Le développement rapide du véhicule autonome et connectée indique qu’il est urgent de mettre en œuvre des mesures pour réduire le risque cyber.

Dans un premier temps, ces mesures consistent à adapter des concepts de cybersécurité connus et maitrisés tout en s’adaptant à un environnement nouveau, dans un contexte marché ultra-concurrentiel et confronté à des usagers de plus en plus exigeants.

Dans un second temps, il s’agit de mettre sous contrôle des systèmes critiques intelligents, interactifs, et ce en temps réel afin de se prémunir d’attaques évolutives, de plus en plus sophistiquées et difficiles à anticiper.

Des concepts de cybersécurité connus… mais qui doivent tenir compte des contraintes propres aux systèmes embarqués

La course à l’innovation autour du véhicule connecté conduit à la mise en œuvre de plus en plus de services, ce qui augmente le niveau d’exposition du véhicule à de nombreuses menaces – adeptes du car tuning, hacktivistes, organisations criminelles, gouvernements etc.

La mise sur le marché de nouveaux modèles de véhicules pourrait être conditionnée par sa capacité à se protéger des cybermenaces. En effet cette protection pourra s’appuyer sur des incontournables de la cybersécurité tels que : la gestion des identités et des accès (authentification forte, infrastructure PKI…), la segmentation des réseaux et le regroupement par actifs critiques (Firewall, Gateway…), le chiffrement des données et des communications (via un réseau Ethernet, des environnements d’exécution protégés), la détection et la supervision des composants critiques (SIEM embarqué, sonde de sécurité IPS/IDS…).

Contrairement à un système d’information d’entreprise, un véhicule connecté est un produit contenant un système pouvant s’apparenter à un système d’information à espace fini, à prix fixe et en mouvement. Autant de contraintes différentes de celles d’un SI classique qui complexifient sa sécurisation. Celle-ci doivent être prises en compte au plus tôt, dès la phase de conception du véhicule :

• Le coût du véhicule – Des solutions cybersécurité connues certes, mais qui doivent néanmoins s’intégrer dans un système initialement mécanique/électronique où le coût de chaque pièce doit être justifié afin de ne pas trop augmenter le Prix de Revient à la Fabrication (PRF). L’important étant de maintenir un équilibre coût/risques acceptable pour garantir la sécurité de l’usager.

• La dimension et le poids du véhicule – L’encombrement et le poids sont les deux principaux ennemis des solutions de transport. L’intégration de composants embarqués et de modules de cybersécurité supplémentaires peut amener à une modification des architectures physiques des véhicules. Mais l’évolution d’un véhicule n’est pas aussi aisée que celle d’un système d’information classique ; au vu du contexte une approche modulaire permettant l’ajout de capacité hardware dès la phase de conception pourrait être envisagée.

• La capacité de calcul en temps réel – Selon la criticité des composants du véhicule, il pourra être décidé d’y sécuriser certaines communications (via chiffrement, signature). Une analyse fine et une priorisation des échanges à protéger sont préconisées, les mécanismes de cryptographie étant très consommateurs en ressources et puissance de calculs.

• L’expérience utilisateur – Les constructeurs automobiles ont toujours cherché à développer le concept de confort et de plaisir de la conduite. L’intégration de la cybersécurité dans le véhicule ne doit pas aller à l’encontre de ce principe et nombre d’utilisateurs ne sont probablement pas prêts à accepter la cybersécurité au détriment de leur expérience de conduite. Ainsi, il paraît difficilement envisageable de demander à un conducteur d’entrer un mot de passe à chaque démarrage du véhicule, encore moins de configurer un nouvel utilisateur pendant plusieurs minutes à chaque fois qu’il prête son véhicule. Les problématiques de cybersécurité permettent d’identifier de nouveaux usages et de se positionner au service de l’expérience utilisateur. Cela peut conduire au développement de solutions innovantes comme l’authentification de l’usager via smartphone ou la délégation de droits d’accès au véhicule via une application.

• La mobilité et la connectivité – La détection d’incidents et la supervision des composants critiques du véhicule nécessitent une disponibilité et une remontée des logs en continue.  Sachant qu’un véhicule en mouvement peut être amené à se retrouver dans une zone à couverture réseau limitée (voir nulle), ces problématiques de connectivité amènent à concevoir des systèmes de supervision et détection directement intégrés au véhicule. De manière générale, face à la perte de connectivité, la résilience doit être généralisée à l’ensemble des fonctions (cyber ou non) du véhicule.

• Le cycle de vie – La durée de vie peut varier d’un véhicule à l’autre, historiquement basée sur l’usure mécanique que subissent les voitures. Désormais le véhicule c’est aussi un ensemble de composants électroniques et de services qui doivent s’adapter à un cycle de vie long. Chaque système et solution informatique incorporés au véhicule doivent être conçus pour fonctionner et être supportés dans la durée. Le défi que devront relever les constructeurs est de contrôler l’obsolescence et maintenir en condition opérationnelle leur parc automobile. Le développement des systèmes de mise à jour Over-The-Air (OTA) deviendra une nécessité pour le déploiement des patchs et correctifs de sécurité.

Les principaux enjeux de cybersécurité

La (cyber)sécurité des véhicules n’est pas qu’une affaire de solutions techniques

Convergence de l’ingénierie automobile et du digital

Le croisement des univers de l’ingénierie et du service devient un sujet prioritaire chez les constructeurs automobiles, provoquant certains changements dans leur cœur de métier. La gouvernance doit évoluer en prenant en compte un certain nombre d’actions indispensables à la sécurisation de leurs véhicules et plateformes de services.

Il est important de s’assurer que la cybersécurité soit pensée et intégrée dans l’ensemble des étapes du projet tout en disposant des ressources et compétences nécessaires.

La mise en circulation d’un véhicule impose aussi de gérer lors de cette phase des problématiques de maintien en condition opérationnelle et de sécurité des systèmes développés, qu’ils soient embarqués ou débarqués (plateforme de services connectés). Ainsi les constructeurs opèrent dans un environnement qui les positionne, à la fois, en fournisseur de produit mais aussi de services automobiles.

On constate que le temps moyen de développement et d’intégration d’un véhicule est d’environ 3 à 5 ans, là où il faut quelques mois pour développer et mettre en production un nouveau service (connecté).

De fait, pour faire face à un marché toujours plus concurrentiel ; les architectures développées du véhicule doivent être en capacité de supporter l’approvisionnement régulier de nouveaux services tout au long du cycle de vie. Il sera nécessaire de garantir un maintien du niveau de sécurité, de sureté et de qualité du véhicule.

Ainsi, on peut logiquement s’attendre à une transformation des scénarios de développement et d’intégration, avec un véhicule qui voit sa plateforme devenir plus modulaire, plus évolutive pour réduire ce fameux « time-to-market ». Les services quant-à-eux se verront soumis à un développement Agile avec un temps de mise en production plus flexible afin que les mondes de l’ingénierie et du service soient de nouveau « synchronisés » et puissent travailler en synergie.

Le ruissellement de la cybersécurité des constructeurs aux fournisseurs

La question de la responsabilité en cas d’accident lié à une cyber attaque ou à un incident système devient également un sujet urgent à adresser. En effet, par défaut la responsabilité de l’accident serait attribuée au système assurant le déplacement sécurisé de la voiture. Le constructeur automobile, créateur du système, devrait en assumer la défectuosité (conformément à la partie responsabilité du fait des produits défectueux issu de la loi n°98-389 du 19 mai 1998). C’est pourquoi les constructeurs (ou OEMs – Original Equipment Manufacturer) auront la responsabilité de s’assurer que les fournisseurs de rang 1 (Tiers-1) et plus, s’engagent eux aussi dans une démarche d’intégration de la cybersécurité dans les produits fournis. La sécurité de bout-en-bout du véhicule ne pourra être assurée que par la déclinaison d’exigences de sécurité sur l’ensemble de la chaine fournisseur., intégrées dans les cahiers des charges, renforcées au sein des contrats et vérifiées à la livraison.

La problématique de la cybersécurité dans l’écosystème automobile est prise très au sérieux par les instances internationales et plus particulièrement par la Commission Economique pour l’Europe des Nations Unies qui entend faire de la nouvelle norme, l’ISO/SAE 21434, une base commune de référence que l’ensemble des acteurs de cet écosystème devront respecter. Cette norme encore en cours d’élaboration fera l’objet d’un prochain article.

Cet article Saga 3/3 : La sécurité des véhicules connectés, les réponses pour une transformation nécessaire ! est apparu en premier sur RiskInsight.

De ce fait, la surface d’attaque des véhicules s’élargie, ceci les exposant à de nouveaux risques qui peuvent compromettre la sécurité des passagers mais aussi des personnes aux alentours du véhicule qui subirait une cyberattaque. En effet, de nombreux chercheurs ont déjà réussi à faire aboutir différentes attaques sur des véhicules récents du marché et ont même pu en prendre totalement contrôle.

