Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORER KITEWORKS
Home > Blog Sécurité et Conformité > Non classifié(e) > VicOne publie son rapport 2026 sur la cybersécurité automobile — et le message est clair : une violation de sécurité ne vous concerne plus uniquement

VicOne publie son rapport 2026 sur la cybersécurité automobile — et le message est clair : une violation de sécurité ne vous concerne plus uniquement

par Patrick Spencer updated février 26, 2026 Gestion des risques liés à la cybersécurité
temps de lecture: 9 minutes

Dans le secteur de la cybersécurité, il existe une fiction rassurante : lorsqu’un incident survient, il reste confiné à l’intérieur de vos murs. Votre violation. Votre plan de réponse aux incidents. Votre équipe de forensic qui nettoie les dégâts. Cette fiction vient d’être balayée.

Le rapport 2026 de VicOne sur la cybersécurité automobile, intitulé Crossroads: Automotive Cybersecurity in the Overlap Era, publié le 11 février 2026, met en lumière ce que les CISOs du secteur automobile pressentaient depuis dix-huit mois : les cyberincidents dans l’écosystème des véhicules connectés ne respectent plus les frontières organisationnelles. Ils se propagent. Ils s’enchaînent. Ils touchent le constructeur, le fournisseur de rang 1, le fournisseur cloud et le consommateur final en une seule campagne. Et les structures de gouvernance du secteur — conçues pour un monde où « notre réseau » avait un sens — ne suivent plus le rythme.

Les chiffres parlent d’eux-mêmes, sans fioritures. VicOne a recensé 610 incidents de sécurité liés à l’automobile et 1 384 vulnérabilités en 2025. Les incidents impliquant plusieurs régions et entreprises ont plus que triplé d’une année sur l’autre, atteignant 161 cas. Les fuites de données ont coûté 6,6 milliards de dollars entre janvier et octobre 2025. Ce ne sont pas des erreurs d’arrondi. C’est une transformation structurelle du fonctionnement du risque cyber dans l’automobile.

5 enseignements clés

  1. Les cyberincidents automobiles ont brisé les silos organisationnels. 610 incidents et 1 384 vulnérabilités en 2025. Les cas multi-régions et multi-entreprises ont triplé pour atteindre 161. Les fuites de données ont coûté 6,6 milliards de dollars. Les attaques touchent désormais l’IT d’entreprise, le cloud et les systèmes embarqués dans une seule campagne. Kiteworks propose une gouvernance unifiée sur tous les canaux de données — avec un journal d’audit consolidé qui trace chaque interaction, quelle que soit la frontière.
  2. Le véhicule est désormais la principale surface d’attaque — et il détient les données les plus sensibles de vos clients. Les systèmes embarqués sont passés devant l’IT d’entreprise comme cible principale (39,7 % contre 37,7 %). Infotainment, passerelles et ECUs traitent les contacts, la localisation, les enregistrements vocaux et les jetons de compte. Les données du cockpit devraient devenir un levier pour les ransomwares. Les contrôles d’accès basés sur les attributs de Kiteworks assurent une protection centrée sur la donnée à chaque frontière de confiance.
  3. Une conformité « gruyère » : la couverture réglementaire totale laisse encore des failles. ISO/SAE 21434, UN R155, IEC 62443, ISO 15118-20 et NIST IR 8473 laissent des failles persistantes aux points d’intersection des domaines. Aucun standard ne couvre l’ensemble de la surface d’attaque. Kiteworks propose des modèles préconfigurés pour plus de 50 cadres réglementaires avec une application des règles en temps réel — comblant l’écart entre les contrôles documentés et ceux réellement appliqués.
  4. La supply chain logicielle est la nouvelle porte d’entrée des attaquants automobiles. VicOne préconise l’utilisation de SBOM et AI BOM comme actifs de conformité, et le remplacement des évaluations statiques des risques par une « Dynamic TARA » événementielle. Le WEF classe la visibilité sur la supply chain parmi les principales préoccupations. Les journaux d’audit, les contrôles par rôle et l’architecture de chiffrement durci de Kiteworks encadrent chaque échange de données avec les fournisseurs.
  5. La responsabilité au niveau du conseil d’administration est là — les responsables sécurité doivent fournir des preuves, pas des excuses. Le CEO de VicOne, Max Cheng, confirme que la cybersécurité est désormais un enjeu de gouvernance. Les conseils d’administration demandent : Quelle est notre exposition réglementaire ? Quelles données sont protégées ? Que se passe-t-il en cas de violation transfrontalière ? Kiteworks fournit des tableaux de bord de conformité prêts à l’emploi pour plus de 50 cadres réglementaires, avec un chiffrement validé FIPS 140-3 et une architecture zero trust qui garantit la fiabilité de vos reportings.

