Skip to main content
Marsh logo

Article

Meilleures pratiques en matière de cybersécurité pour les systèmes de véhicules connectés et de concessionnaires

Les concessionnaires font face à des risques croissants en matière de cybersécurité qui vont au delà des systèmes informatiques traditionnels pour inclure la technologie opérationnelle et les logiciels des véhicules.

06/02/2026 · Lecture de 4 minutes

À mesure que les véhicules connectés et automatisés (VCA) deviennent de plus en plus répandus au Canada, les concessionnaires font face à des risques croissants en matière de cybersécurité qui vont au-delà des systèmes traditionnels de technologie de l'information (TI) pour inclure la technologie opérationnelle (TO) et le logiciel des véhicules.

La protection de ces écosystèmes complexes nécessite une approche globale qui traite des vulnérabilités de la chaîne d'approvisionnement, de la gestion sécurisée des mises à jour logicielles, de la convergence des TI et de l'OT, ainsi que des attentes évolutives des assureurs.

Vulnérabilités de la chaîne d'approvisionnement

La chaîne d'approvisionnement automobile est mondiale et multifacette, impliquant des fabricants d'équipement d'origine (OEM), des fournisseurs de niveau 1, des fournisseurs de logiciels et des concessionnaires. Un seul maillon faible peut exposer l'ensemble de l'écosystème aux menaces cybernétiques.

Par exemple, composants logiciels compromis ou l'accès non autorisé de tiers peut introduire des logiciels malveillants ou des portes dérobées dans les systèmes de véhicule ou les réseaux de concessionnaires.

Systèmes de gestion des mises à jour logicielles (SUMS) et sécurité des mises à jour over-the-air (OTA)

Les réglementations canadiennes, alignées sur la R155 de la CEE-ONU et la FMVSS 155, exigent une gestion sécurisée des OTA mises à jour concernant les véhicules. SUMS doit confirmer que les mises à jour logicielles sont authentifiées, vérifiées pour leur intégrité et déployées de manière sécurisée afin de prévenir l'injection de code malveillant ou les attaques de retour en arrière. Les concessionnaires jouent un rôle essentiel dans la validation de ces mises à jour lors de l'entretien pour maintenir la cybersécurité des véhicules. .

Exploitation de la convergence IT/OT

Les concessionnaires intègrent de plus en plus des systèmes informatiques, tel que bases de données clients and plateformes de vente, avec OT systèmes, y compris outils de diagnostic de véhicule et équipement de baie de service. Cette convergence élargit la surface d'attaque, car les vulnérabilités en informatique peuvent être exploitées pour accéder aux systèmes d'OT contrôlant les véhicules et les fonctions ou les données sensibles. La segmentation et des contrôles d'accès stricts sont essentiels pour atténuer ces risques.

Évolution des attentes des assureurs

Marsh Canada, en tant que courtier mondial et conseiller en risques, et le Bureau d'assurance du Canada (BAC), en tant qu'association industrielle représentant les assureurs canadiens, soulignent que les assureurs, les courtiers et les organismes de l'industrie ont chacun des attentes en matière de cybersécurité distinctes mais complémentaires pour les concessionnaires. Celles-ci incluent la mise en œuvre de cadres de cybersécurité robustes conformes aux normes internationales telles que l'ISO/SAE 21434, l'assurance de la conformité à la protection de la vie privée des données en vertu des lois canadiennes comme la LPRPDE, et l'adoption des meilleures pratiques en matière d'éthique et de transparence en IA.

Avec leur attention sur les critères de souscription et l'atténuation des risques, les assureurs encouragent les concessionnaires à gérer de manière proactive les risques cybernétiques et opérationnels émergents associés à l'engagement client piloté par l'IA. Grâce à des conseils et à un accompagnement, Marsh aide les concessionnaires à répondre aux attentes des assureurs en matière de gestion des risques.