Dans le monde de l’automobile connectée, quels types d’attaques ont pu aboutir à ce jour ? Quels sont les vecteurs de ces attaques ? Et quels sont les motifs de ceux qui les réalisent ?

Un large panel de cyberattaques déjà réalisées sur les voitures connectées et autonomes…

Au cours des dernières années, des vulnérabilités aussi nombreuses que variées ont été découvertes par des chercheurs sur les véhicules connectés. En 2015, deux études particulières ont généré une large couverture médiatique, amenant le sujet de la sécurité des véhicules connecté sous les feux des projecteurs.

La première a été réalisé par les chercheurs Américains Charlie Miller et Chris Valasek, qui ont réussi, à distance, à compromettre la plateforme embarquée du groupe Fiat Chrysler leur permettant de prendre le contrôle de nombreuses fonctions telles que le réglage du volume de la radio et même la possibilité d’actionner les freins. La porte d’entrée de leur attaque était le point d’accès à internet Uconnect  qui est utilisé pour contrôler le système de navigation et de divertissement des voitures. En compromettant l’accès internet, ils ont pu rebondir sur la carte à puce d’un boitier de contrôle du système de divertissement et réécrire le code source en y intégrant leurs fonctions malveillantes sans être détectés. A l’aide de ce composant corrompu, ils ont été capables d’envoyer des commandes via le réseau interne du véhicule (le CAN-bus) à différents éléments physiques tels que le moteur ou les roues. Suite à la présentation de la vulnérabilité et des scenarios d’attaque par les chercheurs, Fiat Chrysler a du patcher 1,4 millions de véhicules en envoyant des clés USB à tous les clients concernés pour qu’ils puissent corriger eux même le défaut de conception de leur véhicule.

© ANDY GREENBERG/WIRED

La seconde a concerné une Tesla Model S. Outre les cyberattaques rendues possible grâce à un accès physique ou une connexion distante, d’autres ont elles visé les capteurs utilisés dans de nombreux véhicules pour détecter d’éventuels obstacle et analyser leur environnement². En effet, en 2016, des chercheurs Chinois ont montré comment attaquer la Tesla Model S via ses différents capteurs : Radars à ondes millimétriques (Radars MMW), cameras LiDAR, , capteurs ultrasons, etc. Ils ont présenté les scenarios d’attaque suivants :

• Brouillage de signal des radars MMW : utilisation d’un transmetteur réglé sur la même fréquence que celle du récepteur du véhicule et avec le même type de modulation permettant de neutraliser tous les signaux envoyés au récepteur. Durant cette attaque (« évaporation d’obstacle »), le véhicule est incapable de détecter les obstacles présents sur sa route et donc de les éviter.

A travers le monde, les équipes de chercheurs ont donc réussi à faire aboutir des cyberattaques variées sur des véhicules modernes de différents constructeurs, qui sont résumées sur la frise chronologique ci-dessous.

Il y a 6 vecteurs d’attaque principaux pour les véhicules connectés et autonomes :

Les véhicules récents peuvent se connecter aux réseaux 3G/4G et fournissent des accès Wi-Fi et Bluetooth aux passagers. Ces technologies sont des standards qui présentent des vulnérabilités : de nombreuses attaques sur ces réseaux de communication sont belles et bien connues. Il est facilement possible d’imaginer un attaquant qui pénètre à distance le réseau local du véhicule, ceci en utilisant ces canaux de communication ou en réalisant une attaque “Man-In-The-Middle”, afin de dérober des données personnelles, altérer des services voire même prendre le contrôle de certaines commandes comme vu précédemment.

De plus, il est possible de se connecter directement au véhicule. En effet, toutes les voitures ont un port ODB utilisé à des fin de diagnostique lors de l’entretien et les plus modernes équipées de systèmes de divertissement dernière génération offrent des ports USB. Ces accès physiques représentent une porte ouverte pour les attaquants leur permettant de mener à bien des actions malveillantes aux conséquences lourdes : Blocage d’une partie ou de l’ensemble des systèmes dû à un ransomware, fausses informations envoyées via le réseau interne, altération de l’unité de commande électronique par un malware, etc.

A l’avènement des véhicules autonomes, de nouvelles techniques d’attaque sont à considérer. La conduite autonome repose sur de nombreux capteurs en interaction continue avec leur environnement, dans le but de collecter les informations relatives à la route, au trafic, etc. Les attaques visant ces capteurs peuvent avoir des impacts dramatiques. En effet, le détournement des fonctions primaires des capteurs ou des infrastructures routières par des personnes malintentionnées, peut mener à des accidents. Par le passé, des accidents mortels ont eu lieu, dus à des défauts d’interprétation des capteurs : dans le cas le plus récent, la caméra de la voiture n’a pas pu détecter un camion blanc, éblouie par le soleil rasant.

Nous le constatons, les voitures deviennent un point de connexion central avec l’internet des objets. Les services fournis par les Smartphones (Apple Car, Android Auto)  et autres appareils, deviendront à leur tour vecteurs d’attaques. Par exemple, une authentification compromise gérée par le Smartphone connecté au véhicule, pourrait donner un accès illimité à des fonctionnalités physiques (déverrouillage des portes, ouverture du coffre, etc.).

En fonction du vecteur utilisé, les attaques peuvent être catégorisées et :

• Peuvent affecter un seul véhicule ou une flotte entière, ce qui en augmenterait l’impact ;
• Peuvent être réalisées à proximité du véhicule mais également à distance, ceci changeant les possibilités des attaquants et contribuant à augmenter la complexité de l’attaque.

Capteurs, IoT, réseaux publics et privés, les véhicules connectés et autonomes sont un concentré de technologies.  Ils constituent donc un large terrain de jeu pour les attaquants déjà aux aguets ! Mais quelles sont les motivations qui les poussent à perpétrer ces attaques ?

Quelles peuvent être les motivations derrière de telles cyberattaques ?

Les motivations sont en effet diverses et variées, nous les représentons ci-dessous suivant 5 catégories :

• Idéologie : De nombreuses organisations militent contre l’industrie automobile, ce qui pourrait les amener à lancer des attaques contre les véhicules connectés et autonomes. Par exemple, une organisation de protection de l’environnement qui détournerait le système de divertissement pour passer des messages militants ou perturber le fonctionnement des véhicules pour les immobiliser.
• Financières : Des hackers peuvent perpétrer des attaques basiques comme voler des données du véhicule dans le but de les revendre ou de les utiliser. Par exemple pour avoir un accès gratuit à un service de streaming de musique en piratant le système de divertissement.
• Déstabilisation : Des attaques peuvent être lancées sur de nombreux véhicules afin de perturber leur fonctionnement ou de les immobiliser. Par exemple, le cas d’un état qui ferait une tentative de déstabilisation d’un ennemi ou un concurrent qui voudrait dégrader l’image d’un constructeur.
• Meurtre : La possibilité de prendre un contrôle total sur un ou plusieurs véhicules pour mettre en danger la vie de personnes en les utilisant comme des armes peut être considérée par des organisations criminelles et terroristes.
• Obtention de moyen d’attaque : Les véhicules vont devenir des systèmes informatiques très sophistiqués avec une très grande puissance de calcul. Si des vulnérabilités sont exploitées, les voitures pourront être utilisées pour espionner les utilisateurs ; leur puissance de calcul peut aussi servir lors d’attaques brut force ou comme botnet lors d’attaques DDOS.

Les véhicules modernes disposent de nombreuses façons de se connecter via des systèmes externes vulnérables : Bluetooth, Wi-Fi, USB, etc. Avec le développement des véhicules autonomes, des plateformes de service et les infrastructures routières connectées, la surface d’attaque des véhicules va considérablement augmenter de la même manière que les impacts associés qui vont devenir très sérieux et dangereux pour les utilisateurs. De ce fait le piratage des véhicules va attirer de plus en plus d’attaquants, se généraliser et se sophistiquer.

Il est devenu urgent d’adopter une approche détaillée pour sécuriser les fonctions vitales du véhicule assurant la sécurité des passagers. Les mesures de sécurité et l’organisation de la cybersécurité déployées s’inspirent du monde de l’IT mais doivent être adaptés au secteur de l’automobile. Dans ce contexte, des start-ups sont en mesure d’apporter des solutions aux challenges techniques et réglementations telle que l’ISO21434, en cours de développement, posant un cadre global pour augmenter le niveau de sécurité des véhicules connectés. Mais concrètement, quelles sont ces solutions et comment protègent-elles les véhicules des cyberattaques ? Patience, nous vous le présenterons très prochainement !

Cet article Saga 2/3 : La voiture connectée, route semée d’embûches (…et de failles de sécurité) est apparu en premier sur RiskInsight.

Cette saga se propose de vous présenter dans un premier temps le véhicule connecté et les défis cybersécurité associés ; les principales sources de menace et les risques seront abordés lors d’une prochaine publication. Enfin, un troisième article vous présentera nos convictions et premiers éléments de réponse pour y faire face.

