L’enjeu de la cybersécurité des véhicules connectés

Géo­lo­ca­li­sa­tion, habi­tudes de conduite, score d’usure, charge de la bat­te­rie, info-diver­tis­se­ment, fonc­tion­na­li­tés d’assistance à la conduite… Une voi­ture moderne com­porte plus de de 100 mil­lions de lignes de code¹, soit beau­coup plus qu’un avion de ligne. Ces véhi­cules, bar­dés de logi­ciels, fonc­tionnent avec des cen­taines de cap­teurs dont les objec­tifs sont : l’amélioration de la conduite, le confort, l’efficacité éner­gé­tique et, plus lar­ge­ment, de contri­buer à la sécu­ri­té rou­tière et à l’optimisation des infrastructures.

Loin de leur sta­tut ini­tial de « simples » machines méca­niques, les véhi­cules sont aujourd’hui de véri­tables ordi­na­teurs ambu­lants. « Qua­si­ment tous les com­po­sants d’un véhi­cule moderne pro­duisent de la don­née. Cer­taines don­nées sont exclu­si­ve­ment liées au véhi­cule, comme la tem­pé­ra­ture du moteur ou le nombre de tours par minute, et d’autres sont liées à l’usager », explique Tho­mas Le Goff, maître de confé­rences en droit et régu­la­tion du numé­rique à Télé­com Paris.

Ces infor­ma­tions créent inévi­ta­ble­ment de nou­velles vul­né­ra­bi­li­tés en termes de sécu­ri­té, que ce soit pour les cybe­rat­taques, le cyber-espion­nage ou pour la pro­tec­tion des infor­ma­tions per­son­nelles. Com­ment conci­lier, d’une part, le néces­saire par­tage des don­nées entre les uti­li­sa­teurs et les four­nis­seurs de ser­vices liés à la mobi­li­té (main­te­nance, aide à la conduite, diver­tis­se­ment…) et, d’autre part, la confi­den­tia­li­té de ces données ?

Dans les faits, en Europe, le sec­teur est régi par un « mille-feuille » de textes régle­men­taires, dont le Règle­ment Géné­ral sur la Pro­tec­tion des Don­nées (RGPD), le Cyber Resi­lience Act, ou encore le tout récent règle­ment de l’Union euro­péenne sur les don­nées (Data Act). Cet ensemble de normes se super­pose à un cor­pus four­ni de règles sec­to­rielles natio­nales et inter­na­tio­nales, ce qui rend le pay­sage juri­dique par­ti­cu­liè­re­ment com­plexe pour l’industrie automobile.

Les don­nées géné­rées par un véhi­cule, comme celles des autres ser­vices ou objets connec­tés, doivent désor­mais être acces­sibles aux usa­gers et trans­mis­sibles au tiers de leur choix

« Nous sou­hai­tons com­prendre l’articulation des dif­fé­rents textes pour sup­pri­mer les redon­dances, sim­pli­fier les champs d’application, cla­ri­fier la res­pon­sa­bi­li­té de chaque acteur, et limi­ter le nombre d’obligations à ce qui est stric­te­ment néces­saire », explique Tho­mas Le Goff, qui mène ses tra­vaux au sein de la Chaire de recherche sur la cyber­sé­cu­ri­té intel­li­gente pour les sys­tèmes de mobi­li­té (« Intel­li­gent Cyber­se­cu­ri­ty for Mobi­li­ty Sys­tems »). « Nos tra­vaux peuvent contri­buer à la sim­pli­fi­ca­tion des textes aux niveaux fran­çais ou euro­péen », sou­ligne-t-il. Mise sur pied par Télé­com Paris avec six grands par­te­naires indus­triels (Renault, Tha­lès, Solent, ZF Group, IRT Sys­temX et Bos­ton Consul­ting Group), la Chaire vise jus­te­ment à aider les entre­prises à navi­guer dans ce cadre juri­dique en constante évo­lu­tion, en plus de déve­lop­per de nou­velles approches pour ren­for­cer la sécu­ri­té des véhi­cules connectés.

Concer­nant ce cadre juri­dique en pleine évo­lu­tion, le Data act, appli­cable depuis sep­tembre 2025, vient aug­men­ter la cir­cu­la­tion des flux de don­nées entre uti­li­sa­teurs et entre­prises (BtoC), entre entre­prises (BtoB) et entre les entre­prises et les auto­ri­tés publiques (BtoG). Le règle­ment « est conçu pour res­pon­sa­bi­li­ser les uti­li­sa­teurs, tant les consom­ma­teurs que les entre­prises, en leur don­nant un plus grand contrôle sur les don­nées géné­rées par leurs pro­duits connec­tés, tels que les voi­tures ou les machines indus­trielles. Il jette les bases d’une éco­no­mie euro­péenne des don­nées ouverte, com­pé­ti­tive, équi­table et inno­vante », indique la Com­mis­sion euro­péenne².

