Une nouvelle règle du Département du commerce américain interdisant le matériel et les logiciels chinois et russes dans les véhicules connectés à Internet entre en vigueur en 2027.
Dans un changement révolutionnaire dans la réglementation de la chaîne d’approvisionnement automobile, la Maison Blanche a annoncé une nouvelle règle publiée par le Bureau de l’industrie et de la sécurité du Département du commerce (BIS) une semaine avant la fin de l’administration Biden qui interdirera le système de connectivité intégrée à véhicule (VCS) matériel et logiciels de Chine (y compris Hong Kong) ou de la Russie des véhicules de tourisme américains.
Les constructeurs automobiles qui vendent aux États-Unis devront respecter deux délais pour se conformer à la règle: Année modèle 2027 pour la conformité des logiciels et l’année modèle 2030 pour la conformité matérielle.
Cette règle fait suite à un avis préalable de la réglementation proposée (ANPRM) et à un avis de proposition de réglementation (NPRM) que le Département du commerce a publié en 2024. Le BIS devrait compléter cette règle de véhicule de passagers bientôt avec une série de règles qui abordent le sujet le plus complexe des véhicules commerciaux, tels que les camions lourds et les véhicules industriels.
La règle traite des risques identifiés dans le décret exécutif 13873, émis par le président Donald Trump en 2019, qui a déclaré une urgence nationale concernant la chaîne d’approvisionnement des TIC (technologies de l’information et des communications). Le président Joe Biden a par la suite étendu l’urgence nationale, avec la dernière prolongation en mai 2024.
La technologie automobile chinoise est le véritable objectif de l’interdiction
L’interdiction vise à interdire les «transactions TIC qui posent des risques indus ou inacceptables pour la sécurité nationale américaine, les infrastructures critiques ou l’économie numérique». Il énonce des critères spécifiques pour déterminer les transactions interdites, en se concentrant sur les risques de sabotage, des effets catastrophiques et des risques inacceptables de sécurité nationale.
La Maison Blanche a noté que le Département du commerce « évalue que certains matériels et logiciels utilisés dans les véhicules connectés (CVS) pourraient permettre une collecte de masse d’informations sensibles, y compris les données de géolocalisation, les enregistrements audio et vidéo et d’autres modèles d’analyse de la vie. »
Comme les recherches récentes des chercheurs en sécurité automobile Sam Curry et Shubham Shah ont souligné, les vulnérabilités dans les voitures connectées à Internet peuvent être exploitées pour causer des dommages réels. Pourtant, aucune preuve réelle n’existe que la Chine a adopté un comportement malveillant concernant la technologie qu’elle fournit aux véhicules connectés.
Malgré cela, les experts disent que les CISO devraient commencer à faire preuve de diligence raisonnable lors de l’acquisition de nouveaux véhicules, de l’éducation du personnel sur la règle et de la réalisation de tout développements qui pourraient provoquer des changements dans la règle sur la route.
Qui est affecté, qu’est-ce qui est interdit et que doivent faire les fournisseurs?
La règle que BIS publiée est complexe et complexe et repose sur de nombreuses définitions et politiques préexistantes utilisées par le Département du commerce pour différentes questions commerciales et industrielles.
Cependant, en général, les restrictions et les obligations de conformité en vertu de la règle affectent l’intégralité de l’industrie automobile américaine, y compris les tout nouveaux véhicules sur route vendus aux États-Unis (à l’exception des véhicules commerciaux tels que des camions lourds, pour lesquels les règles seront déterminées plus tard .) Toutes les entreprises de l’industrie automobile, y compris les importateurs et les fabricants de CV, les fabricants d’équipements et les fournisseurs de composants, seront affectés.
BIS a déclaré qu’il pourrait accorder des autorisations spécifiques limitées pour permettre aux fabricants de CV de milieu de génération de participer à la période de mise en œuvre de la règle, à condition que les fabricants puissent démontrer qu’ils se conforment à la prochaine génération.
Les transactions interdites en vertu de la règle comprennent sciemment:
- Importer dans le matériel VCS américain conçu, développé, fabriqué ou fourni par des personnes liées à la Chine ou à la Russie;
- L’importation ou la vente aux États-Unis a achevé des véhicules connectés qui incorporent des VC ou des logiciels ADS (systèmes de conduite automatisés) conçus, développés, fabriqués ou fournis par des personnes liées à la Chine ou à la Russie; et
- La vente ou la distribution aux États-Unis (y compris via Robotaxi et Services de covoiturage) a complété des véhicules connectés qui intègrent du matériel VCS ou des logiciels couverts si le vendeur est lié à la Chine ou à la Russie, que les véhicules soient fabriqués ou assemblés aux États-Unis.