La voiture connectée : un objet au cœur d’interactions multiples

Divertissement, extension du smartphone, mobilité partagée, gestion de vie de la voiture … Les utilisateurs sont demandeurs de nouvelles expériences et ces services et applications engendrent de multiples interactions. On peut ainsi imaginer une voiture communicante capable de trouver une place de parking libre, planifier automatiquement un rendez-vous pour sa maintenance ou déclencher un feu au vert à son passage. Depuis le 1^er avril 2018, tous les nouveaux modèles de véhicules doivent d’ailleurs posséder un système d’appel d’urgence et de géolocalisation pour contacter les secours en cas d’accident. A ce titre, ils sont déjà « connectés ».

Les constructeurs et autres acteurs se saisissent déjà de cette opportunité de maintenir une relation étroite avec les clients tout au long du cycle de vie du véhicule. Ils deviennent ainsi des « fournisseurs de services et de solutions mobilités », s’appuyant entre autres sur les données collectées. D’autant plus que cette connectivité constitue une étape vers l’autonomie, le véhicule ayant besoin de pouvoir communiquer avec ses homologues et avec l’environnement. Le mouvement est en marche et va s’amplifier progressivement.

Cependant, le constat est aujourd’hui sans appel : la problématique de cybersécurité n’est pas ou peu prise en compte, alors qu’elle doit être partie intégrante de la solution connectée, dès sa phase conception et jusqu’à la fin du cycle de vie. Cette réflexion est essentielle pour réussir à préserver l’intégrité du véhicule, la vie des passagers et respecter les réglementations en vigueur et à venir.

Le premier prérequis consiste à correctement appréhender les technologies et l’écosystème du véhicule connecté.

Comment le véhicule interagit-il avec son environnement ?

Un véhicule connecté est un véhicule qui possède la particularité d’être en interaction avec son écosystème, à courte ou à longue portée, via des flux de données mobiles.

• Connexion courte portée: Le véhicule interagit directement avec un objet (smartphone, infrastructure, etc.), sans intermédiaire. Il utilise des technologies avec un rayon d’action limité (WAVE, Wifi on board, bluetooth, etc.) avec des échanges en local.
• Connexion longue portée: Le véhicule utilise un accès distant pour interagir avec des éléments externes via une plateforme cloud. Les connections 4G et bientôt 5G sont les technologies de prédilection pour raccorder le véhicule à internet.

Ce concept de véhicule connecté englobe également les échanges avec l’environnement direct du véhicule sous le terme de «Vehicle-To-Everything » (ou V2X). Enfin, la norme ISO 20077 décrit l’« Extended Vehicle » (ou ExVe) comme étant un ensemble composé du véhicule physique ainsi que toutes les plateformes et infrastructures qui sont sous la responsabilité du constructeur automobile.

De nombreux écosystèmes et acteurs devront cohabiter

La voiture était autrefois un système très fermé ; à l’exception d’une prise diagnostique pour les garagistes et d’un peu de connectivité pour diffuser du contenu multimédia, le risque était jusque-là contenu. Aujourd’hui, la multiplication des éléments de connectivité et l’accès à internet ouvrent de nouvelles opportunités pour les constructeurs et fournisseurs de services, mais aussi pour une personne malveillante.

Le premier écosystème à considérer est celui du véhicule embarqué. Les systèmes électroniques et de communication doivent pouvoir communiquer entre eux sans que les données transmises ou les secrets stockés ne soient altérés ou dérobés. Parmi ces systèmes, on retrouve les ECU, ces mini « ordinateurs embarqués » qui pilotent des fonctions clés du véhicule telles que le système de freinage, la climatisation, l’éclairage, etc.

Au-delà de la sécurité embarquée, on retrouve les utilisateurs et le propriétaire (qui n’est pas forcément un particulier) bénéficiant de droits afin de donner des ordres au véhicule selon les règles prédéfinies. Dans le futur, leur authentification sera certainement primordiale pour des questions de responsabilités ainsi que la vérification de la légitimité des ordres qu’ils émettent.

Un autre aspect très important concerne les services connectés qui utilisent des plateformes centralisées, voire dans le cloud, mises en œuvre par les constructeurs ou par des partenaires. Ces plateformes représentent une menace importante car elles peuvent déclencher des commandes sur une flotte entière de véhicules, et donc avoir un impact démultiplié. Les constructeurs devront mettre en place des solutions sécurisées adéquates pour autoriser ces services, en combinant leur propre plateforme, celle des partenaires et les API sur le véhicule, et s’assurer du niveau de confiance de l’environnement.

Enfin, à moyen terme, les objets extérieurs et l’environnement proche (autres véhicules, garage, parking, infrastructure routière, etc.) devront communiquer et partager des informations. Les enjeux de sécurisation en temps réel (disponibilité, intégrité, etc.) seront alors des challenges complexes à relever.

Des enjeux cybersécurité : du monde virtuel à la réalité

La sécurité des hommes à l’intérieur et à l’extérieur du véhicule est une préoccupation de tout premier plan pour le secteur automobile. Il serait donc logique de penser que les problématiques de cybersécurité soulevées par le véhicule connecté seront traitées avec la même rigueur, dans le but de garantir les fonctions de safety et d’intégrité de la voiture.

Le premier enjeu est un défi organisationnel à relever pour tous les acteurs et notamment les constructeurs, car l’avènement de ce nouveau modèle provoque la réunion de deux mondes opposés : d’un côté, celui des services et de l’autre celui de l’ingénierie. Le premier est tout en agilité et rapidité, avec de très nombreux projets à court terme. Le second, avec un cycle de développement plus long, doit répondre à des exigences en matière de safety et de qualité afin de permettre l’homologation du véhicule. Cette dichotomie a des impacts sur la cybersécurité et notamment son intégration dans les projets, ou encore la couverture du risque end-to-end. Par exemple, le backend devient, de par sa position, un point névralgique à sanctuariser pour éviter tout risque d’attaque systémique avec des répercussions sur l’ensemble de la flotte. Malheureusement sa sécurité n’est aujourd’hui pas appréciée à sa juste valeur, principalement pour des exigences de time-to-market très court.

En ce qui concerne les autres enjeux, force est de constater que les thématiques de cybersécurité pour le véhicule connecté ne diffèrent pas beaucoup de celles que l’on connait dans le monde SI : gestion des identités et des accès, détection et réponse, sécurité des infrastructures, cryptographie, gestion des parties tierces ou encore patch management… Un véhicule connecté est un SI « mobile », et les différentes normes de sécurité (ISO2700x, NIST 800, etc.) sont déjà déclinées sous forme de bonnes pratiques dans différents guides et référentiels (SAE J3061, AUTOISAC, NHST, etc.) et seront prochainement l’objet de la norme ISO/SAE 21434.
Cependant, un certain nombre de contraintes inhérentes au véhicule et aux systèmes embarqués impliquent de considérer ces sujets sous des angles spécifiques et originaux.

La mobilité et la connectivité du véhicule complexifient sa sécurisation : il faut prévoir la sécurité dans un contexte de connexion limité ou inexistante, avec un environnement changeant. L’aspect réglementaire n’est pas en reste, le véhicule étant amené à se déplacer à l’international.

Le monde de l’embarqué pose également des restrictions sur le matériel, en termes de coût, de puissance de calcul et d’encombrement.

La question de la mise à jour des composants et des services se pose vis-à-vis d’un système devant fonctionner à tout moment mais pouvant aussi être arrêté sur de longues périodes.

Enfin, le véhicule est promis à un cycle de vie long, ce qui implique de penser dès le début sa sécurité notamment par rapport à la gestion des identités et des accès. Cette durée de vie impose aussi de réfléchir à des standards évolutifs dans le temps, ainsi qu’à un modèle de mises à jour garantissant la sécurisation du véhicule de manière durable et soutenable pour les constructeurs.

La route est longue et la cybersécurité s’invite à un carrefour où on ne l’attendait pas il y a une dizaine d’années encore. Il est urgent que chaque acteur réalise l’importance de l’effort demandé et commence à prendre le virage dès maintenant, avant qu’il ne soit trop tard.

Cet article Saga 1/3 : La voiture connectée, entre cybersécurité et safety est apparu en premier sur RiskInsight.

Les usages voyageurs en mobilité : toujours plus de data

Le taux d’équipement mobile des Français n’a cessé de progresser au cours de ces dernières années. Ordinateurs portables, smartphones, tablettes ou objets connectés sont les quatre grandes familles les plus plébiscitées. Si le palmarès des principaux usages d’internet diverge peu selon les terminaux, l’utilisation de la messagerie ainsi que la recherche et le surf sur internet restent prépondérants.

En revanche, l’utilisation de ces équipements diffère selon le lieu : 43% des smartphones sont utilisés dans les transports en commun contre seulement 25% pour les tablettes. La consommation de données mobiles continue de progresser et a été multipliée par 5 en 3 ans, passant à une consommation moyenne de 380 Mo d’internet mobile par mois depuis un smartphone en 2014 selon l’ARCEP (Autorité de Régulation des Communications Électroniques et des Postes).  Parmi les personnes disposant d’un équipement portable, 90% déclarent l’utiliser en mobilité avec une activité liée à internet.