Autre­ment dit, les don­nées géné­rées par un véhi­cule, comme celles des autres ser­vices ou objets connec­tés, doivent désor­mais être acces­sibles aux usa­gers et trans­mis­sibles au tiers de leur choix. « Typi­que­ment, on pour­ra avoir un sys­tème GPS ou d’assistance à la conduite déve­lop­pé par une entre­prise fran­çaise avec des don­nées qui sont héber­gées en France, assu­rant un haut niveau de sou­ve­rai­ne­té, là où aujourd’­hui, c’est for­cé­ment le fabri­cant qui a la main sur toutes les don­nées », décrypte Tho­mas Le Goff.

Ce fai­sant, le règle­ment crée tou­te­fois une ten­sion entre la dyna­mique d’ouverture des don­nées et les cri­tères de sécu­ri­té, puisque les entre­prises doivent res­pec­ter ces obli­ga­tions tout en pro­té­geant la vie pri­vée, les secrets indus­triels et les tech­no­lo­gies pro­prié­taires. « Cette ten­sion est l’objet de deux thèses au sein de la Chaire : l’une sur l’articulation des régle­men­ta­tions de cyber­sé­cu­ri­té dans le sec­teur auto­mo­bile, et l’autre sur les mesures tech­niques pour conci­lier la dyna­mique d’ouverture et celle de sécu­ri­sa­tion des don­nées », indique le juriste.

Les ques­tions sou­le­vées sont mul­tiples. Quel degré de secret indus­triel sou­haite-t-on pro­té­ger ? Quelle tech­no­lo­gie de chif­fre­ment mettre en place pour pou­voir par­ta­ger ces don­nées de façon sécu­ri­sée ? Com­ment inté­grer les garan­ties de cyber­sé­cu­ri­té à toutes les étapes du cycle de vie d’un véhi­cule qui peut cir­cu­ler une quin­zaine d’années ?

Chose cer­taine, « le but du règle­ment sur les don­nées n’est pas de mettre des contraintes, rap­pelle l’expert. Le but est de for­cer les acteurs qui ont une inci­ta­tion éco­no­mique à gar­der des infor­ma­tions secrètes à les libé­rer pour que d’autres entre­prises puissent créer des ser­vices. » L’idée : sti­mu­ler la com­pé­ti­ti­vi­té euro­péenne en « ouvrant » les don­nées issues des objets connectés.

En ouvrant ain­si les flux de don­nées, le Data Act peut poten­tiel­le­ment contri­buer à aug­men­ter la sou­ve­rai­ne­té numé­rique, en rédui­sant les dépen­dances stra­té­giques vis-à-vis des acteurs non européens.

Rap­pe­lons que plus de 70 % des don­nées³ des entre­prises euro­péennes sont sto­ckées sur des clouds  majo­ri­tai­re­ment amé­ri­cains et chi­nois. « Dans les textes de cyber­sé­cu­ri­té et dans les nou­velles régle­men­ta­tions sur les don­nées, des dis­po­si­tions imposent aux entre­prises de pro­té­ger les don­nées contre des accès poten­tiels par des puis­sances étran­gères », indique Tho­mas Le Goff.

En effet, à l’instar du Cloud Act ou du FISA aux États-Unis, plu­sieurs juri­dic­tions étran­gères per­mettent d’accéder à des don­nées héber­gées par leurs entre­prises, même si celles-ci sont phy­si­que­ment sto­ckées sur un ter­ri­toire euro­péen. « Ces lois extra­ter­ri­to­riales com­plexi­fient encore plus le tableau. L’idée est de loca­li­ser la don­née en Europe, de mettre en place des mesures pour évi­ter qu’un acteur sou­mis à une légis­la­tion étran­gère comme Ama­zon ou Micro­soft puissent exfil­trer des données… »

À ce sujet, le Data Act abo­lit éga­le­ment les bar­rières qui empê­chaient jusqu’ici de migrer faci­le­ment vers un autre pres­ta­taire. Il oblige les four­nis­seurs de ser­vices de cloud com­pu­ting à garan­tir la por­ta­bi­li­té des don­nées, ce qui per­met aux entre­prises de dépla­cer libre­ment leurs don­nées et de se libé­rer des sys­tèmes pro­prié­taires et des infra­struc­tures cloi­son­nées. « Mais il n’y a pas de solu­tion idéale, aver­tit Tho­mas Le Goff. L’immunité totale aux lois extra­ter­ri­to­riales, comme le FISA des États-Unis ne peut que très dif­fi­ci­le­ment être garan­tie dans la pra­tique. Il suf­fit qu’une entre­prise ait des acti­vi­tés sur le ter­ri­toire d’un État tiers pour ris­quer de se voir impo­ser des obli­ga­tions de par­ta­ger des don­nées avec les auto­ri­tés dudit État, comme l’a confir­mé la récente déci­sion au Cana­da concer­nant OVH­Cloud⁴, qui est pour­tant une entre­prise fran­çaise. On ne peut donc qu’être que dans une logique de mini­mi­sa­tion du risque, sans jamais vrai­ment par­ve­nir à l’éliminer complètement. »

Propos recueillis par Célia Chaboud