Les constructeurs automobiles sont, bien entendu, des entreprises, et comme telles, elles partagent bon nombre de points communs avec leurs homologues.
Véhicule autonome, ma petite entreprise
Aujourd’hui, elles doivent répliquer leur modèle SSI à la sécurité des véhicules qu’elles construisent. En effet, véhicules connectés et véhicules autonomes rassemblent toutes les caractéristiques d’une véritable petite entreprise. A moins qu’il ne s’agisse d’une grande multinationale.
Échange d’informations
Au sein de votre entreprise, vous vous demandez peut-être comment échanger des informations avec les autres sites ou avec les partenaires/fournisseurs. Sur la route, savez-vous comment votre nouveau bolide va communiquer avec les autres véhicules ou avec l’infrastructure ?
Une entreprise se doit d’organiser un échange fluide et sécurisé d’informations en interne comme avec l’extérieur. Pour couvrir ce besoin, vous devrez mettre en place une solution garantissant au minimum la confidentialité des données. Souvent, viendront aussi s’ajouter les critères de l’intégrité, voire de la disponibilité et même de la traçabilité selon le cas rencontré par chacun. Un véhicule est lui aussi concerné par la double problématique on-board / off-board. L’échange de données doit être efficace à l’intérieur de la voiture (par exemple entre les différentes pièces qui vous éviteront collectivement une perte de contrôle) comme à l’extérieur, notamment vis-à-vis des autres véhicules (car to car) et de l’infrastructure (car to infrastructure). Assurer la confidentialité, l’intégrité, la disponibilité et la preuve des communications est ici essentiel.
Accès physique
Apparaît d’emblée la problématique de l’accès physique. Autant mieux vaut permettre au personnel d’entrer dans les locaux pour travailler, autant le conducteur a intérêt à pouvoir s’installer derrière le volant pour conduire. Ces accès doivent d’abord être sécurisés pour empêcher toute intrusion illégitime.
Dans les deux cas, un badge est bien souvent utilisé comme moyen d’authentification simple. Ce bien matériel est en outre support à des fonctions complémentaires comme le paiement au restaurant d’entreprise ou le démarrage du véhicule. Enfin, chacun contient ou est lié à divers paramètres (droits d’accès, préférences de confort dans l’habitacle…).
Toutefois, une grande différence réside entre le monde de l’entreprise et celui de l’automobile : alors que le badge d’accès aux locaux est la plupart du temps personnel, le prêt de véhicule est aujourd’hui de plus en plus encouragé ! Ainsi, c’est en partie du fait de l’explosion de l’autopartage que l’antique clé de voiture est en constante évolution. La clé virtuelle est promise à un bel avenir et, puisque son principe est récent, elle bénéficie d’un concept de security by design. De quoi rassurer les conducteurs et servir d’exemple au monde industriel.
Comment géolocaliser les salariés ? les véhicules ?
Autre point de divergence, la géolocalisation. Dans l’entreprise, tracer les déplacements des salariés est très encadré : la question des données personnelles intervient soit en amont pour interdire la géolocalisation soit en aval pour anonymiser ces données ou imposer un traitement adéquat. Il vous faudra donc aborder le sujet d’un point de vue tant réglementaire que technologique. Pour vous aider, la CNIL édite un flyer et un guide sur la géolocalisation des salariés.
Dans cette problématique, on pense immédiatement aux trajets routiers. En excluant le salarié de l’équation, géolocaliser un véhicule est une évidence et permet en outre bien des services. Cela est devenu une fonctionnalité obligatoire en dépit de la persistance du devoir de protection des données personnelles qui ira toujours de pair. Au-delà du traditionnel guidage GPS, les cas d’usages sont variés, à proximité (trouver un véhicule autopartagé), en s’affranchissant des distances (suivi d’un véhicule volé), en zone blanche (parking en sous-sol)… Chaque fois, il faut penser à la sécurité des données échangées et stockées tout en sélectionnant les meilleurs moyens de communication.
Gestion des comptes
Justement, comment stocker les données ? Les données d’identification et les données d’utilisation.
Comme suggéré plus haut, la gestion des accès sous-entend plus largement l’association de droits et de données personnelles. La vie du salarié est notamment traitée dans l’ISO 27001 qui préconise de gérer les comptes utilisateur en traitant les cas de l’arrivée, de l’évolution, de l’absence et du départ de celui-ci. Quoi qu’il en soit, tous les types de données justifient la protection adéquate de celles-ci et leur conservation sur une durée adaptée. Localement ou dans le cloud, on pensera également à la supervision et aux copies de sauvegarde.
Je vous confirme que, de plus en plus souvent, les automobilistes possèdent un voire plusieurs comptes (inscription avec login/password) qui associent un propriétaire ou un conducteur lambda à une voiture. Dès lors, les situations se multiplient depuis l’achat du véhicule jusqu’à sa revente en passant par son prêt, son vol ou sa destruction… Les questions de révocation, de suppression de compte, etc., s’avèrent rapidement essentielles et d’autant plus complexes que l’auto est, par définition, mobile. Pire, tout cela est partagé entre différents supports, du véhicule lui-même jusqu’au cloud en passant par le smartphone. La synchronisation ne saurait souffrir d’aucune incohérence.
