Par Gérard Haas et Guillaume Guegan
Digne héritière de KITT, la voiture emblématique de la série américaine des années 80, K2000, le véhicule autonome et connecté (VAC)[1], fera la part belle aux nouvelles technologies, à l’écologie et à la connectivité.
Bien entendu, l’autonomie totale des voitures des particuliers n’est pas encore d’actualité et ne le sera peut-être d’ailleurs jamais au regard des défis technologiques, financiers et opérationnels qu’elle a à surmonter. A l’inverse, l’hypothèse de véhicules entièrement autonomes parcourant des trajets prédéfinis sur des itinéraires dédiés est d’ores et déjà une réalité. Par exemple, dans les aéroports.
Quel avenir pour le véhicule autonome et connecté ?
Le fantasme d’une voiture complètement autonome arpentant nos routes nourrit très largement les ambitions des constructeurs automobiles mondiaux qui entrevoient, et à raison, un avenir prometteur à leurs futures applications, softwares ou systèmes d’exploitation. C’est avec cette idée que par exemple Volkswagen développe son propre logiciel d’exploitation qui équipera à terme toute sa flotte de véhicules.
La raison de ces investissements est simple, dans une société de services où la maitrise du temps est un enjeu fondamental, notre environnement s’est résolument tourné vers l’ultra connectivité. Dans ce monde, le besoin en technologie s’intensifie, des mobilités alternatives irriguent les rues, la voiture interagit avec la ville et son environnement pour offrir à l’individu une expérience de transport personnalisée et optimisée.
La mobilité a entamé sa révolution juridique, écologique et technologique. Le constructeur se tournera vers la fourniture de services, le conducteur deviendra un passager et le propriétaire deviendra un utilisateur.
Le véhicule autonome et connecté, défi de la cybersécurité
Les voitures autonomes roulent grâce à l’intelligence artificielle qui se nourrit de données. Le problème est que cette autonomie expose de plus en plus ces voitures aux dangers de la cybersécurité.
L’enjeu de la collecte de données pour le véhicule autonome et connecté
La qualité et la rapidité des décisions que le véhicule va prendre ou des services qu’il sera en mesure de proposer va dépendre de la quantité et de la qualité des données récoltées.
Ces informations sont essentielles pour que le véhicule réagisse de la bonne façon à son environnement direct ou encore pour que le constructeur puisse proposer une expérience utilisateur personnalisée.
Or, plus le niveau d’autonomie du véhicule va augmenter et plus son niveau de sécurité sera faible. Au-delà d’appeler de ses vœux à un cadre législatif cohérent, il est donc indispensable que le secteur automobile adapte ses stratégies de lutte contre les cyberattaques.
Afin de fonctionner et de tendre à l’autonomie à laquelle les constructeurs aspirent, les voitures vont se muer en super ordinateur, en véritable objet « IoT », et pour cela elles vont intégrer un nombre toujours plus important de technologies, de capteurs et de softwares.
Selon la définition donnée par le Comité européen de la protection des données (CEPD), un véhicule connecté est équipé de nombreuses unités de commandes reliées entre elles au moyen de réseaux embarqués et de dispositifs de connectivité (Cloud, IoT, 5G ou Bluetooth).
Ceux-ci vont ainsi permettre de partager des informations, tant à l’intérieur du véhicule qu’à l’extérieur, c’est-à-dire avec son environnement, pour des finalités d’applications diverses telles que la sécurité, la mobilité, la gestion du véhicule ou encore le divertissement.
La problématique de la cybersécurité
Pour permettre à un VAC d’interagir avec son environnement, les communications vont être soit traitées en interne, soit relayées par des serveurs distants vers la voiture afin de lui donner une information précise et déterminée (sur la signalisation, le trafic, la météo, etc.) lui permettant de se déplacer dans un environnement donné (route, ville, etc.). L’autonomie du véhicule va donc dépendre pour partie de la rapidité avec laquelle les informations seront échangées et traitées.
Dans ces circonstances, la moindre interférence en capacité de subvertir les schémas de communication serait susceptible d’engendrer d’importantes conséquences (accident, détournement du véhicule, etc.). Les voitures seront donc naturellement exposées à des risques informatiques qui seront susceptibles de remettre en cause la sécurité de tout le système.
