Hier, l'équipe Automotive Industry Team de Foley & Larnder LLP (oui, nous) a organisé son événement annuel au Salon international de l'automobile nord-américain à Detroit, dans le Michigan. Évitant les sujets trop restreints ou trop spécifiques, nous avons démarré l'année 2017 en essayant de prédire ce qui allait se passer dans le domaine des voitures connectées en 2017.
Notre journée a commencé avec Joseph Kwederis, responsable de la cybersécurité automobile chez Deloitte & Touche LLP. Il va sans dire que le profil de risque de l'industrie automobile ne cesse de s'étendre. Pour un seul véhicule, les entreprises doivent se préoccuper de leurs propres systèmes d'entreprise, des systèmes du véhicule, des systèmes connectés du consommateur dans le centre d'infodivertissement (et de tous les appareils connectés) et de l'interconnexion de tous ces systèmes avec l'environnement immédiat. Les risques augmentent de manière exponentielle, et non linéaire, à chaque connexion. Que faire ? M. Kwederis conseille aux entreprises d'être sécurisées, vigilantes et résilientes. En d'autres termes, quels sont les systèmes mis en place pour protéger tous ces systèmes dans votre entreprise ? Une fois ces systèmes en place, vous contentez-vous de les configurer et de les oublier, ou bien vous les entretenez et les surveillez ? Enfin, lorsque quelque chose ne va pas – ce qui est inévitable –, quel est votre plan pour y remédier ?
M. Kwederis a souligné que l'un des principaux motifs des cyberattaques était le vol de propriété intellectuelle, quel que soit le secteur d'activité. Ainsi, nos prochains intervenants, Pavan Agarwal et Chanley Howell, ont discuté de la manière de protéger la propriété intellectuelle d'une entreprise. L'une des premières questions abordées était la suivante : à qui appartient la propriété intellectuelle ? Les véhicules et les commandes étant si intégrés, et souvent développés conjointement, il est préférable que les entreprises abordent cette question dès le début de leur relation. Cela peut aider à déterminer qui est responsable de la mise en place d'une protection en matière de cybersécurité. Une autre question concernait le cadre réglementaire confus. Tous ceux qui lisent cet article savent que la NHTSA réglemente le secteur. Mais en matière de cybersécurité, n'oubliez pas la FCC ou la FTC. Elles ont également des réglementations que votre entreprise doit respecter.
De plus, lorsque vous réfléchissez à votre cybersécurité, vous devez absolument vous protéger dès aujourd'hui. Mais si vous ne pensez pas à ce qui se passera dans 5 ans, 10 ans ou plus, vous êtes déjà en retard. Pensez aux préoccupations en matière de cybersécurité qui existaient en 2006. Comment les programmes, les ordinateurs ou les téléphones étaient-ils protégés ? Il y a 10 ans, l'iPhone est apparu. Aujourd'hui, les mots de passe sont biométriques. Vos systèmes actuels vous protègent-ils contre cela ? Quels seront les mots de passe en 2021 ? La reconnaissance faciale, les scanners oculaires et bien d'autres technologies sont plus proches que la plupart des gens ne le pensent. Les affaires seront-elles menées via le centre d'infodivertissement d'un véhicule personnel ou d'entreprise, et comment seront-elles stockées, consultées et protégées ?
Neil Steinkamp, de Stout Risius Ross, a identifié plusieurs risques pour les fournisseurs automobiles. Le premier risque était le regain d'intérêt de la NHTSA. Non seulement pour la cybersécurité, mais aussi directement pour les fournisseurs eux-mêmes. Il a recommandé aux fournisseurs d'adopter une nouvelle approche pour identifier les risques. La technologie évolue si rapidement que de nombreuses entreprises n'ont même pas pris le temps de s'interroger sur les risques auxquels elles s'exposent. Commencez par identifier les risques inconnus en examinant vos données. Données de la NHTSA, données sur les garanties, données sur les ventes, données sur l'industrie, etc. Collectez-les, analysez-les, identifiez les risques dont votre entreprise n'avait même pas conscience. Par exemple, en ce qui concerne le freinage d'urgence en cas de collision imminente, une partie de l'évaluation des risques consiste à savoir combien d'accidents impliquent des collisions par l'arrière : plus il y a de collisions par l'arrière, plus cette technologie présente de risques. De même, combien de plaintes ont été déposées auprès de la NHTSA à ce sujet : ces données sont accessibles au public.
Kiran Nayee, de JLT Specialty, a fait remarquer que le rythme et le coût des rappels automobiles, toutes causes confondues, s'accéléraient. Ces rappels coûtent généralement cinq fois (5x !) le coût initial de distribution des mêmes produits. À mesure que la NHTSA élargit son champ d'action, passant du matériel informatique aux logiciels, les risques et les coûts liés aux rappels ne font qu'augmenter.
