Véhicule autonome, ma petite entreprise

Aujourd’hui, elles doivent répliquer leur modèle SSI à la sécurité des véhicules qu’elles construisent. En effet, véhicules connectés et véhicules autonomes rassemblent toutes les caractéristiques d’une véritable petite entreprise. A moins qu’il ne s’agisse d’une grande multinationale.

Échange d’informations

Au sein de votre entreprise, vous vous demandez peut-être comment échanger des informations avec les autres sites ou avec les partenaires/fournisseurs. Sur la route, savez-vous comment votre nouveau bolide va communiquer avec les autres véhicules ou avec l’infrastructure ?

Une entreprise se doit d’organiser un échange fluide et sécurisé d’informations en interne comme avec l’extérieur. Pour couvrir ce besoin, vous devrez mettre en place une solution garantissant au minimum la confidentialité des données. Souvent, viendront aussi s’ajouter les critères de l’intégrité, voire de la disponibilité et même de la traçabilité selon le cas rencontré par chacun. Un véhicule est lui aussi concerné par la double problématique on-board / off-board. L’échange de données doit être efficace à l’intérieur de la voiture (par exemple entre les différentes pièces qui vous éviteront collectivement une perte de contrôle) comme à l’extérieur, notamment vis-à-vis des autres véhicules (car to car) et de l’infrastructure (car to infrastructure). Assurer la confidentialité, l’intégrité, la disponibilité et la preuve des communications est ici essentiel.

Accès physique

Apparaît d’emblée la problématique de l’accès physique. Autant mieux vaut permettre au personnel d’entrer dans les locaux pour travailler, autant le conducteur a intérêt à pouvoir s’installer derrière le volant pour conduire. Ces accès doivent d’abord être sécurisés pour empêcher toute intrusion illégitime.

Dans les deux cas, un badge est bien souvent utilisé comme moyen d’authentification simple. Ce bien matériel est en outre support à des fonctions complémentaires comme le paiement au restaurant d’entreprise ou le démarrage du véhicule. Enfin, chacun contient ou est lié à divers paramètres (droits d’accès, préférences de confort dans l’habitacle…).

Toutefois, une grande différence réside entre le monde de l’entreprise et celui de l’automobile : alors que le badge d’accès aux locaux est la plupart du temps personnel, le prêt de véhicule est aujourd’hui de plus en plus encouragé ! Ainsi, c’est en partie du fait de l’explosion de l’autopartage que l’antique clé de voiture est en constante évolution. La clé virtuelle est promise à un bel avenir et, puisque son principe est récent, elle bénéficie d’un concept de security by design. De quoi rassurer les conducteurs et servir d’exemple au monde industriel.

Comment géolocaliser les salariés ? les véhicules ?

Autre point de divergence, la géolocalisation. Dans l’entreprise, tracer les déplacements des salariés est très encadré : la question des données personnelles intervient soit en amont pour interdire la géolocalisation soit en aval pour anonymiser ces données ou imposer un traitement adéquat. Il vous faudra donc aborder le sujet d’un point de vue tant réglementaire que technologique. Pour vous aider, la CNIL édite un flyer et un guide sur la géolocalisation des salariés.

Dans cette problématique, on pense immédiatement aux trajets routiers. En excluant le salarié de l’équation, géolocaliser un véhicule est une évidence et permet en outre bien des services. Cela est devenu une fonctionnalité obligatoire en dépit de la persistance du devoir de protection des données personnelles qui ira toujours de pair. Au-delà du traditionnel guidage GPS, les cas d’usages sont variés, à proximité (trouver un véhicule autopartagé), en s’affranchissant des distances (suivi d’un véhicule volé), en zone blanche (parking en sous-sol)… Chaque fois, il faut penser à la sécurité des données échangées et stockées tout en sélectionnant les meilleurs moyens de communication.

Gestion des  comptes

Justement, comment stocker les données ? Les données d’identification et les données d’utilisation.

Comme suggéré plus haut, la gestion des accès sous-entend plus largement l’association de droits et de données personnelles. La vie du salarié est notamment traitée dans l’ISO 27001 qui préconise de gérer les comptes utilisateur en traitant les cas de l’arrivée, de l’évolution, de l’absence et du départ de celui-ci. Quoi qu’il en soit, tous les types de données justifient la protection adéquate de celles-ci et leur conservation sur une durée adaptée. Localement ou dans le cloud, on pensera également à la supervision et aux copies de sauvegarde.

Je vous confirme que, de plus en plus souvent, les automobilistes possèdent un voire plusieurs comptes (inscription avec login/password) qui associent un propriétaire ou un conducteur lambda à une voiture. Dès lors, les situations se multiplient depuis l’achat du véhicule jusqu’à sa revente en passant par son prêt, son vol ou sa destruction… Les questions de révocation, de suppression de compte, etc., s’avèrent rapidement essentielles et d’autant plus complexes que l’auto est, par définition, mobile. Pire, tout cela est partagé entre différents supports, du véhicule lui-même jusqu’au cloud en passant par le smartphone. La synchronisation ne saurait souffrir d’aucune incohérence.