Assurer la connectivité à bord : des difficultés techniques à surmonter

Si les usages sont là, nombreux sont les voyageurs qui voient leur connexion s’interrompre lors d’un voyage en transport en commun en raison d’un signal trop faible. Comment l’expliquer ?

La connexion à internet dans le train ou en partie souterraine dans le métro représente un véritable défi technologique. En effet, l’acier des voitures mais également la hauteur des trains affaiblissent sensiblement la pénétration des ondes des réseaux mobile 3G/4G, rendant ainsi la connexion difficile, voire impossible. D’autres facteurs interviennent comme le positionnement du voyageur dans la rame qui atténue la réception des ondes mobiles. La couverture des tunnels est également un défi car l’espace disponible entre les parois et les trains, notamment les trains à deux niveaux, ne laisse pas beaucoup d’espace pour installer des relais radio. Le recours à des câbles rayonnants très coûteux peut s’avérer indispensable dans certains cas. Enfin, le Train à Grande Vitesse (TGV) avec sa vitesse de croisière à plus de 300 km/h complexifie également la réception des signaux.

Pour remédier à des problèmes de propagation, certains transporteurs installaient des équipements à bord permettant de fournir une connexion Wi-Fi couplée à des liaisons satellitaires ou à des liaisons 3G/4G. Mais de plus en plus, ils abandonnent les liaisons satellitaires, chères et ne passant pas dans les tunnels, au profit des liaisons externes 3G/4G. C’est le cas par exemple de Thalys sur la ligne Paris-Bruxelles et de la SNCF sur la ligne TGV Est qui ont déployé une solution satellitaire dans un premier temps et adoptent une stratégie Wi-Fi à bord relayée uniquement par des liaisons externes 3G/4G.

Transporteurs et opérateurs : travailler main dans la main

Une solution consiste à utiliser uniquement la connectivité 3G/4G des opérateurs afin d’accroître la qualité de connexion à bord, mais nécessite de disposer d’une couverture digne de ce nom et de faire disparaître les « zones blanches ». Double bénéfice : les voyageurs peuvent accéder au réseau directement via leurs équipements, ou utiliser le Wi-Fi fourni par le transporteur.
Cela est possible uniquement à condition qu’une coopération puisse s’engager entre transporteurs et opérateurs car la couverture des lignes nécessite des investissements lourds : les opérateurs télécoms doivent-ils les supporter seuls ou les partager avec les transporteurs ? Stéphane Richard, PDG d’Orange, semble vouloir jouer le jeu. Il promet dans son plan stratégique « Essentiel 2020 » de couvrir en 4G 100% des moyens de transports, métro et TGV compris. Orange ira-t-il jusqu’au bout de sa promesse ? Les autres opérateurs, Bouygues Télécom, Free et SFR suivront-ils ?

Si l’ambition est louable, une couverture 4G de 100% de la totalité des réseaux ferroviaires et urbains nécessitera des investissements si conséquents que les transporteurs, l’État et les régions finiront par apporter leur concours financier. Les opérateurs doivent déjà engager des investissements lourds pour assurer leur rythme de déploiement « naturel » et il semble difficile d’ajouter la contrainte de couverture réseau sans contrepartie. Mais alors, si les transporteurs contribuent au financement des déploiements 3G/4G, auront-ils les moyens d’investir également pour déployer des équipements Wi-Fi à bord de leurs trains ? Il faut se rappeler que le coût (CAPEX) est de 350 k€ par rame selon les estimations SNCF, auxquels il faut ajouter le coût de la bande passante. Par ailleurs, si les déploiements 4G promis se réalisent avec une densité suffisante pour apporter directement aux voyageurs les débits dont ils ont besoin, est-il toujours nécessaire de déployer des équipements Wi-Fi à bord des trains ?

Un sujet à suivre au cours des prochains mois, et qui dépendra fortement des modèles économiques et des coûts que chacun acceptera de supporter !

Cet article Connectivité dans les transports : Wi-Fi, satellite, 3G/4G, quel cheval de bataille ? est apparu en premier sur RiskInsight.

Un concept, plusieurs technologies

La virtualisation du poste de travail permet d’héberger et de gérer de manière centralisée un environnement de travail dans un datacenter, l’utilisateur y accédant à distance depuis n’importe quel terminal. Ce concept regroupe en fait différentes technologies :

• Le SBC (Server Based Computing), technologie historique, popularisée par Citrix en particulier, où les utilisateurs accèdent à un bureau virtuel « partagé »,
• Le VDI (Virtual Desktop Infrastructure), où chaque utilisateur dispose de son propre poste de travail sous forme d’une machine virtuelle.

Les solutions des éditeurs intègrent souvent les deux technologies. Les entreprises ont alors le choix de leur implémentation (le SBC étant plus économique, le VDI proposant une meilleure expérience utilisateur). Une autre possibilité est d’utiliser les solutions de DaaS (Desktop as a Service) où l’environnement de travail virtuel est délivré sous la forme de service Cloud.

Le sujet étant assez complexe, les entreprises doivent réfléchir à l’intérêt et à la manière la plus efficace d’appréhender et de mettre en œuvre la virtualisation du poste de travail.

Une approche stratégique de mise en œuvre massive

Certaines entreprises sont pleinement convaincues par les apports de la virtualisation du poste de travail : bénéfices en termes de facilité de mise à jour des postes et des applications, de rapidité et de souplesse de mise à disposition d’environnements, de sécurité… voire de baisse des coûts (ce qui est plus discutable). Elles décident donc de s’engager dans la voie d’une implémentation sur un périmètre très large.

Cette vision peut également être renforcée par les difficultés rencontrées lors de la migration de Windows XP vers Windows 7, avec la volonté de ne pas renouveler cette (douloureuse) expérience. Par ailleurs, la virtualisation permet réellement de répondre à des enjeux actuels de l’entreprise et des Métiers : sécurité, mobilité, rapidité de déploiement, soit autant d’arguments en sa faveur.

Un déploiement massif peut donc être un choix justifié mais il convient de ne pas se leurrer : il s’agit d’un choix fort et d’une véritable rupture par rapport au modèle de poste de travail traditionnel, tant pour les équipes IT… que pour les utilisateurs. Une implémentation massive est un projet long, complexe qu’il convient de ne pas sous-estimer.

Cette approche nécessite donc un travail important de cadrage, d’évaluation des intérêts sans nier les limitations connues (expérience utilisateur pas toujours satisfaisante, utilisation en mode déconnecté…). En particulier, la virtualisation n’est pas le remède miracle permettant de régler tous les problèmes de gestion du poste de travail. Les difficultés liées à la complexité de paramétrage de l’environnement utilisateur, de compatibilités applicatives restent ainsi les mêmes que sur un poste traditionnel. Au final, il s’agit de bien identifier les raisons pour lesquelles on souhaite s’engager dans déploiement massif. Des enjeux importants de sécurité constituent par exemple un bon argument.

Une approche tactique par les besoins et les cas d’usage

Une autre voie, moins ambitieuse (au moins dans un premier temps), est de définir dans quels cas la virtualisation peut être une solution appropriée. Il ne faut cependant pas tomber dans une vision purement technologique mais au contraire adopter une approche centrée sur les besoins et les cas d’usages.

Pour cela, la première étape consiste à faire un état des lieux fonctionnel et technique exhaustif de l’existant au niveau de l’environnement de travail et d’identifier les besoins. Cela peut combiner des besoins purement internes à la DSI (meilleure gestion des postes par exemple), des enjeux au niveau de l’entreprise et des Métiers (continuité d’activité pour des collaborateurs clés) et des cas d’usage (télétravail, travail en mobilité, BYOD…).Il est nécessaire à chaque fois de cerner précisément les enjeux, les attentes, les échéances et les gains escomptés.

Il convient ensuite d’étudier les solutions de virtualisation du poste de travail les plus adaptées aux différents besoins (SBC, VDI, DaaS). Cela nécessite une bonne connaissance du marché et des offres, d’autant plus que celles-ci évoluent encore très régulièrement, notamment les offres DaaS assez récentes. Des rencontres avec les acteurs du marché sont à envisager.

La confrontation des besoins et des solutions possibles doit permettre de faire émerger des opportunités d’utilisation de la virtualisation et des scénarios de mise en œuvre. Chaque scénario doit être évalué selon différents axes afin d’en valider la pertinence : l’intérêt, le périmètre couvert, les coûts, les délais, la complexité, les impacts techniques et organisationnels, la technologie la plus adaptée.

Les scénarios retenus doivent enfin être mis en regard les uns des autres afin de définir une roadmap globale de mise en œuvre selon les priorités et les échéances. Cette roadmap est souvent progressive, permettant de déployer les solutions sur des périmètres restreints, de valider leur fonctionnement et leur adoption par les utilisateurs, avant d’envisager éventuellement un déploiement plus important. Cette approche plus prudente s’avère néanmoins très pragmatique et plus agile à mettre en œuvre.

