Des experts du secteur discutent de la cybersécurité des équipements au salon Bauma 2025

Les intervenants de la table ronde sur la cybersécurité (de gauche à droite) : Marcus Hiemer, Groupe ZF ; Johannes Hipp, VDMA ; Roman Hofmann, Liebherr ; Chris Sleight, Off-Highway Research ; Laura Fiumara, CECE. (Image : Groupe KHL)

À notre époque, il est difficile de trouver un moment sans connexion à Internet. Presque tous les bureaux, dans tous les lieux de travail, sont équipés d'un ordinateur connecté, chaque poche contient un smartphone et de nombreuses mains manipulent sans cesse des tablettes.

Cette connectivité s'étend également aux machines. Baptisée Internet des objets (IoT), elle permet à un équipement d'avertir un opérateur d'une défaillance potentielle ou à un OEM de déployer une mise à niveau de firmware sans fil permettant d'accéder à de nouvelles fonctionnalités.

Cette interconnexion permet également à des acteurs malveillants sans scrupules de détourner électroniquement des données, voire l’équipement lui-même.

« Aujourd'hui, nous traitons de nombreuses données interconnectées », a déclaré Marcus Hiemer, directeur principal de l'électronique hors route pour le groupe ZF. « Il est donc important de sécuriser les données, et plus particulièrement d'en garantir la confidentialité, la disponibilité et l'intégrité. »

Les remarques de Hiemer ont été faites lors d'une table ronde sur la cybersécurité au stand ZF pendant le salon Bauma 2025. Modérée par Julian Buckley, rédacteur en chef de Power Progress International , Hiemer a été rejoint par plusieurs autres experts du secteur :

• Laura Fiumara, responsable de la politique numérique, Comité européen des équipements de construction (CECE)
• Johannes Hipp, porte-parole technique, VDMA
• Roman Hofmann, responsable de la sécurité des produits, Liebherr
• Chris Sleight, directeur général, Off-Highway Research

Comprendre la situation

Fiumara a parlé des menaces actuelles en matière de cybersécurité pesant sur les équipements.

« Je peux simplement dire que, compte tenu de l'expertise partagée par nos membres – nous représentons tous les fabricants d'engins de chantier –, le nombre de cyberattaques dans notre secteur reste limité pour le moment », a-t-elle déclaré. Cependant, Fiumara a ajouté que l'augmentation du nombre de machines connectées sur le marché, conjuguée à une sensibilisation accrue des membres du CECE à la cybersécurité, a incité le secteur à prendre des mesures pour faire face aux menaces potentielles.

Le nombre d'appareils connectés, même s'il ne se limite pas aux engins tout-terrain, n'est pas négligeable. Une étude de 2024 publiée dans le Journal of Science and Technology Policy Management cite un rapport de Statista indiquant qu'environ 50 milliards d'appareils IoT seront connectés dans le monde d'ici 2030.

« Il y a beaucoup de logiciels malveillants », a ajouté Hofmann. « C'est automatisé. Il y a des bots malveillants partout, et personne ne peut savoir si l'ingénieur de maintenance qui travaille sur la machine possède un PC ou un ordinateur portable infecté par un logiciel de maintenance [qui diffuse] des logiciels malveillants sur la machine elle-même. »

Selon Hiemer, la cybersécurité est un problème qui doit être traité tout au long de la chaîne d’approvisionnement.

« Si nous produisons un calculateur, par exemple, nous devons veiller à ce qu'il ne soit pas altéré lors de son acheminement vers la prochaine étape de la chaîne d'approvisionnement », a-t-il expliqué. « Il est donc essentiel de maîtriser tous les processus. »

Règlements et normes

Selon Hipp, l’environnement réglementaire en Europe abordera bientôt la cybersécurité de l’IoT.