Bienvenue dans l’ère de l’Overlap : tout est interconnecté

Le concept d’« Overlap Era » de VicOne décrit une réalité qui dépasse largement l’automobile. Il s’agit d’une période où les plateformes traditionnelles de véhicules restent en service à grande échelle, tandis que les véhicules définis par logiciel, les écosystèmes connectés au cloud et les fonctionnalités apprenantes sont déployés simultanément. Véhicules, services backend, IT d’entreprise et infrastructures externes sont désormais étroitement liés par conception. Pourtant, la gouvernance et la responsabilité en cybersécurité restent souvent fragmentées.

Conséquence concrète : un attaquant qui compromet une API cloud peut accéder aux systèmes de contrôle du véhicule. Une faille dans le backend OTA d’un fournisseur de rang 2 peut entraîner des risques de sécurité et de confidentialité pour des flottes entières. Une vulnérabilité dans la console d’administration d’une borne de recharge peut exposer l’identité client, les métadonnées de facturation et les données de session de charge de centaines de milliers d’utilisateurs.

On retrouve cette même dynamique d’interconnexion dans le rapport Global Cybersecurity Outlook 2026 du WEF, tous secteurs confondus : une nouvelle génération de cyberincidents met en lumière la fragilité des connexions numériques, où une simple défaillance locale ou une attaque ciblée peut rapidement avoir des conséquences à grande échelle. La différence dans l’automobile, c’est que les conséquences peuvent être physiques. Quand le système attaqué roule à grande vitesse avec une famille à bord, l’enjeu dépasse la simple gouvernance des données.

Le véhicule est désormais la cible principale — et il sait tout de vous

L’un des constats les plus marquants du rapport est un point de bascule : les systèmes embarqués sont désormais la plus grande surface d’attaque observée, à 39,7 % contre 37,7 % pour l’IT d’entreprise. Ce n’est pas un simple glissement. C’est une redéfinition de la valeur perçue par les attaquants.

Les composants embarqués les plus ciblés — infotainment et unités centrales, réseaux embarqués et passerelles, ECUs et logiciels embarqués — sont aussi ceux qui traitent ou véhiculent les données personnelles les plus sensibles : contacts, historique de localisation, enregistrements micro et voix, données de téléphones appairés, destinations de navigation et jetons de compte. Le rapport décrit ces systèmes comme des hubs d’intégration où convergent les saisies utilisateur et les services externes. En matière de confidentialité, ce sont des couches d’agrégation de données dont la surface d’attaque ne cesse de croître.

VicOne identifie trois vecteurs de risque spécifiques dans cet espace. D’abord, l’écosystème d’applications tierces — dont Android Automotive et les intégrations CarPlay — introduit un risque supply chain via du code non vérifié capable de collecter localisation et données micro. Ensuite, les applications compagnons et les APIs backend présentent des failles d’authentification, des autorisations objet mal gérées et des vulnérabilités d’injection qui permettent des expositions de données entre locataires. Enfin — et c’est ce qui devrait inquiéter les responsables de la confidentialité — le rapport prévoit que les données du cockpit deviendront un levier pour les ransomwares, les attaquants menaçant de divulguer comportements de conduite et informations personnelles.

Le rapport Dragos 2026 sur la cybersécurité OT/ICS observe un schéma similaire dans l’industrie : des groupes de menaces comme VOLTZITE ne se contentent plus de collecter des données sur les réseaux IT, ils interagissent directement avec les équipements industriels et volent des données capteurs et opérationnelles. La convergence est nette : que vous protégiez un réseau électrique ou un véhicule connecté, les attaquants visent là où résident les données les plus précieuses — de plus en plus à la périphérie, dans les systèmes physiques eux-mêmes.