Quelle approche privilégier ?

Une approche tactique consiste à mettre en place la virtualisation du poste de travail de manière ciblée pour des cas d’usage et des besoins bien identifiés. Dans la plupart des cas, cette dernière semble être plus pertinente. Elle permet à la DSI de mieux anticiper les écueils de la virtualisation des postes de travail, d’affiner son offre de service, sans pour autant s’interdire un déploiement beaucoup plus important par la suite.

Cet article Virtualisation du poste de travail : quelle stratégie adopter ? est apparu en premier sur RiskInsight.

Gares et aéroports, un rôle historiquement monofonctionnel

Autrefois appelées « embarcadères », les gares ont été des éléments clés de la révolution industrielle et de l’urbanisation des villes du XIXème siècle. Elles ont participé au façonnage des transports modernes en assurant une interconnexion continue entre les grandes agglomérations et les villes de province.

Situés en périphérie ou au cœur de la ville, ces espaces ont longtemps été réduits à des lieux de correspondance. La gare était centrée sur l’acheminement des voyageurs aux quais. L’aéroport assurait pour un départ ou une correspondance l’accès aux avions grâce aux zones d’embarquement.
Cependant le vieillissement des infrastructures et la hausse progressive du trafic voyageur rendent caduque ce modèle. Un travail d’adaptation aux nouvelles habitudes des voyageurs est en marche.

Des infrastructures vivantes au quotidien …

Gares et aéroports s’humanisent et se transforment en pôles d’échanges multimodaux où viennent se greffer une multitude de services. Les importants chantiers de modernisation de la Gare Saint-Lazare et de l’Aéroport Paris-Charles de Gaulle illustrent cette tendance de fond.
La Gare Saint Lazare a ainsi subi une véritable remise à plat de son espace public fin 2012 ; une reconversion marquée notamment par le réaménagement de son espace en galerie marchande qui permet d’enrichir le parcours du voyageur et de diversifier les revenus de l’entreprise SNCF par la rétrocession d’une quote-part des loyers des franchises.
Dans le même esprit, l’aéroport Paris-CDG a développé de nouvelles infrastructures sous la bannière du projet « Hub 2012 ». Un vaste chantier qui consiste à déployer une nouvelle salle d’embarquement pour les passagers des longs courriers et une zone commerciale proposant une gamme de service étendue (institut de soins, espace de relaxation, bars, restaurants, boutiques haut de gamme, …).Ces investissements seront complétés par l’installation d’un centre commercial premium « Aéroville » à proximité de Roissy.

Ces changements se traduisent au quotidien par des évolutions visibles par le client voyageur :
Au-delà d’une offre de service diversifiée et montant en gamme, les espaces d’attente s’aménagent et intègrent des aires de jeux pour enfants ou encore une connexion Wi-Fi gratuite. Pour offrir plus de confort, l’intérieur des espaces est ré-agencé avec des équipements plus modernes et un mobilier urbain pratique (ascenseur, escalators, identité visuelle et sonore…).
Au sol, un guidage et des itinéraires améliorent significativement l’orientation et les conditions d’accès aux trains. De l’entrée de la gare ou de l’aéroport à la zone de départ, le parcours du voyageur est balisé à l’aide de multiple points d’appui pour un repérage efficace (signalétique, luminosité, …).
Aux abords, on note un réaménagement des gares routières pour les correspondances avec les lignes de bus. L’accès immédiat aux quais ou aux halls d’embarquement est facilité, notamment pour les populations à mobilité réduite. Des bornes d’accès aux vélos en libre-service sont implantées… et connectées en temps réel avec l’usager
Les gares et les aéroports veulent tirer au maximum partie de l’omniprésence des technologies de l’information de la sphère individuelle, et s’appuient notamment sur la démocratisation des mobiles et l’explosion des réseaux sociaux.
Les smartphones permettent de rendre l’usager acteur de son parcours. Le mobile devient un vecteur de services personnalisés et d’informations en temps réel:

• Information commerciale : le voyageur réceptionne des SMS promotionnels et des coupons de réduction à son passage dans la zone commerciale. Il peut effectuer ses achats par mobile en utilisant les murs virtuels des magasins de distribution.
• Information sur l’offre de transport : le voyageur peut consulter les informations des panneaux d’affichage des autres transporteurs sur son mobile de manière dynamique. Des bornes interactives et tactiles complètent les informations.
• Information en temps réel : l’usager consulte une information continue sur le temps d’attente des trains, les perturbations éventuelles, les solutions de délestage en cas de forte affluence ou de situation dégradée.
• Des applications de mobilité développées par les opérateurs ferroviaires pour appuyer les voyageurs dans l’organisation de leur trajet en amont de celui-ci.

La relation entre le voyageur et la gare/aéroport prend une nouvelle dimension. La multiplication des occasions de contact avec les voyageurs contribue à faire émerger une relation « client/fournisseur ». En effet, le voyageur peut signaler via son mobile/une borne interactive les dysfonctionnements éventuels sur des installations en place ou sa perception de la qualité de service. En même temps, l’opérateur de transport collecte des informations lui permettant d’ajuster au mieux le contenu de son offre de services.

Et demain : l’émergence d’une plate-forme de services de mobilité ?

Une nouvelle approche collaborative se dessine qui permettra au voyageur de s’exprimer tout au long de son trajet.En surfant sur le vague des « réseaux sociaux », le voyageur participe pleinement à enrichir le socle de connaissance de son Transporteur par ses remarques et son expérience terrain.

L’innovation permanente et la coopération constitueront des axes forts de la phase de conception des services. Cette étape pourrait s’appuyer sur une plate-forme de mobilité ou viendront se greffer de multiples acteurs de la chaîne (intégrateurs, experts SIV, utilisateurs, exploitant, …), un processus de fabrication maîtrisant de manière complète les informations des canaux de production « Transporteur » et « Exploitant », des technologies innovantes au service des usages quotidiens et un pilotage global pour garantir la cohérence des services et enfin une organisation « agile » en cas de changement majeur (ouverture à la concurrence, nouvelles offres, etc. ).

Nul doute que pour les principaux acteurs du transport, ce laboratoire d’innovation ouvert sur le monde extérieur va certainement affiner la manière de concevoir et de consommer les services de mobilité.

Pour plus d’informations sur le sujet, consultez Transport Shaker, le blog transport des consultants Solucom

Cet article Gares et Aéroports : vers une transformation simultanée ? est apparu en premier sur RiskInsight.

Quels sont les risques induits par le BYOD ?

 Les risques techniques induits par le BYOD sont en grande partie des risques déjà existants pour la majorité des systèmes mobiles.
On peut en distinguer trois types :

• Les risques de perte ou de vol des données de l’entreprise stockées sur les terminaux eux-mêmes.
• Les risques de capture ou de modification de données sur les réseaux auxquels ils se connectent.
• Les risques pesant sur le SI lui-même : il pourrait subir différentes attaques amenant à une infection virale, une perte ou un vol de données, voire une coupure de service.

 La nouveauté réside ici dans le fait que les terminaux sont personnels, et font donc l’objet d’usages qui amplifient les risques : applications personnelles, configurations non maîtrisées par l’entreprise, utilisation en dehors du travail…

 Il apparaît donc nécessaire de trouver des solutions acceptables pour gérer et sécuriser ces usages.

Dans le cas du BYOD, l’ergonomie est aussi un critère de réussite majeur qui ne peut pas être négligé dans le choix de la solution à mettre en œuvre.

 L’approche sécuritaire : ne rien stocker !

Les solutions de déport d’écran permettent à tout type de terminal (ordinateur, tablette, smartphone…) de se connecter à un environnement maîtrisé par l’entreprise. Aucune donnée n’est stockée sur le terminal et les utilisateurs disposent d’un environnement adapté à leurs tâches professionnelles. Ces solutions nécessitent la mise en place d’une infrastructure assez lourde et requièrent une connexion internet rapide pour fonctionner. Leur ergonomie est très dépendante du terminal à partir duquel on se connecte. Les applications de type web sont également une alternative évitant le stockage de données sur le terminal. Accessibles à l’aide d’un navigateur à travers n’importe quelle connexion internet, elles ont l’avantage de ne pas nécessiter d’installation.

 Cependant, elles offrent une expérience utilisateur limitée à certains usages très spécifiques et ne sont pas adaptées aux terminaux de taille réduite comme les smartphones.

 L’approche pragmatique : sécuriser les usages en contrôlant l’ensemble du terminal…

Il s’agit de fournir des solutions permettant de sécuriser les terminaux sans interdire d’y stocker des données professionnelles. Elle se décline en deux types de méthodes techniques.

La première méthode est de maîtriser l’intégralité du terminal, à l’aide d’outils de gestion de flotte (aussi appelés outils de MDM – Mobile Device Management). Ces outils s’apparentent aux solutions de gestion de parc, largement présentes en entreprise pour les postes de travail. Même si le niveau de sécurité de ces solutions dépend fortement du type de terminal, elles sont aujourd’hui industrialisées.