Téléchargez cette ressource
Livre blanc Sécurité et Stockage des documents
Découvrez dans ce livre blanc Kyocera les outils logiciels qui permettent une approche holistique et efficace de la collecte, du stockage, de la gestion et de la sécurisation des documents en entreprise.
Logiciels et applications
N’oublions pas que pour exploiter toutes ces informations il faut bien sûr des outils, des interfaces. Mais comment accéder à mes logiciels, comment accéder à mes apps ?
Pour remplir leur mission, tous les salariés voudront accéder à « leurs » logiciels de façon transparente. L’absence de contrainte est nécessaire pour que chacun utilise l’outil voulu au moment voulu. Cette fois, il semble plus parlant de pousser la comparaison/l’analogie avec le conducteur du véhicule. Ce dernier est avant tout un client qui en veut pour son argent et souhaite donc facilement bénéficier de toutes les apps l’ayant fait rêver avant l’achat. IHM, délai d’accès, temps de latence, etc., tout doit être conçu pour satisfaire l’usager.
La question sous-jacente est en outre de savoir comment ne pas restreindre les usages par des mesures de sécurités trop contraignantes. Par exemple, un processus d’authentification inadapté (multiplication des couples login/password) risque de décourager le salarié à utiliser tel logiciel ou le conducteur à utiliser telle application et au final promet une perte d’argent. L’inutilisation et l’utilisation illégitime doivent absolument être évitées.
Vous l’aurez compris, si le salarié est une pièce maîtresse de l’entreprise, le conducteur (voire le passager) se place en élément essentiel dans les réflexions entourant le développement d’un véhicule, connecté ou non.
Il faut maintenir le niveau de service pour que le personnel d’une entreprise ne subisse aucune perturbation. Organiser les mises à jour est impératif. Hors de question de demander à chacun de se rendre au département informatique pour mettre à jour l’antivirus de son ordinateur. Inenvisageable d’interrompre un cycle de production pour débugger une IHM… Et il en va de même côté véhicule où le client devra jouir de la même qualité de service en ville comme en campagne et où l’obliger à un aller-retour en concession sera souvent déconseillé.
BYOD
Intéressons-nous enfin à l’une des dernières problématiques apparues dans le monde professionnel. Si le BYOD est toujours sujet à débat dans une entreprise, il est incontournable dans une voiture. Plus encore, au-delà de la réplication d’écran, il est devenu obligatoire de proposé une plus-value à l’expérience automobile via des services sur le smartphone. Il s’agit là d’enrichir l’expérience automobile grâce aux interactions smartphone-véhicule.
D’abord résumé à l’ordinateur portable, le BYOD s’est rapidement étendu à d’autres équipements. Or seule une infime part des objets connectés du marché est totalement sécurisée. Ces mêmes objets qui se retrouvent utilisés par les salariés et potentiellement connectés au SI de l’entreprise. Les bracelets connectés (voir plus haut) peuvent par exemple jouer un rôle essentiel dans la gestion de la sécurité physique et logique des entreprises. En embarquant l’identité numérique des employés, ils remplacent les badges d’accès tout en permettant de se connecter au réseau informatique de l’entreprise et d’avoir accès à certaines données des appareils mobiles grâce à des mécanismes d’authentification forte.
En voiture, la situation est similaire. Cela se joue entre d’une part le smartphone du conducteur et des passagers et d’autre part les capteurs embarqués (bientôt aussi les interfaces off-board). Le smartphone peut non seulement afficher des informations remontées par le véhicule mais aussi agir sur celui-ci en paramétrant des préférences de conduite ou en démarrant le moteur. Les constructeurs automobiles anticipent les risques et les vulnérabilités, la sécurité doit être intégrée dans les développements dès le début de la conception et une fonctionnalité de mise à jour à distance doit être prévue. En outre, la protection devrait là encore passer par des mécanismes d’authentification.
Pour conclure avec le smartphone, savez-vous que des applications (notamment bancaires) refusent de fonctionner sur un appareil jailbreaké ? Des réflexions doivent être engagées, des choix doivent être faits…
En conclusion
Entreprise, véhicule, même combat ? Oui et non. Des similitudes sont à prendre en compte tout en distinguant les spécificités pour ne pas céder au bête et dommageable copié-collé.
La bonne démarche à suivre consiste à faire évoluer un modèle ou même créer un nouveau modèle pour la voiture… Il semble toutefois que chaque monde a intérêt à prendre exemple sur l’autre.
On pourrait presque évoquer la théorie des boîtes. Vous travaillez dans une boîte, vous vivez dans une boîte (appartement ou maison), vous circulez dans une boîte (avec quatre roues)… Toutes, elles se séparent et elles s’imbriquent, elles se copient et elles innovent, elles s’adaptent et elles s’imposent. La quête du juste équilibre est permanente. Quant à la boîte dans laquelle vous finirez, qu’elle soit connectée ou non devrait être le dernier de vos soucis !