7 minute read
Figiefa: Cybersécurité
Cybersécurité
Depuis son siège à Bruxelles, la fédération européenne des distributeurs du marché secondaire de l’automobile, la FIGIEFA, surveille et accompagne le développement de la législation européenne et internationale qui affecte le marché des pièces de rechange automobiles. La FIGIEFA représente les intérêts de ses membres auprès des institutions européennes et internationales.
Dans une série d’articles de ce présent bulletin d’information, la FIGIEFA et ADI, qui assiste la FIGIEFA dans divers groupes de travail dédiés, souhaitent vous donner une vue d’ensemble des sujets clés qui ne manqueront pas d’impacter le terrain de jeu du marché indépendant des pièces de rechange de demain. Dans cette édition: Cybersécurité
Quel est le problème ? Avec l’essor de la conduite connectée et automatisée d’une part, et l’augmentation générale des nouvelles cybermenaces d’autre part, les législateurs du monde entier ont ressenti le besoin d’introduire une réglementation pour traiter la question de la cybersécurité dans le secteur automobile. La FIGIEFA y est favorable afin de protéger les automobilistes et de libérer le potentiel du marché en assurant la confiance dans les nouvelles technologies de mobilité. La CEE-ONU, un organe des Nations unies chargé des questions de mobilité (entre autres), a finalisé en juin 2020 deux textes législatifs sur le sujet, le règlement n°155 sur la “cybersécurité” et le règlement n°156 sur les “mises à jour logicielles”. Ces règlements ont été transposés dans la législation de l’Union européenne mi2021. Ces deux règlements sur la cybersécurité et sur les mises à jour logicielles deviendront applicables, une fois adoptés dans l’Union européenne, en 2022 pour les véhicules nouvellement réceptionnés et à partir de 2024 pour le parc de véhicules existant.
2022: les règlements de l’ONU sur la cybersécurité s’appliquent aux véhicules nouvellement réceptionnés. 2024: Les règles de cybersécurité de l’ONU s’appliquent à l’ensemble du parc automobile.
Avec le règlement n°155, la CEE-ONU a établi un premier inventaire des cybermenaces potentielles et des mesures d’atténuation correspondantes. Ces mesures d’atténuation ne sont toutefois pas des mesures de mise en œuvre concrètes et laissent la liberté aux constructeurs automobiles de mettre en place leurs propres contrôles de sécurité exclusifs. Ils sont désormais autorisés à fixer leurs propres critères de référence (c’est-à-dire “qu’est-ce qu’une sécurité adéquate ?”) et à mettre en œuvre leurs propres mesures de cybersécurité dans le cadre de la réception des véhicules. Chaque constructeur automobile créera son propre système de gestion de la cybersécurité afin de mettre en place des processus organisationnels et de mettre en œuvre des mesures liées à la sécurité et à la mise à jour des logiciels pour chaque type de véhicule. Par conséquent, les constructeurs peuvent considérer tout accès et toute communication avec le véhicule comme une cybermenace et mettre en œuvre des mécanismes et des pratiques de contrôle d’accès pour répondre aux préoccupations en matière de cybersécurité (par exemple, pour le port OBD et la connexion sans fil). Le véhicule peut être protégé par des mesures de cybersécurité propres au constructeur, ce qui peut avoir un impact négatif sur les activités quotidiennes de vos entreprises.
Quel impact cela pourrait-il avoir sur votre entreprise ? En l’état actuel des choses, ce règlement de la CEE-ONU n’inclut aucune forme de clause de sauvegarde robuste pour le marché secondaire de l’automobile. La stratégie de cybersécurité exclusive des constructeurs automobiles pourrait rendre impossible l’utilisation de pièces détachées provenant de sources indépendantes, car elles pourraient être rejetées par le véhicule au nom de la “sécurité”. Cette exclusion pourrait avoir un impact profond et négatif sur l’ensemble de votre portefeuille de pièces de rechange identifiées comme “pertinentes en matière de cybersécurité” (par exemple, toute pièce comportant des composants électroniques), en particulier celles qui ne proviennent pas de fournisseurs d’équipements d’origine. Les entraves à la libre concurrence sur le marché de la rechange l’automobile pourraient être étendues encore davantage sous l’argument (ou même le prétexte) de la “cybersécurité”. Les premiers exemples sont les restrictions d’accès au port OBD via des certificats de sécurité propriétaires des constructeurs automobiles, les codes propriétaires des constructeurs automobiles (codes QR ou logiciels) nécessaires à l’activation des pièces détachées (souvent avec les outils de diagnostic propres aux constructeurs automobiles) ou
la prévention générale de la communication à distance avec le véhicule et ses données. Toutes ces restrictions pourraient désormais être largement imposées dans le cadre des exigences légales de protection de la cybersécurité.
