de fabrication connectés dans l’industrie automobile. De plus, ESCRYPT propose une solution de sécurité pour la distribution et l’insertion de certificats et de clés cryptographiques durant la production des calculateurs. Le matériel clé fourni par les constructeurs automobiles est distribué en fonction des besoins entre les sites de production, où il est stocké sur des serveurs de production en vue d’être « injecté » dans les calculateurs durant le processus de fabrication. Cette technique peut être intégrée dans les infrastructures IT existantes des usines afin de garantir que les calculateurs peuvent échanger des données de manière sécurisée à bord des véhicules.

Protection des véhicules à l’aide de composants de sécurité embarqués
De plus, divers composants de sécurité sont requis pour protéger les véhicules sur la route à tous les niveaux fonctionnels, en fonction du degré d’interconnexion et d’automatisation. Cela va du processeur du calculateur individuel aux solutions de sécurité spécifiques pour la communication V2X et l’infrastructure IT du véhicule, en passant par la protection de la communication embarquée et de l’architecture E/E.

ESCRYPT propose une gamme complète de solutions de sécurité automobile embarquée qui interagissent en fonction de l’approche sécuritaire individuelle de chaque plateforme de véhicules : firmware HSM, bibliothèque cryptographique compatible ASPICE, pare-feu Automotive Ethernet, système de détection d’intrusion (IDS), protection des systèmes de verrouillage sans clé, SDK pour la communication V2X sécurisée et la protection de l’infrastructure V2X, ainsi que solutions pour la transmission sécurisée des données over the air.
Service backend : sécurité pour l’ensemble du cycle de vie du véhicule
Les services backend spécifiques à la sécurité sont indispensables pour préserver la sécurité IT des véhicules tout au long de leur cycle de vie, et durant de nombreux cycles de développement de cyberattaques. Dans le Security Operations Center, les cyberattaques menées sur la flotte de véhicules sont regroupées, évaluées à l’aide d’outils d’analyse auto-apprenants, examinées en détail, et des mises à jour de sécurité sont déployées. Il est également essentiel de protéger à tout moment les systèmes backend opérationnels, les systèmes d’hébergement et les flux de données pour les services en ligne connectés du véhicule (par exemple pour les mises à jour cartographiques) ou les services de mobilité (par exemple auto-partage ou service de transport individuel sur demande).

Les compétences en matière de sécurité automobile font l’objet d’exigences aussi strictes que celles applicables aux outils de sécurité IT traditionnels des entreprises. ESCRYPT propose des systèmes d’analyse du big data pour le backend de sécurité ainsi que des services de conseil et de sécurité pour la gestion des vulnérabilités et la réponse aux incidents.