Bornes de recharge pour véhicules électriques : une surface d’attaque en expansion sans propriétaire attitré

Le rapport accorde une attention particulière à l’infrastructure de recharge des véhicules électriques, source croissante d’exposition cyber. Les bornes relient véhicules, services backend, applications mobiles et réseau électrique à grande échelle. Elles traitent l’identité client, les données de session de charge, les métadonnées de facturation et la télémétrie opérationnelle. Et les vulnérabilités recensées par VicOne — contournement d’autorisations et failles d’injection — peuvent toucher l’ensemble des clients et des flottes.

La problématique de conformité est ici particulièrement aiguë. VicOne cartographie plusieurs standards de sécurité pour la recharge électrique et constate qu’aucun ne couvre l’ensemble de la surface d’attaque. ISO 15118-20 sécurise les communications véhicule-borne mais ne couvre pas totalement les systèmes d’exploitation, les plans de gestion ou le firmware. IEC 62443 traite la sécurité des systèmes industriels mais laisse des failles pour les composants IT. ISO/SAE 21434 se concentre sur l’ingénierie cybersécurité centrée véhicule. UN R155 fait référence à des domaines hors véhicule, mais l’infrastructure de recharge n’est couverte qu’indirectement. NIST IR 8473 sert de référence intégrative mais n’est pas un artefact de conformité en soi.

En résumé : cocher toutes les cases de conformité sur ces standards ne garantit pas de couvrir les véritables chemins d’attaque — notamment ceux qui traversent borne, cloud et véhicule. Pour les organisations qui gèrent des données sensibles dans des environnements réglementaires fragmentés, ce schéma est familier. Kiteworks y répond en proposant une gouvernance unifiée sur tous les canaux de communication de données, avec un reporting automatisé qui relie les contrôles aux exigences réglementaires précises, au lieu de traiter la conformité comme un exercice isolé, déconnecté de la sécurité opérationnelle.

Quand l’assistant IA de la voiture devient un canal de phishing

Le rapport évoque un nouveau schéma de risque baptisé injection de contenu via assistant, où un assistant IA embarqué peut être manipulé pour afficher des liens, numéros ou destinations malveillants via des listes, publicités ou métadonnées corrompues. Parce que l’assistant agit comme une interface de confiance — les conducteurs s’attendent à ce qu’il soit fiable — il devient un canal d’ingénierie sociale natif du véhicule.

Si l’assistant peut initier des actions — appels, navigation, paiements — le risque s’étend à l’intégrité des transactions et au consentement utilisateur. C’est l’équivalent automobile d’un problème bien connu dans la sécurité des données d’entreprise : que se passe-t-il lorsqu’une interface de confiance traite du contenu non fiable, et que l’utilisateur ne peut pas faire la différence ?

Le rapport Global Cybersecurity Outlook 2026 du WEF illustre cette dynamique à l’échelle sectorielle : seules 40 % des organisations évaluent la sécurité des outils avant de les déployer, et l’écart entre celles qui le font et celles qui ne le font pas se traduit directement en niveau de résilience. Le Secure MCP Server de Kiteworks propose un modèle de gouvernance « confiance mais vérification » : chaque opération d’un agent externe — y compris les applications basées sur des LLM — est soumise à des contrôles d’accès par rôle et par attribut, avec journalisation complète de chaque interaction. Ce principe s’applique qu’il s’agisse d’un chatbot d’entreprise ou d’un assistant vocal embarqué : faites confiance à l’interface, vérifiez l’action, journalisez tout.

Que doivent faire les CISOs de l’automobile — et tous les RSSI d’un écosystème connecté — dès maintenant ?

Passez d’une sécurité centrée sur les systèmes à une gouvernance transversale. Le rapport recommande une gouvernance qui attribue des responsabilités claires, des voies d’escalade et mesure le risque par service, flotte et rayon d’impact — et non par composant individuel. Les incidents touchant IT, cloud, véhicule et infrastructure de recharge, le modèle de gouvernance doit s’aligner. Kiteworks propose cette gouvernance transversale pour les données sensibles : application unifiée des règles sur tous les canaux de communication, avec un journal d’audit consolidé qui élimine les angles morts créés par les outils fragmentés.