Les véhicules connectés et les fournisseurs de composants connexes sont nécessaires pour examiner les origines du matériel des systèmes de connectivité des véhicules (VCS) et des logiciels de systèmes de conduite automatisés (ADS) pour garantir la conformité. Les fournisseurs doivent exclure les composants avec des liens avec la RPC ou la Russie, ce qui a des implications importantes pour l’approvisionnement en pratiques et processus opérationnels.
Pour relever ces défis, certains fournisseurs explorent des partenariats avec des entreprises de certification tierces pour aider à la cartographie de la chaîne d’approvisionnement et à la conformité réglementaire.
La Chine est-elle vraiment une menace de sécurité pour les véhicules connectés?
Comme tant de mesures américaines prises pour restreindre l’utilisation de la technologie chinoise, il existe peu de preuves que la Chine a utilisé ses technologies de la chaîne d’approvisionnement pour s’engager dans un espionnage sophistiqué ou causer des dommages réels. «Il est intéressant de noter que la règle a expressément déclaré que le comportement de la Chine fait partie de la raison pour laquelle nous sommes arrivés ici», explique Cary. «Et je pense que c’est une ancre importante pour dire qu’ils ont manifesté un comportement.»
Cary admet que les preuves accessibles au public concernant l’usage abusive de la technologie des voitures connectées par la Chine font défaut. Cependant, il souligne de nombreux facteurs qui créent une préoccupation, y compris les lois chinoises qui peuvent maintenir les capacités offensives du pays sous les wraps.
«De la même manière que nous n’avons pas vu la Chine perturber ou utiliser des cyberattaques destructrices contre les infrastructures critiques, cela ne signifie pas que nous ne pensons pas qu’ils ne peuvent pas faire cela», explique Cary. «Ce manque d’eux ayant exécuté ce type d’opération ne signifie pas que nous ne pensons pas qu’ils le peuvent. Et donc c’est très similaire dans ce cas. «
Ivan Novikov, PDG de Wallarm, met l’accent sur une distinction entre la collecte de données chinoise et le niveau de vulnérabilités que les responsables américains craignent pourraient être exploitables dans les logiciels chinois. « L’administration Biden voulait protéger les utilisateurs américains et les conducteurs de voitures contre le transfert de leurs données en Chine », a-t-il déclaré. «Il pourrait essentiellement être vendu et ainsi de suite parce que la loi sur la gouvernance des données aux États-Unis n’est tout simplement pas aussi avancée qu’en Europe avec le RGPD ou la Californie avec le CCPA (la California Consumer Privacy Act).»
En ce qui concerne la sécurité des logiciels chinois, Novikov dit: «Nous avons le bon sens que le logiciel est moins sécurisé que le logiciel produit ailleurs.» Mais il conteste cette caractérisation. «Je ne pense pas que les voitures chinoises soient en quelque sorte plus piratantes que toutes les autres voitures du monde.»
Quel rôle les cisos devraient-ils jouer?
Bien que seuls les constructeurs automobiles et les fournisseurs de véhicules auront l’obligation de se conformer aux règles, les CISO devraient jouer un rôle clé pour s’assurer que les véhicules que leurs organisations possèdent sont sécurisés et légalement à la priorité.
En tant que procédure d’exploitation générale, «toute flotte actuelle de véhicules doit être examinée pour les vulnérabilités de sécurité associées aux composants existants pour examiner les mises à jour logicielles qui peuvent être prudentes pour atténuer ces risques», explique Miller. En plus de cela, « vous allez vouloir l’uniformité dans votre flotte après 2027, et vous ne voudrez pas vous soucier d’être signalé pour la non-conformité pour quelque chose que vous avez acheté rétroactivement. »
La détermination de la chaîne d’approvisionnement des véhicules organisationnelles deviendra bientôt nécessaire pour la plupart des cisos. «Il y aura des questions pointues que quelqu’un doit demander pour aller au bas de la chaîne d’approvisionnement et voir d’où vient le logiciel et qui le possède», explique Miller. «Regardez des choses comme les politiques de gestion des fournisseurs et de la chaîne d’approvisionnement en place pour vous assurer que le fardeau est sur le constructeur de véhicules pour certifier ces choses.»
Novikov dit que pour les organisations qui achètent des véhicules sachant que les voitures seront en service après 2027, cela ne ferait pas de mal d’obtenir « au moins une sorte d’engagement ou une lettre d’utilisation des composants » Composants russes dans les voitures, même si les règles ne sont pas rétroactives avant l’année modèle 2027.