Cybersécurité pour les bornes de recharge : Poser les bonnes questions pour limiter les risques

Cybersécurité pour les bornes de recharge : Poser les bonnes questions pour limiter les risques 

Les services publics, les régulateurs des transports et les défenseurs de la vie privée demandent de plus en plus souvent aux fournisseurs de bornes de recharge : quelles mesures sont prises pour assurer la sécurité et le bon fonctionnement de l’infrastructure de recharge en Amérique du Nord face aux risques croissants en matière de cybersécurité? Dans cet article, nous expliquerons pourquoi la cybersécurité est importante pour la recharge des VE, ce que les acheteurs et acheteuses de bornes doivent rechercher lors de la sélection d’une borne et d’un fournisseur de réseau, comme la certification par une tierce partie, les avantages de la certification SOC 2 (Systems and Organization Controls) de type 2 (certification par une tierce partie) et les principales actions que les propriétaires de bornes peuvent prendre pour minimiser leur exposition aux risques de cybersécurité.  

Comme pour toute discussion sur la cybersécurité, il s’agit d’un espace évolutif et dynamique. Les normes de cybersécurité progressent, et le point de vue de FLO est que plus le secteur de la recharge collabore et travaille à la recherche de solutions, mieux nous pouvons protéger la fiabilité des bornes et les données sensibles des utilisateurs et utilisatrices. 

Pourquoi la cybersécurité est-elle importante pour la recharge des VE? 

Les bornes de recharge sont des infrastructures essentielles, car elles alimentent une proportion croissante des véhicules en Amérique du Nord. C’est pourquoi la fiabilité a été et continue d’être une priorité. En outre, ceux et celles qui cherchent à ajouter des bornes de recharge posent de plus en plus de questions sur la cybersécurité lors du choix des bornes de recharge pour VE. 

Il va sans dire que la cybersécurité ne concerne pas uniquement la recharge des véhicules électriques. Des problèmes de cybersécurité ont également été soulevés pour les installations pétrolières et gazières et les pipelines. Cela s’inscrit dans un débat plus large sur la cybersécurité des dispositifs connectés à l’internet (IoT ou internet des objets) et des infrastructures critiques en général. La couverture médiatique récente a mis en évidence les risques pour les véhicules connectés (quel que soit le type de propulsion) et la  recharge. En bref, puisque la quasi-totalité des bornes de recharge publiques est connectée à des dispositifs intelligents, elles peuvent devenir le maillon faible qu’un acteur malveillant exploite pour accéder à des informations sensibles ou à des infrastructures critiques, ou pour en prendre le contrôle. Il est essentiel que les fournisseurs de bornes et de réseaux de recharge prennent au sérieux leurs obligations en matière de cybersécurité.  

Un risque secondaire est lié au fonctionnement de nos réseaux de distribution d’électricité. Pour fonctionner efficacement, les réseaux électriques doivent être en équilibre entre la demande et l’offre d’électricité. Normalement, les services publics et les opérateurs de réseaux électriques peuvent s’attendre à ce qu’un certain pourcentage d’appareils électriques soient utilisés, et ils équilibrent la puissance disponible en conséquence. Certains experts avertissent que si un acteur malveillant de la cybersécurité contrôlait suffisamment d’appareils électriques (y compris des bornes de recharge) dans une région, il pourrait survenir une perturbation sérieuse qui affecterait le réseau électrique, par exemple en allumant ou en éteignant un grand nombre d’appareils ou en demandant plus d’énergie que prévu. 

Que doivent surveiller les personnes qui achètent des bornes de recharge? 

Les normes émergentes sur le marché de la recharge des VE montrent de plus en plus que les fournisseurs de recharge conçoivent et exploitent leurs bornes en tenant compte de la cybersécurité, tout en offrant l’assurance supplémentaire d’audits réalisés par des tiers. En général, la sécurité doit être intégrée dans l’architecture du produit selon le principe de la « défense en profondeur ». Cela signifie que même si une ligne de défense est compromise, des couches supplémentaires existent pour aider à maintenir la sécurité. Les principaux réseaux évaluent en permanence le paysage des menaces et s’efforcent de renforcer leurs défenses. La recharge des VE n’est pas une technologie unique ; elle comprend généralement du matériel, des éléments de « connexion », des logiciels et des microprogrammes, ainsi que le paiement. Il peut donc être utile de décomposer la recharge des VE en éléments critiques pour comprendre les vulnérabilités et les mesures de protection recommandées, car une analyse complète des risques de cybersécurité doit couvrir l’ensemble du paysage technologique.  