 Elles ne marquent cependant pas de réelle séparation entre les usages (données) personnels et professionnels. Les restrictions de sécurité étant appliquées indifféremment sur l’ensemble du terminal, elles sont perçues par les utilisateurs comme une contrainte imposée dans leur sphère personnelle. À ce titre, elles répondent peu aux problématiques du BYOD.

 …ou en se concentrant sur la partie qui concerne l’entreprise

L’autre méthode de sécurisation des terminaux est plus innovante. Il s’agit d’isoler les données professionnelles des autres données sur le terminal, au sein d’un « silo », qui prend la forme d’une application ou d’un espace dédié. L’entreprise peut ainsi imposer des critères de sécurité adaptés sur ces données – et uniquement sur elles : mot de passe obligatoire, chiffrement des données, etc.

L’utilisateur n’est soumis à ces contraintes que dans le cadre de l’utilisation professionnelle, l’usage du terminal étant tout à fait libre par ailleurs. Ce type de solution a l’avantage d’être relativement indépendant du type de terminal sur lequel on l’installe : le niveau de sécurité est ainsi homogène même sur une flotte hétérogène.

 D’autres bonnes pratiques facilitent le BYOD

 Quelle que soit l’orientation retenue, un certain nombre de bonnes pratiques pour la sécurité des infrastructures restent de mise : le contrôle d’accès et de conformité au réseau (NAC), la gestion des traces (par exemple pour les accès internet réalisés avec les terminaux), ou encore l’utilisation d’un wifi dédié lorsque les collaborateurs sont dans les locaux.

Ces infrastructures, si elles ne permettent pas directement la mise en place du BYOD, sont en tout cas des éléments facilitateurs à son adoption et son extension.

Cet article BYOD : la sécurité n’est plus un frein ! est apparu en premier sur RiskInsight.

Qu’appelle-t-on un objet communicant ?

Un objet communicant est un objet doté de la capacité d’échanger des informations avec un autre objet. L’ensemble des objets communicants constitue ce que l’on appelle l’internet des objets : un réseau physique connecté d’objets portant un certain nombre d’informations et capables de les communiquer. Le champ des objets communicants est extrêmement large : de la goutte d’eau d’evian qui sait quand le stock s’épuise et permet de recommander automatiquement de l’eau, aux solutions M2M dans l’industrie, en passant par les parcmètres intelligents, sans oublier le Nabaztag, qui fut l’un des premiers objets communicants orientés grand public, ni les Smartphones…

Quels sont les usages les plus fréquents aujourd’hui et quels sont ceux qui sont, selon vous, porteurs d’avenir ?

Aujourd’hui, les usages M2M industriels sont les plus avancés : ils permettent de vrais gains de productivité en optimisant les enchaînements des actions nécessaires à la production. Dans le domaine des utilities, les objets communicants vont également être vecteurs d’optimisation. Par exemple, le ramassage des ordures ménagères mobilise aujourd’hui le même nombre de camions, de pétrole et de personnel chaque jour, quel que soit le taux de remplissage des containers. Demain, des sondes communicantes présentes dans chaque container permettront d’optimiser la fréquence de ramassage, l’horaire, le trajet effectué par les personnels. Cet exemple ouvre la voie à de nombreuses autres utilisations.

Les usages B2C font également de plus en plus partie du quotidien. Selon une étude de l’AFMM, 42% des Français ont déjà lu un code barre 2D avec leur mobile pour obtenir une information (sur un produit, un horaire de bus etc.)

Demain, on peut imaginer une densification des usages pour faciliter la vie des consommateurs. Le développement du smart energy permettra à chacun d’être acteur de sa consommation via le compteur communicant et le gestionnaire d’énergie ; l’accès à l’information via des tags NFC se généralisera sur un nombre croissant de produits et de sites ; le mobile deviendra le sésame quasi unique permettant de payer, d’accéder à son domicile, à son véhicule, aux transports en commun, aux spectacles… À la fois clé et portefeuille, il centralisera la majeure partie des expériences quotidiennes de chacun.

À moyen terme, l’internet des objets s’enrichira d’une couche d’intelligence artificielle / analyse prédictive des comportements, susceptible de doter les équipements d’une capacité d’auto-personnalisation après « observation » des comportements des consommateurs : séduisant en termes de potentiel, un peu angoissant en termes de dérives possibles !

Où en est-t-on dans l’adoption de ces objets en entreprise ?

On assiste depuis quelques années aux premiers déploiements sur le terrain de projets centrés sur les objets communicants. NFC, smart energy, mobilité urbaine, domotique… progressent à des vitesses différentes.

Dans le B2B, les objets communicants recouvrent un grand nombre d’usages, en particulier dans le monde industriel. Des déploiements à large échelle ont été menés avec succès depuis des années.

Au niveau B2C, le projet Cityzi de Nice lancé en 2010 a marqué une première étape dans le déploiement du NFC, permettant de tester la mise en œuvre des services sur le terrain, l’appétence client et les usages. Depuis ce premier jalon, deux faits marquants ont amorcé un véritable décollage du NFC en France :

• Le soutien de l’État au déploiement d’infrastructures dans un certain nombre de « villes NFC », matérialisé par une enveloppe de 20 M€ au titre des investissements d’avenir,
• L’annonce récente des chiffres de clients équipés en mobiles NFC : plus d’1 million en septembre 2012, avec une cible à 2,5 millions à la fin de l’année.

Ces deux facteurs combinés devraient accélérer nettement les initiatives, et généraliser l’usage du NFC auprès du grand public dans les 2 à 3 ans à venir.

Retrouvez toute l’actualité Télécoms & medias sur Telcospinner.

Cet article Objets communicants : le futur sera-t-il sans contact ? est apparu en premier sur RiskInsight.

 Le report modal nécessite des investissements lourds

Le report modal nécessite des investissements lourds : extension de lignes métro, tramway, bus, parking relais, transport à la demande, etc. Et en attendant la prise de décision politique, les avis divergent, laissant les collectivités territoriales face à des arbitrages difficiles. Frédéric Cuvillier, ministre des transports, vient d’annoncer qu’un 3^ème appel à projets de transports en commun en site propre pour la province va intervenir. À contrario, des arbitrages pourraient avoir lieu sur les nouvelles lignes TGV. Bref, au niveau territorial, le flou décisionnel pousse à s’interroger sur le modèle économique auquel est soumis le transport.

Un système de financement à bout de souffle : quels leviers sur les recettes ?

Où trouver les financements ? Lors du débat « Quel financement durable pour la mobilité ? » au salon des « Transports Publics », Charles-Eric Lemaignen, vice-président du GART, a expliqué que « Le système de financement est aujourd’hui à bout de souffle ».

Michel Bleitrach, président de l’UTP, a de son côté rappelé que 20 % du total des dépenses pour le transport public sont couverts par les recettes, c’est-à-dire l’achat de billets par les clients voyageurs. Le reste relève des impôts – budget national et budget des collectivités autorités organisatrices des transports – et du versement transport (VT) – taxe payée par les entreprises pour participer au financement du transport local-.

Côté  institutions publiques, le versement transport mériterait peut-être une remise à plat, avec un versement  aux conseils généraux et aux conseils régionaux qui gèrent les TER.

Côté voyageur, la question se pose aussi. Car il va sans dire que le  prix qu’il paie  est aussi un levier d’action. Mais faut-il le baisser ou l’augmenter ? Là aussi les avis divergent. Alors que Claudio Lubatti, adjoint au Maire de Turin, explique que le prix du billet est passé de 1 € à 1,5 €, sans rejet de la part des turinois, Jean-Claude Gayssot, ancien ministre du transport et Vice-Président de la région Languedoc-Roussillon en charge du transport, explique quant à lui le succès de l’expérimentation récente du TER à 1 euro, et envisage une généralisation.  Tous se mettent au moins d’accord pour rejeter unanimement  la gratuité du transport : car dans l’opinion trop souvent, ce qui est gratuit n’a pas de valeur.

 Transport et dépenses publiques : think global !

Au-delà des arbitrages sur les recettes, un levier d’action plus innovant est la mise en cohérence des politiques publiques sur la mobilité.

L’étude « Coûts d’usage de l’automobile et des transports publics » publiée en mars 2012 par la FNAUT établit que le coût de la voiture par rapport au transport en commun est dans un rapport de 1 à 3 pour le particulier au bénéfice du transport en commun, et ce rapport va en augmentant. Si on cherche à adopter une vision d’ensemble sur le sujet du transport et de son financement, il faut casser la vision en silos : le transport en commun, le mode doux et la voiture sont à considérer dans un ensemble cohérent, en termes de mobilité et en termes de dépenses pour la collectivité et les particuliers.