Rendez l’évaluation des risques continue, et non périodique. VicOne préconise de remplacer les évaluations statiques par une « Dynamic TARA » événementielle, déclenchée par les changements de code, mises à jour SBOM, divulgations zero-day et renseignements sur les menaces. Cela correspond à la tendance du secteur, qui passe de la préparation à l’audit périodique à la conformité continue. L’application des règles en temps réel et la collecte automatisée de preuves par Kiteworks apportent cette garantie : une preuve continue que les contrôles sont actifs, et pas seulement documentés.

Considérez SBOM et AI BOM comme des actifs de conformité. La traçabilité est fondamentale pour les audits, les enquêtes sur incidents et la responsabilité des fournisseurs. Les organisations ont besoin d’une visibilité en temps réel sur la supply chain logicielle, pas de simples inventaires statiques. Les journaux d’audit détaillés de Kiteworks — qui tracent chaque fichier, chaque utilisateur, chaque action sur chaque canal — offrent le modèle de traçabilité désormais requis pour les composants logiciels dans l’automobile.

Renforcez chaque frontière de confiance où circulent des données personnelles. Le rapport recommande une meilleure sécurité mémoire, l’isolation des privilèges, la validation des entrées et une surveillance comportementale continue pour les systèmes d’infotainment et d’IA. Ce sont les mêmes principes appliqués par Kiteworks à la donnée d’entreprise : architecture zero trust où toutes les adresses IP sont bloquées par défaut sauf exception explicite, pare-feu réseau embarqués, détection d’intrusion et clés de chiffrement détenues par le client pour garantir qu’aucun tiers ne puisse accéder aux données protégées.

Fournissez au conseil d’administration des preuves, pas des tableaux de bord saturés d’alertes. Le WEF rapporte que les membres de conseils d’administration d’organisations très résilientes assument une responsabilité personnelle en cas de brèche cyber près de trois fois plus souvent que dans les organisations peu résilientes (30 % contre 9 %). Les conseils veulent savoir : quel pourcentage de données sensibles est chiffré, quels contrôles ont été appliqués, quelles exigences réglementaires sont respectées. Kiteworks fournit le statut de conformité sur plus de 50 cadres, une visualisation des risques sur les données et une automatisation du reporting réglementaire qui génère les registres RGPD article 30, rapports d’audit HIPAA, notifications d’incident NIS2 et preuves CMMC — dans un langage exploitable par les conseils.

Le risque transverse exige une gouvernance transversale

Le message central du rapport VicOne 2026 est que la confidentialité et la conformité dépendent désormais d’une gouvernance cybersécurité transversale. Le risque d’exposition des données ne réside pas seulement là où sont stockées les informations personnelles identifiables. Il émerge à l’intersection des véhicules, services cloud, pipelines OTA, systèmes distributeurs, supply chain IA et infrastructures de recharge électrique — souvent au-delà des frontières réglementaires, et presque toujours entre plusieurs organisations.

Il ne s’agit pas d’un problème propre à l’automobile. C’est le même risque systémique que le WEF identifie dans tous les secteurs interconnectés. C’est la même vulnérabilité supply chain que rencontrent les RSSI de la finance, de la santé, de l’industrie et des infrastructures critiques lorsqu’ils ne peuvent garantir l’intégrité des logiciels, matériels et services tiers qui traversent leurs écosystèmes.

Les organisations qui parviendront à maîtriser ce risque sont celles qui cesseront de gouverner la sécurité en silos pour la piloter sur tous les domaines où circulent les données sensibles. Kiteworks rend cela opérationnel : gouvernance unifiée des données, application des règles en temps réel, traçabilité complète, reporting exécutif qui prouve la conformité, et architecture de chiffrement qui garantit que la sécurité déclarée est bien la sécurité réelle.

L’ère de l’Overlap n’est pas transitoire. C’est la nouvelle réalité pour toute organisation dont les données, systèmes et partenaires sont interconnectés. La question n’est pas de savoir si votre programme de sécurité sera confronté au risque transverse. La question est de savoir si votre infrastructure de gouvernance est conçue pour y faire face.

Pour découvrir comment Kiteworks peut vous accompagner, réservez votre démo personnalisée dès aujourd’hui.