Six étapes pratiques de réduction des risques en cybersécurité

Les concessionnaires peuvent gérer activement leur risque en matière de cybersécurité de la manière suivante :

Développer un CSMS formel aligné avec ISO/SAE 21434 pour gérer les risques de cybersécurité tout au long des cycles de vie des systèmes de véhicules et de concessionnaires. Ceci devrait inclure la gouvernance, l'évaluation des risques, la gestion des fournisseurs et l'amélioration continue.

Utilisez des outils autorisés par le fabricant pour vérifier les signatures cryptographiques et intégrité des mises à jour OTA lors de l'entretien des véhicules. Tenez des journaux détaillés des activités de mise à jour à des fins d'audit et de conformité.

Séparer les réseaux informatiques et les réseaux opérationnels pour limiter le mouvement latéral des menaces. Mettre en œuvre une authentification multi-facteurs (MFA) et des politiques d'accès au moindre privilège pour tous les systèmes, en particulier ceux interagissant avec les systèmes de diagnostic et de contrôle des véhicules.

Déployez des systèmes de détection d'intrusions et des outils de surveillance en temps réel pour détecter les anomalies. Développez et testez régulièrement des plans de réponse aux incidents adaptés aux incidents cybernétiques affectant à la fois les environnements IT et OT.

Conduire formations régulières en cybersécurité axé sur le phishing, l'ingénierie sociale et la gestion sécurisée des données des véhicules connectés. Les techniciens et le personnel de l'atelier de service doivent être formés aux procédures de diagnostic sécurisées et à la reconnaissance des activités suspectes.

Évaluer les postures de cybersécurité des fournisseurs de véhicules par le biais d'audits et d'exigences contractuelles. Collaborer avec les fabricants d'équipement d'origine (OEM) et des groupes industriels comme Auto-ISAC Canada partager des renseignements sur les menaces et des meilleures pratiques.

De plus, ils peuvent prendre les mesures suivantes pour améliorer les capacités de gestion des risques en cybersécurité des techniciens et des contrôles des zones de service.

  • Outils de diagnostic sécurisés : Vérifiez que l'équipement de diagnostic est à jour avec les derniers correctifs de sécurité et que seuls le personnel autorisé y a accès.
  • Contrôlez l'accès aux systèmes du véhicule : Limitez l'accès physique et à distance aux ECU du véhicule et aux modules de télématique pendant l'entretien.
  • Journal et audit : Maintenez des journaux de toutes les activités de diagnostic et de mise à jour logicielle pour détecter les accès non autorisés ou les anomalies.
  • Signaler des incidents : Établir des protocoles clairs pour que les techniciens signalent immédiatement les incidents de cybersécurité suspectés.

Alors que les VCA continuent de transformer le paysage automobile au Canada, les concessionnaires doivent adopter une stratégie de cybersécurité proactive et complète pour protéger leurs écosystèmes complexes. Marsh propose des solutions sur mesure qui aident les concessionnaires à relever ces défis en fournissant des services de conseil en gestion des risques, en facilitant la mise en œuvre de systèmes de gestion de la cybersécurité robustes conformes aux normes internationales et en soutenant la conformité aux exigences réglementaires en évolution.

Pour en savoir plus, parlez à votre représentant Marsh.

Contactez-nous

Avez-vous des questions sur les meilleures pratiques en matière de cybersécurité pour les systèmes de véhicules connectés et de concessionnaires?

Planifiez une discussion avec un représentant de Marsh Automotive aujourd'hui.

Contactez-nous

Renseignements connexes

Robotic assembly line in an automotive factory

Webémission

Le nouveau contexte géopolitique : Gérer les risques économiques dans les secteurs manufacturier et de la construction automobile

06/03/2026
Combatting Fraud

Article

Lutte contre la fraude numérique pour les concessionnaires automobiles

05/27/2026
People discussing cars in a dealership

Article

Comment l'IA peut transformer l'engagement client chez les concessionnaires automobiles

05/27/2026
Placeholder Image

Article

Cyberrisques dans le secteur manufacturier : gérer les menaces émergentes et renforcer la résilience

04/23/2026
En voir plus