Le tableau suivant met en évidence différents éléments de l’expérience de recharge et des certifications de cybersécurité qui peuvent aider à indiquer l’importance accordée par un fournisseur à la cybersécurité. Veuillez noter que ce tableau reflète ce que FLO considère comme un ensemble de bonnes pratiques au moment de la rédaction de cet article, mais qu’il ne s’agit pas d’un examen exhaustif de toutes les normes et pratiques liées à la sécurité dans le secteur. 

Pourquoi SOC 2 Type 2 ? 

FLO a choisi la certification SOC 2 Type 2 comme principal cadre organisationnel de cybersécurité pour les raisons suivantes : (1) elle fait l’objet d’un audit, ce qui donne à nos clients et clientes l’assurance importante qu’en matière de cybersécurité, FLO joint la parole aux actes et (2) elle s’aligne sur plusieurs cadres et normes réglementaires essentiels pour nos clients et clientes et les électromobilistes et contribue à garantir la conformité de FLO à ces cadres et normes, notamment le Règlement général sur la protection des données (RGPD), la loi sur la portabilité et la responsabilité en matière d’assurance maladie (HIPAA) et la loi californienne sur la protection de la vie privée des consommateurs (CCPA). 

SOC 2 Type 2 couvre un large éventail de contrôles de sécurité transversaux et soutient l’efficacité opérationnelle au fil du temps. Il évalue la mise en œuvre et l’efficacité des contrôles sur une période d’un an, plutôt qu’à un moment donné, ce qui permet d’obtenir une vue d’ensemble de l’évolution de la posture de sécurité d’une organisation au fil du temps.  

Quels sont les autres gestes que peuvent poser les propriétaires de bornes pour réduire les risques liés à la cybersécurité ? 

1. Poser des questions et travailler avec des fournisseurs fiables qui ont fait leurs preuves en matière de cybersécurité. La première étape consiste à poser des questions. Les entreprises qui s’intéressent à la cybersécurité disposent généralement de ressources à lire et d’experts en la matière qui sont disponibles et très heureux de vous aider à comprendre les risques et le travail qu’ils effectuent pour assurer la sécurité. En outre, elles s’engagent généralement dans l’élaboration de normes. FLO participe à des forums industriels clés tels que ChargeX, la Society of Automotive Engineers (SAE) et l’Association canadienne de normalisation (CSA), par exemple, afin de s’assurer que nous disposons des informations les plus récentes et de partager notre expertise pour aider le secteur à être plus fort et mieux préparé.
2. Inspecter physiquement la borne pour vérifier qu’elle n’est pas endommagée ou qu’elle n’a pas subi de modifications inhabituelles. Toute modification apportée à une borne peut être le signe qu’un geste mal intentionné a été posé afin de manipuler la borne d’une manière susceptible d’en compromettre la sécurité. Vous pouvez le faire vous-même, mais il est également conseillé de vous assurer que vous disposez d’un plan de maintenance qualifié (généralement proposé par le fournisseur de votre station), qui assurera également des inspections régulières.
3. Maintenez vos bornes (et vos VE) à jour! La première façon de réduire les risques de cybersécurité au fil du temps est de s’assurer que votre station et votre VE sont correctement mis à jour avec les derniers logiciels et micrologiciels. Les bornes publiques FLO seront automatiquement mises à jour avec des mises à jour de type « over the air », à condition qu’elles soient correctement installées, qu’elles soient prises en charge par FLO dans le cadre d’un service GMS (Global Management System) valide et qu’elles disposent d’une connexion Internet adéquate. Si vous avez des questions, appelez l’équipe du soutien à la clientèle.