Dans cette logique, pour réduire globalement les dépenses en matière de mobilité sur un territoire il est temps de mettre en cohérence les politiques publiques et de renforcer l’intermodalité entre les modes de transport en commun, la voiture et les modes doux.

Le SI, levier clé du report modal

Le report modal nécessite que chacun ait un moment de « passage à l’acte », moment où l’on constate que des solutions de mobilité combinées représentent une solution facile et agréable pour ses trajets personnels, qu’ils soient réguliers ou ponctuels. Le conducteur automobile ne « lâche » pas sa voiture tant qu’il n’est pas rassuré au moins au même niveau que pour la voiture sur son trajet : temps de parcours global, disponibilité des modes de transport qu’il va prendre, etc.

Le SI multimodal « sans couture » est ainsi au cœur du sujet :

• billettique multimodale : universalité d’accès et de paiement (transport en commun, parking voiture, vélo libre-service, etc.) ;
• services d’information voyageur multimodale : calcul d’itinéraires multimodal « voiture + transport en commun + mode doux », perturbations et changements d’itinéraires en temps réel, guidage porte à porte, etc.

Dans la course à la réduction des dépenses sur le transport public, l’adoption d’une vision d’ensemble de la mobilité urbaine et interurbaine fait apparaître des leviers d’actions que seule une maîtrise complète et transverse portée par la SI saura satisfaire.

Cet article Transport : quelle posture face à la réduction des dépenses publiques ? est apparu en premier sur RiskInsight.

Un enjeu qui touche tous les acteurs du transport

Cette actualité STIF vient éclairer une tendance de fond. L’information voyageur se détache comme  l’un des enjeux clés pour l’écosystème du transport de demain. Le voyage longue distance rail et aérien tout comme le transport de proximité urbain et interurbain sont d’ailleurs concernés. Renforcer la qualité de l’information voyageur, c’est mener à bien un réel projet de  transformation car cela touche  en profondeur à la culture et à l’organisation du travail, au système d’information et aux moyens de communication vers les clients. Une tâche non négligeable et à forte répercussion.

Des clients voyageurs qui demandent à être convaincus

En vue de respecter les objectifs de développement durable du Grenelle II, le transport collectif doit doubler sa fréquentation d’ici à 2020. Cela implique un report modal* de la voiture vers le transport en commun et le mode doux*, une baisse de la note énergétique globale et la réduction de l’émission de gaz à effet de serre. Mais les transporteurs ne sauront y parvenir sans convaincre les clients voyageurs !

Ces derniers ont, reconnaissons-le, des exigences légitimes : leur quotidien est fortement impacté. Selon l’étude réalisée par la FNAUT  en juillet 2011, ces exigences concernent principalement la couverture de l’offre de transport (qui passe notamment par la multimodalité), mais aussi la facilité, la ponctualité et, point clé, l’information délivrée.

Le voyageur attend  une information multimodale « sans couture » contextualisée à son trajet, une information temps réel  lui permettant d’être aidé « avant » et « pendant » son trajet dans les changements de transport, lors de correspondances et dans la réorganisation de son voyage en cas de perturbation.

Les technologies au service de l’information voyageurs

Les exploitants de réseau de transport, les autorités organisatrices et les syndicats mixtes de transport l’ont bien compris : ils déploient de plus en plus des systèmes d’aide à l’exploitation et d’information voyageur (SAEIV) qui permettent de diffuser les horaires en temps réel et les messages de perturbation, dans les véhicules, aux arrêts ou en station.

Les sites internet et les applications mobiles se multiplient en parallèle pour toucher les clients chez eux, au bureau ou en déplacement.  Les calculs d’itinéraires se font eux aussi de plus en plus présents, ainsi que l’information voyageur en temps réel. Les fonctions innovantes se développent : mobiles NFC, mise en réseau et gaming, etc. De nombreux systèmes d’information voyageur multimodale (SIM), délivrant une information voyageurs tout transport confondu sur un même territoire, voient le jour très régulièrement, en région, dans les départements ou les communautés de communes (www.destineo.fr,  http://www.lepilote.org/, www.vianavigo.com ).

Deux projets de transformation particulièrement innovants

Le projet de recherche et innovation européen Wisetrip vise à interconnecter les calculateurs d’itinéraires afin de produire une information « porte à porte » au voyageur sur le territoire européen. En France, l’AFIMB a cette même ambition pour le territoire français. Sur un autre plan, la toute nouvelle Autorité de la qualité de service dans les transports est innovante : elle a pour objectif d’évaluer la qualité de l’information voyageur des transporteurs et de la rendre publique.

Mais si l’on revient au niveau d’un territoire bassin de population (telle qu’une grande agglomération), pour satisfaire aux exigences des clients voyageurs sur leurs trajets urbains et interurbains, plusieurs acteurs ont la main : l’exploitation d’un réseau de transport, son autorité organisatrice et l’éventuel syndicat mixte de transport.

Ces acteurs doivent partager une logique d’ensemble : chaque acteur ayant son rôle dans la chaîne d’information, tous doivent être attentifs aux transformations sous-jacentes à cette exigence de qualité de l’information voyageur.

Deux projets structurants découlent de cette logique d’ensemble :

• le projet de production et de diffusion in situ de l’information voyageur par l’exploitant d’un réseau de transport. Ce dernier a déjà un SI qui lui permet de gérer son exploitation et l’information voyageur de façon plus ou moins complète. L’enjeu pour lui est ici de mettre en exergue l’information voyageur dans sa culture d’entreprise, son organisation. En conséquence, il est amené à faire évoluer son SI ainsi qu’à ouvrir son SI à des partenaires.
• le projet de diffusion de l’information voyageur multimodale au niveau d’un territoire, porté par le syndicat mixte de transport. Il s’agit d’abord de conclure un ensemble de partenariats multiples entres les différentes collectivités territoriales représentées dans le syndicat mixte et les exploitants de transports. Le projet consiste aussi à construire un « SI transport » sur le territoire.

Dans ce contexte multi-partenarial un peu complexe, soyons pragmatiques : n’attendons pas que tous les partenaires soient d’accord pour lancer les projets, au risque de ne pas voir sortir de solutions. Le point clé de la démarche, c’est l’établissement d’une cible initiale avec de bonnes options en termes de responsabilité des différents acteurs, de standards d’échanges d’information, d’ouverture open data vers des partenaires privés. Cette cible initiale permet d’impulser les premiers projets et les premières réalisations. Les autres projets suivront  avec le temps et la réussite des premiers.

STIF : autorité organisatrice qui fixe les tarifs, finance les transports, définit la qualité du service des transporteurs d’Ile-de-France.

Transfert modal ou report modal : selon l’ADEME, résultat du changement d’un mode de déplacement vers un autre. Par exemple, quand des individus passent du véhicule individuel au transport public.

Mode doux : déplacement dans la rue ou sur route sans apport d’énergie autre qu’humaine et non polluant comme la marche, le vélo, la trottinette, les rollers…

Pour lire plus d’articles sur le secteur de l’énergie, cliquez ici.

Cet article L’information voyageur : tremplin dans la transformation du secteur du transport est apparu en premier sur RiskInsight.

L’autonomie, un frein psychologique

Pour le consommateur, son autonomie moyenne limitée à 150 km semble être le principal frein endogène à son adoption. Mais l’angoisse de la panne est en réalité infondée car, sur une journée, 80% des véhicules individuels ne parcourent pas plus de 60km, et 92% pas plus de 100km. Il est donc techniquement possible d’utiliser un véhicule électrique pour la grande majorité de ses déplacements et d’emprunter un moyen de transport alternatif pour les quelques trajets excédant son autonomie. Cela suppose en revanche une transformation du paradigme de mobilité.

L’expérimentation de nouveaux paradigmes de mobilité, un levier d’adhésion majeur

En effet, le véhicule électrique est une innovation de rupture, plus sociétale que technologique. Son adoption suppose la conduite du changement sociotechnique de la mobilité thermique vers la mobilité électrique, qui tend vers plus de multimodalité et moins de possession. Dans ce contexte, l’intégration des véhicules électriques dans les flottes d’entreprises, de collectivités locales et d’offres d’autopartage, constitue les premiers leviers de leur diffusion. Ils offrent en effet au grand public la possibilité d’expérimenter de nouveaux modes de mobilité, ce qui favorise leur appropriation, le bouche à oreille, et donc la réduction de l’opposition naturelle au changement.

La densité du réseau de recharge, un gage de fiabilité

La diffusion du véhicule électrique est intimement liée au déploiement d’infrastructures de recharge adaptées. Aussi, le gouvernement  français, qui s’est fixé pour objectif en 2009 la mise en circulation de 2 millions de véhicules électriques et hybrides rechargeables en 2020, soit un taux de pénétration de 5%, estime qu’il faudra au même horizon se doter de 4 millions de bornes privées et de 400 000 bornes publiques. Pour ce faire, la loi Grenelle 2 oblige notamment l’intégration de prises de recharge dans les nouveaux immeubles (bureaux et habitations) avec parking, et établit un droit à la prise au sein des copropriétés. Les bornes publiques, quant à elles, qui ne devraient représenter que 5% des usages, permettront cependant de rassurer les usagers. 12 villes et agglomérations (1) seront d’ailleurs soutenues par l’État dans leur installation à hauteur de 50 millions d’euros.