Aujourd’hui, environ 100 millions de lignes de code sont intégrées dans les véhicules. D’ici à 2030, ce sont environ 300 millions de lignes de code qui permettront aux véhicules de rouler.
Cela empêcherait les entreprises indépendantes et multimarques de proposer un large éventail de services de réparation et d’entretien et pousserait davantage de consommateurs vers les réseaux sous contrat des constructeurs automobiles.
Que fait la FIGIEFA ? La FIGIEFA soutient pleinement les mesures visant à protéger les véhicules connectés contre les menaces de cybersécurité. Cependant, le processus de référencement croisé des règlements de cybersécurité de la CEE-ONU dans la législation de l’Union européenne ne doit pas conduire à accorder aux constructeurs automobiles un contrôle arbitraire total de la mise en œuvre de la cybersécurité. L’Union européenne doit prendre les mesures nécessaires pour éviter que l’ensemble du marché de la de rechange automobile (et les chaînes de valeur numériques et de mobilité) ne soit perturbé.
La FIGIEFA soutient pleinement les mesures visant à protéger les véhicules connectés et à éviter toute perturbation sur le marché de rechange.
C’est pourquoi la FIGIEFA, en collaboration avec d’autres entreprises du marché secondaire, des sociétés de leasing/location et des organisations de consommateurs organisées au sein de l’AFCAR (Alliance for the Freedom of Car Repairs), est en train d’informer les fonctionnaires de l’Union européenne et les représentants des États membres afin de les sensibiliser et de recueillir leur soutien. L’objectif est de s’assurer que la transposition des règlements de la CEE-ONU dans le cadre juridique de l’Union européenne s’accompagne de clauses de mise en œuvre solides afin de garantir que toutes les parties prenantes continuent d’avoir la possibilité d’opérer, de manière non discriminatoire et concurrentielle, tout en abordant la cybersécurité. Sans ces mesures, le marché secondaire serait en danger.
Plus en détail, la FIGIEFA appelle les décideurs à assurer entre autres choses:
la compatibilité et l’interopérabilité en matière de cybersécurité pour les pièces de rechange; la compatibilité et l’interopérabilité en matière de cybersécurité pour les outils de diagnostic multimarques; la mise en place d’un système de certification à l’échelle de l’Union européenne, en étendant le système actuel du SERMI à la cybersécurité (y compris un système d’approbation et d’autorisation pour les outils de diagnostic et tout autre opérateur impliqué dans la fourniture de services de mobilité) modifier les dispositions relatives au port OBD afin de définir des règles pour la période de délivrance exclusive de certificats de sécurité par les constructeurs automobiles jusqu’à la mise en place du système de certification à l’échelle de l’Union européenne. À la suite de nos activités d’information, la Commission européenne a décidé de réagir de manière favorable. La question de la cybersécurité et de l’installation sécurisée des pièces détachées a été ajoutée au programme de travail pour 2022 de la direction générale concernée, et la FIGIEFA a été invitée à présenter cette question lors d’une réunion du groupe d’experts en février 2022. Après discussion lors de cette réunion, il a été décidé de lancer une réunion du groupe d’experts des parties prenantes avec des participants des constructeurs automobiles (ACEA), des opérateurs du marché des pièces de rechange (AFCAR) et des fournisseurs des pièces d’origine (CLEPA), la Commission européenne présidant la réunion. La première réunion de ce groupe de travail s’est tenue en mai 2022, où les propositions de la FIGIEFA/AFCAR répondant aux questions ci-dessus ont servi de base à la discussion. Les constructeurs automobiles ont donné leur accord initial (en principe) à nos demandes, et il a été convenu que cette question devait être discutée plus en détail. En conséquence, nous nous attendons à ce que d’autres cycles de discussion aient lieu dans les mois à venir. En parallèle, la FIGIEFA organise des réunions techniques avec des experts en pièces détachées afin de travailler sur les exigences concrètes de mise en œuvre de la cybersécurité, et organise des webinaires d’information pour préparer les membres de la FIGIEFA à la cybersécurité. Enfin, la FIGIEFA a commandé une étude indépendante sur la cybersécurité, dans le but de montrer qu’il est parfaitement possible d’avoir le plus haut niveau de protection en matière de cybersécurité, tout en permettant une communication indépendante avec le véhicule, ses données et ses ressources. L’issue des discussions politiques sur cette question aura un impact décisif sur notre secteur. La FIGIEFA continuera à défendre vos intérêts dans les mois à venir pour s’assurer que vos entreprises ne soient pas entravées dans la conduite de leurs affaires. Nous aurons besoin de votre soutien pour renforcer nos activités et convaincre les décideurs politiques de l’importance de prendre en considération vos besoins.
