Cybersécurité
Depuis son siège à Bruxelles, la fédération européenne des distributeurs du marché secondaire de l’automobile, la FIGIEFA, surveille et accompagne le développement de la législation européenne et internationale qui affecte le marché des pièces de rechange automobiles. La FIGIEFA représente les intérêts de ses membres auprès des institutions européennes et internationales. Dans une série d’articles de ce présent bulletin d’information, la FIGIEFA et ADI, qui assiste la FIGIEFA dans divers groupes de travail dédiés, souhaitent vous donner une vue d’ensemble des sujets clés qui ne manqueront pas d’impacter le terrain de jeu du marché indépendant des pièces de rechange de demain.
Dans cette édition: Cybersécurité
Quel est le problème ? Avec l’essor de la conduite connectée et automatisée d’une part, et l’augmentation générale des nouvelles cybermenaces d’autre part, les législateurs du monde entier ont ressenti le besoin d’introduire une réglementation pour traiter la question de la cybersécurité dans le secteur automobile. La FIGIEFA y est favorable afin de protéger les automobilistes et de libérer le potentiel du marché en assurant la confiance dans les nouvelles technologies de mobilité. La CEE-ONU, un organe des Nations unies chargé des questions de mobilité (entre autres), a finalisé en juin 2020 deux textes législatifs sur le sujet, le règlement n°155 sur la “cybersécurité” et le règlement n°156 sur les “mises à jour logicielles”. Ces règlements ont été transposés dans la législation de l’Union européenne mi2021. Ces deux règlements sur la cybersécurité et sur les mises à jour logicielles deviendront applicables, une fois adoptés dans l’Union européenne, en 2022 pour les véhicules nouvellement réceptionnés et à partir de 2024 pour le parc de véhicules existant. 2022: les règlements de l’ONU sur la cybersécurité s’appliquent aux véhicules nouvellement réceptionnés. 2024: Les règles de cybersécurité de l’ONU s’appliquent à l’ensemble du parc automobile. Avec le règlement n°155, la CEE-ONU a établi un premier inventaire des cybermenaces potentielles et des mesures d’atténuation correspondantes. Ces mesures d’atténuation ne sont toutefois pas des mesures de mise en œuvre concrètes et laissent la liberté aux constructeurs automobiles de mettre en place leurs propres contrôles de sécurité exclusifs. Ils sont désormais autorisés à fixer leurs propres critères de référence (c’est-à-dire “qu’est-ce qu’une sécurité adéquate ?”) et à mettre en œuvre leurs propres mesures de cybersécurité dans le cadre de la réception des véhicules. Chaque constructeur automobile créera son propre système de 4
gestion de la cybersécurité afin de mettre en place des processus organisationnels et de mettre en œuvre des mesures liées à la sécurité et à la mise à jour des logiciels pour chaque type de véhicule. Par conséquent, les constructeurs peuvent considérer tout accès et toute communication avec le véhicule comme une cybermenace et mettre en œuvre des mécanismes et des pratiques de contrôle d’accès pour répondre aux préoccupations en matière de cybersécurité (par exemple, pour le port OBD et la connexion sans fil). Le véhicule peut être protégé par des mesures de cybersécurité propres au constructeur, ce qui peut avoir un impact négatif sur les activités quotidiennes de vos entreprises.
Quel impact cela pourrait-il avoir sur votre entreprise ? En l’état actuel des choses, ce règlement de la CEE-ONU n’inclut aucune forme de clause de sauvegarde robuste pour le marché secondaire de l’automobile. La stratégie de cybersécurité exclusive des constructeurs automobiles pourrait rendre impossible l’utilisation de pièces détachées provenant de sources indépendantes, car elles pourraient être rejetées par le véhicule au nom de la “sécurité”. Cette exclusion pourrait avoir un impact profond et négatif sur l’ensemble de votre portefeuille de pièces de rechange identifiées comme “pertinentes en matière de cybersécurité” (par exemple, toute pièce comportant des composants électroniques), en particulier celles qui ne proviennent pas de fournisseurs d’équipements d’origine. Les entraves à la libre concurrence sur le marché de la rechange l’automobile pourraient être étendues encore davantage sous l’argument (ou même le prétexte) de la “cybersécurité”. Les premiers exemples sont les restrictions d’accès au port OBD via des certificats de sécurité propriétaires des constructeurs automobiles, les codes propriétaires des constructeurs automobiles (codes QR ou logiciels) nécessaires à l’activation des pièces détachées (souvent avec les outils de diagnostic propres aux constructeurs automobiles) ou