Par ailleurs, en reposant sur la collecte et le traitement d’énormes quantités de données, notamment personnelles et sensibles, qui seront partagées sur des réseaux par nature vulnérables, la conduite autonome soulève une autre problématique, celle de la protection et de l’accès à ces dernières.
En effet, les pirates vont être en mesure de scruter l’appareil, trouver une vulnérabilité que ce soit par la voiture, un de ses capteurs ou son environnement et ainsi s’introduire dans le système. Par ce biais, ils pourraient par exemple avoir accès aux informations bancaires du conducteur/passager, mais également à son identité, à ses éventuelles données de santé, à sa religion, à ses origines ethniques, etc.
La problématique d’un accès aux données collectées et traitées par un véhicule autonome et connecté sera par ailleurs décuplée par le passage futur à une mobilité partagée.
Comment lutter contre les dangers cyber potentiels ?
Les enjeux associés à la protection des données collectées et traitées par un véhicule autonome et connecté sont donc multiples et révèlent une problématique en réalité très complexe qui va concerner autant les passagers ou conducteurs, que les constructeurs ou encore le législateur à qui il incombe d’instaurer un cadre juridique propice à l’innovation.
Comment les constructeurs et les particuliers peuvent-ils prévenir et se prémunir contre les dangers cyber potentiels ?
Afin de lutter contre les dangers cyber potentiels, le rôle des individus est central. Ils devront ainsi être notamment informés et sensibilisés aux risques cyber attachés à l’utilisation de leur véhicule et ce comme ils le sont pour leur téléphone ou leur ordinateur.
En revanche, s’agissant des constructeurs, la solution se voudra plus innovante. Il va en effet s’agir pour les différents géants du secteur (constructeurs, fournisseurs de service en ligne…) d’assurer une protection efficace des données, mais également des fonctions et des ressources des véhicules tout en ne restreignant pas leur accès. La raison en est simple, ces dernières seront indispensables à l’adaptation de leurs services (entretien, autopartage, MaaS, assurance…) et à l’amélioration (ou autonomisation) de leurs technologies. Leur positionnement concurrentiel en dépend.
Les acteurs de l’automobile devront donc par exemple mettre en place des mesures de sécurité renforcées ainsi que des mécanismes de détection et de protection aptes à prévenir d’éventuelles atteintes évolutives, à limiter les intrusions, à protéger les données des individus, et à répondre avec célérité aux failles de sécurité.
Dans ces circonstances, la cybersécurité devra dans un premier temps figurer dans le processus de production. En d’autres termes, il s’agira pour les sociétés d’adopter une approche « by design » des fonctionnalités d’intelligence artificielle implémentées dans les véhicules. L’objectif se veut double. Il s’agira d’une part de sensibiliser l’ensemble de la chaîne d’approvisionnement à ces problématiques cyber et d’autre part, de mettre en place les moyens nécessaires pour documenter, prévenir, répondre et analyser l’ensemble des éventuels incidents de sécurité.
Pour cela, les outils d’intelligence artificielle utilisés devront être régulièrement évalués et mis-à-jour afin de s’assurer que le véhicule sera en mesure de faire face à des situations inattendues voire malveillantes. Les données reçues et émises devront être anonymisées et le RGPD respecté. Les composants du véhicule sécurisé et son « comportement » conservé afin de comprendre l’origine des attaques et la réponse apportée par le système.
Le rôle central du législateur
Quoi qu’il en soit, il appartiendra au législateur d’élaborer les politiques à mener afin d’apporter des solutions rapides et efficaces permettant de préserver tout autant la sécurité des voitures intelligentes que l’ensemble des usagers ou des passagers, mais également les intérêts économiques des constructeurs qui ne sauraient endosser, seuls, la responsabilité du développement des véhicules autonomes et connectés.
***
Le Cabinet HAAS Avocats est à votre disposition pour vous assister et vous accompagner dans l’élaboration de votre stratégie juridique ou judicaire et pour accompagner en cas de faille de sécurité ou de contentieux en cybercriminalité. Pour nous contacter, cliquez-ici.
[1] Selon l’Organisation internationale des constructeurs automobiles, il existe 6 niveaux de véhicules intelligents. Le niveau indique une absence d’autonomie, tandis que le niveau 1 à 5 englobe les 5 niveaux d’autonomie.