Le coût total de possession, un axe de communication fondamental

En attendant les économies d’échelles liées à la production de masse des batteries qui rendront le coût d’acquisition des véhicules électriques moins dissuasif, son coût total de possession est un indicateur majeur. Au-delà du simple coût d’achat élevé du véhicule, il met en évidence l’intérêt potentiel d’un tel investissement en prenant en compte les économies en carburant et en entretien qu’il permet. 20% des Français se disent en effet prêts à acheter un véhicule électrique ou hybride malgré un coût d’achat 10 à 20% plus élevé que son équivalent thermique, grâce à une réflexion en termes de TCO (TCO = Total Cost of Ownership ou coût total de possession en français). Par ailleurs, la possibilité d’étaler le coût de la batterie sur la durée de vie du véhicule en la louant permettra également de favoriser l’électromobilité. Mais après leur vie mobile dans les voitures électriques, les batteries auront-t-elles une vie stationnaire pour alimenter les maisons en heures pleines ?

 [Article rédigé en collaboration avec Maxime Mary]

Cet article Véhicule électrique : quels leviers sur le marché de masse ? est apparu en premier sur RiskInsight.

Le BYOD, une réflexion globale qui reste encore à mûrir

Le BYOD (Bring Your Own Device) repose sur l’utilisation par le salarié de son matériel informatique personnel dans le cadre professionnel. Le support matériel par l’entreprise est alors limité, voire inexistant. Actuellement, l’utilisation de terminaux personnels dans les entreprises est déjà une réalité, mais force est de constater qu’elle reste peu encadrée et expose les grands comptes à des risques de sécurité.

Dans la majorité des entreprises, le BYOD est développé au travers d’une approche « Add & Use Your Own Device » en complément de l’offre « poste de travail » de l’entreprise. Ces terminaux personnels restent majoritairement des smartphones et l’utilisation de PC personnels se limite souvent à des populations préfiguratrices (ex. mise à disposition de PC virtuels pour des prestataires ou partenaires) ou à des déploiements au sein de PME, start-up ou sociétés dont l’IT est le cœur de métier (et le BYOD une vitrine).

Depuis 2011, le challenge posé par le BYOD a conduit la plupart des grands comptes à définir leur stratégie pour en maîtriser l’émergence. Ceci se traduit, pour les plus avancés, par l’utilisation d’un smartphone personnel pour accéder à la messagerie et au calendrier (JP Morgan et UBS), voire d’un PC personnel en remplacement de celui de l’entreprise (Cisco et Kraft Food).

S’adapter aux besoins utilisateurs… tout en réduisant les coûts

Le BYOD répond tout d’abord aux nouveaux modes de travail (mobilité, télétravail…) et de consommation IT des utilisateurs (usages grand public) et permet ainsi une transformation de l’image de l’offre de la DSI (innovation, ouverture, attractivité…).

Ce changement de modèle induit également une réduction du TCO (Total Cost of Ownership) à travers :

• Un changement de périmètre de responsabilité et d’activités pour la DSI (transfert de coûts). Une partie de la charge actuellement confiée à l’exploitant informatique est transférée à l’utilisateur qui devient responsable de son terminal et autonome pour son support (ex. renouvellement de matériel, migration d’OS, etc.) à l’aide d’outils simplifiés (ex. self-support, booklets, FAQ…)

• Un gain estimé de 10 à 25% du TCO, principalement sur l’exploitation et le support dans le cadre d’un périmètre de responsabilité clairement défini et d’une offre standardisée (ce gain inclut une valorisation de la compensation financière versée par l’entreprise à l’utilisateur, de l’ordre du coût matériel/logiciel actuellement supporté par l’entreprise)

Une problématique majeure : les ressources humaines

Cette démarche implique quatre chantiers à mener en parallèle (RH/juridique, infrastructures, standard d’accès aux applications et management des terminaux – support, outillage…).

Les deux prérequis incontournables à la généralisation du BYOD au sein de l’entreprise sont :

• La nécessité de mener un chantier RH et juridique : à anticiper dans un contexte encore vierge de toute jurisprudence (ex. respect de la vie privée, discrimination interpersonnelle, risques et impacts sur les modalités de temps de travail, conventions collectives, accords télétravail entreprise/branche, responsabilités entreprise / utilisateur, charte d’utilisation…)

•  L’évolution des infrastructures réseau et sécurité (accès au SI depuis des locaux internes et externes) nécessitant des investissements initiaux conséquents

Il reste encore quelques étapes à franchir avant que le concept devienne le quotidien de tous les salariés. Une chose est cependant certaine : le BYOD est déjà là, pour en tirer partie, il faut s’y mettre maintenant !

[Article rédigé en collaboration avec Ronan Caron et Adrien Calvayrac]

Cet article BYOD : où en sont les entreprises ? est apparu en premier sur RiskInsight.

Notre environnement connecté devient alors entièrement mobile, comme nous le sommes par nature. L’information, le contenu et la connectivité sont les mêmes partout et à tout moment. À ce titre, l’année 2012 s’impose plus encore que la précédente comme « l’année du tout mobile » avec un double enjeu pour l’entreprise.

S’adapter à une clientèle mobile

L’entreprise va d’abord devoir s’adapter à la mobilité de sa clientèle et lui proposer une relation client multicanal à la hauteur de ses attentes de nomade. À ce titre, le canal mobile (sur smartphone ou tablette) doit être considéré comme un canal de relation client à part entière lors de l’élaboration d’une stratégie de relation client. La cohérence et la continuité des parcours clients entre les canaux doivent notamment être maintenues.

En parallèle, et au-delà d’un objectif de fidélisation client, la mobilité apporte son lot d’opportunités de croissance en permettant aux clients de l’entreprise de s’informer sur l’offre de service de cette dernière, d’échanger avec elle et d’acheter ses produits lors de leurs déplacements. L’entreprise, pour bénéficier de ces opportunités, doit alors développer une stratégie internet mobile ambitieuse au risque de se voir distancer par ses concurrents.

Enfin, ces nouveaux canaux de relation client mobiles représentent une nouvelle opportunité, après le web, de dématérialiser certains pans de la relation client (les actes de gestion à plus faible valeur ajoutée prioritairement ; citons par exemple les modifications de données personnelles), avec des économies substantielles à la clé.

Intégrer la mobilité des collaborateurs dans l’organisation

L’entreprise doit par ailleurs préparer et intégrer la mobilité de ses collaborateurs dans son activité, son organisation et ses processus d’affaires. La frontière entre les usages numériques de la sphère privée et publique s’affine jour après jour et l’expérience de la mobilité des employés dans leur quotidien s’impose nécessairement dans leur environnement professionnel. Cette tendance concerne de surcroît tous les collaborateurs : cols bleus, cols blancs, VIP.

L’entreprise doit fournir à ses employés des solutions professionnelles adaptées dans une logique pro/perso ou accepter les outils de la sphère privée dans l’environnement professionnel (le Bring Your Own Device ou BYOD).

Une fois les obstacles sécuritaires, RH et juridiques passés, l’entreprise bénéficiera d’un ensemble de solutions permettant à ses collaborateurs d’accéder à ses ressources et de participer à son activité en tout lieu et à tout moment. Dans une double optique de simplification et d’optimisation, l’entreprise peut aussi ouvrir ces solutions à ses partenaires et fournisseurs en mettant en place un SI mobile étendu lui permettant de jouir d’une productivité et d’une performance d’ensemble significativement améliorées.

Un accompagnement nécessaire sur le front de la mobilité

Les nouveaux usages mobiles représentent donc un grand nombre d’opportunités de développement et de croissance.

Pour en tirer l’intégralité des bénéfices, l’entreprise doit être capable d’anticiper les nouveaux usages mobiles et piloter l’innovation pour conserver une longueur d’avance. Il s’agit, en amont de toute démarche à teneur mobile (déploiement d’un canal de relation client internet mobile, lancement d’une plate-forme de m-commerce, intégration d’une flotte de tablettes en entreprise), d’en bien comprendre les usages et de piloter en interne l’innovation depuis l’émergence de l’idée jusqu’à sa mise en œuvre sur le marché ou auprès des collaborateurs.

L’entreprise doit aussi repenser sa stratégie de relation client multicanal en l’adaptant aux canaux mobiles pour tirer pleinement partie de ces-derniers en termes de fidélisation client, de développement d’activité et d’optimisation des coûts.

Enfin, il est essentiel qu’elle aborde la mobilité de ses collaborateurs comme un chantier à part entière de ses principaux projets de transformation, en prenant la mesure de ce qu’elle peut apporter en termes de productivité et de performance.

Cet article MOBILITE – 2012, l’année du tout mobile ? est apparu en premier sur RiskInsight.