« Fin décembre 2027, tout le monde devra se conformer au Cyber Resilience Act (CRA) en Europe », a-t-il déclaré. « Ce règlement concerne tous les produits comportant des éléments numériques. Ainsi, chaque produit, du fournisseur à votre machine – la machine entière – doit respecter la cyberrésilience. »

Image : vectorfusionart via Adobe Stock

Fiumara a ajouté que de nombreux fabricants attendent l'élaboration de normes dans le cadre du CRA. « Dans le cadre de ce nouveau règlement, la cybersécurité implique, dès la conception et par défaut, que tous les composants et éléments d'une machine soient conçus pour être cyber-résilients. »

Cependant, une autre réglementation prend déjà des mesures pour améliorer la cybersécurité, notamment en ce qui concerne la télématique : la directive sur les équipements radioélectriques (RED). Hofmann la décrit comme « la première étape vers l'émergence d'une certaine cybersécurité » pour le marché.

Selon un aperçu des exigences de cybersécurité RED publié sur le site web de TÜV SÜD, des dispositions supplémentaires ont été introduites en janvier 2022. Elles comprennent un réseau renforcé, la protection des données personnelles et la protection contre la fraude. Ces exigences entreront en vigueur le 1er août de cette année.

« Il existe déjà des normes pour la Directive sur les équipements radioélectriques, qui couvrent tous les produits et éléments d'équipements radioélectriques », a déclaré Fiumara. « Ce serait la première étape de la mise en œuvre de la CRA, en lien avec le règlement sur les machines, qui s'applique particulièrement aux machines de notre secteur. »

Selon Hiemer, d’autres activités de normalisation sont en cours pour répondre aux problèmes de cybersécurité.

« Nous travaillons sur une norme ISO pour la cybersécurité hors route », a-t-il déclaré, faisant référence à la norme ISO 24882. « Chez ZF, nous développons également notre nouveau contrôleur conformément à cette norme. »

Hiemer a expliqué que même si le contrôleur EC5 de ZF a été développé avant que des protocoles de cybersécurité plus stricts ne soient en place, l'unité est désormais conforme à la norme de cybersécurité proposée tout en conservant le même facteur de forme.

Au-delà de l'Europe

Bien que les réglementations susmentionnées reflètent la législation européenne en matière de cybersécurité, le panel a discuté du potentiel d'une législation similaire dans d'autres régions du monde. Sleight a vu cette prolifération comme un défi pour les équipementiers.

« Une étude des Nations Unies révèle que 80 % des pays du monde disposent d'une législation en matière de cybersécurité, et qu'environ 5 % supplémentaires sont en train d'en développer une », a-t-il déclaré. « C'est inquiétant, car nous l'avons constaté dans d'autres aspects de la conformité des produits : il existe une tendance générale. Nous l'avons constaté avec les émissions des moteurs. Mais l'absence d'harmonisation entraîne de nombreux problèmes et des coûts importants. »

Sleight a déclaré que même si les réglementations à travers le monde sont fonctionnellement similaires, les exigences de certification pour la vente dans différentes régions géographiques pourraient être onéreuses.

« Je pense que c'est l'une des grandes préoccupations de l'industrie en matière de cybersécurité : l'industrie doit-elle le faire encore et encore dans plusieurs blocs et plusieurs domaines, même avec les normes ISO et SAE ? »

Obligations des utilisateurs

Le panel a suggéré que les utilisateurs ont également un rôle à jouer dans la cybersécurité.

« Il y aura un processus de formation pour le secteur », a déclaré Sleight. « Les produits seront cyber-résilients, et c'est ce que les clients utiliseront, mais je pense qu'ils auront la responsabilité de comprendre les bonnes pratiques de cybersécurité et les comportements à risque. »

Bien que le panel ait déclaré qu'il incombera aux OEM de fournir des mises à jour de cybersécurité aux machines tout au long de leur durée de vie effective, il appartiendra aux utilisateurs finaux de décider s'ils souhaitent mettre en œuvre ces mises à jour.