Foire aux questions

ISO/SAE 21434 impose la mise en place d’un système de gestion de la cybersécurité couvrant l’évaluation des risques (TARA), l’analyse des menaces en phase de conception et la surveillance post-développement tout au long du cycle de vie du véhicule. Sa limite : elle est centrée sur le véhicule et ne régit pas les backends cloud, l’infrastructure de recharge électrique ou les écosystèmes d’applications tierces. Lorsqu’une attaque passe d’une API d’application compagnon au système du véhicule, la conformité 21434 côté véhicule ne traite pas l’origine de l’exposition. Les journaux d’audit transversaux et l’application unifiée des règles comblent ce que 21434 laisse sans gouvernance.

La Dynamic TARA remplace l’évaluation ponctuelle des menaces par une analyse déclenchée par événement — s’exécutant automatiquement lors des fusions de code, des modifications SBOM, des divulgations zero-day et des mises à jour de renseignements sur les menaces. L’approche statique échoue car les véhicules définis par logiciel reçoivent des mises à jour OTA continues, ce qui fait évoluer la surface d’attaque entre deux évaluations. Une vulnérabilité révélée le lendemain d’une TARA statique ne sera évaluée qu’à la prochaine revue planifiée — parfois des mois plus tard — offrant une fenêtre structurelle aux attaquants. La journalisation continue et l’application des règles en temps réel apportent l’équivalent pour la gouvernance des données.

Les applications compagnons détiennent des jetons OAuth longue durée donnant accès à l’état du véhicule, à l’historique de localisation, aux commandes à distance et aux données de compte. Un défaut d’autorisation objet — quand les endpoints API ne vérifient pas que l’utilisateur est bien propriétaire de la ressource — permet une exposition massive des données : un compte compromis peut accéder aux données d’autres utilisateurs via le même endpoint. Contrairement aux attaques embarquées nécessitant une proximité physique, ces failles API sont exploitables à distance et à grande échelle. Il s’agit des mêmes abus de jetons documentés par Unit 42 dans les environnements SaaS d’entreprise — même architecture, même risque supply chain, même exposition de données personnelles à l’échelle du véhicule.

Les données cockpit — historique de localisation, enregistrements vocaux, contacts, comportements de conduite, informations d’appareils appairés — constituent des données personnelles au sens du RGPD, du CCPA et de cadres équivalents. Toute exfiltration non autorisée déclenche une obligation de notification de violation, que l’attaquant chiffre ou non les systèmes. Selon le RGPD, il s’agit d’un délai de notification de 72 heures à l’autorité de contrôle. Pour les opérateurs de flotte traitant les données de conduite de leurs employés, l’exposition s’étend aux obligations de confidentialité liées à l’emploi. Les contrôles de gouvernance des données qui limitent la conservation, la durée et les restrictions d’accès aux données cockpit sont la seule mesure préventive avant incident.

La répartition de la responsabilité dépend des contrats de traitement des données et de la réglementation applicable. Selon le RGPD, si le constructeur est responsable du traitement et que le fournisseur de rang 2 traite les données pour son compte, le constructeur assume l’obligation principale de notification et de responsabilité — même si la brèche démarre en amont. L’UN R155 impose aux constructeurs la gestion de la cybersécurité, y compris la supervision de la supply chain. Les constructeurs incapables de prouver le contrôle des accès fournisseurs, la traçabilité des échanges de données et l’existence de clauses contractuelles de sécurité s’exposent à des responsabilités réglementaires et civiles en cas d’incident en cascade exposant les données des utilisateurs finaux.

Ressources complémentaires

  • Article de blog Zero Trust Architecture : Ne jamais faire confiance, toujours vérifier
  • Vidéo Microsoft GCC High : Les inconvénients qui poussent les sous-traitants de la défense vers des solutions plus intelligentes
  • Article de blog Comment sécuriser les données classifiées une fois signalées par le DSPM
  • Article de blog Instaurer la confiance dans l’IA générative grâce à une approche Zero Trust
  • Vidéo Guide ultime pour sécuriser le stockage des données sensibles à destination des DSI

Lancez-vous.

Il est facile de commencer à garantir la conformité réglementaire et à gérer efficacement les risques avec Kiteworks. Rejoignez les milliers d’organisations qui ont confiance dans la manière dont elles échangent des données privées entre personnes, machines et systèmes. Commencez dès aujourd’hui.

VOIR LA DÉMO

Table of Contents

Table of Content
Partagez
Tweetez
Partagez
Explore Kiteworks