Cybersécurité des automobiles un enjeu de plus en plus stratégique pour les automobilistes et les flottes d’entreprises

Du 20 au 22 janvier prochain chercheurs et hackers éthiques vont se retrouver à Tokyo lors des rencontres 2026 Pwn2Own Automotive. Un acronyme dérivé de « Pwn (prononcer pown) : pirater » et de « 2Own : posséder/contrôler. » Pendant deux jours, ils vont essayer de se frayer un chemin à travers les systèmes de sécurité de nos véhicules et de leur environnement. Et ainsi prouver que nul n’est infaillible ou presque.

Dans un livre blanc intitulé « les véhicules connectés à l’aune des cyberattaques », publié en 2024, BCA expertise et Orange Business rappellent les défis de la cybersécurité dans le secteur automobile et de la mobilité.

Voitures connectées : un écosystème numérique fragile

En France, « 30 % du parc roulant (soit environ 12 millions de véhicules NDLR) et 85 % des véhicules neufs vendus en 2025 » sont connectés souligne Mélanie Ingouf, directrice assurances et mutuelles chez Orange Business.

Ces voitures collectent des données, communiquent avec le cloud et dialoguent avec nos applications. Pratique ? Oui. Mais ces connexions multiplient les portes d’entrée pour les cyberattaques.

« La voiture n’est plus un simple moyen de transport, mais un écosystème logiciel complexe. Chaque composant connecté — du tableau de bord au chargeur électrique — est une surface potentielle d’attaque », souligne Max Cheng, PDG de VicOne, organisateur du Pwn2Own Automotive.

Des menaces sur les voitures, mais aussi sur leur environnement

Une enquête publiée par RunSaf Security, entreprise spécialiste de la cybersécurité des systèmes embarqués, montre que seuls 19 % des conducteurs se disent très confiants dans la cybersécurité de leur véhicule. 76 % craignent qu’une attaque à distance mette leur vie en danger, tandis que 65 % estiment qu’un piratage de leur voiture est possible

En 2024, le monde de l’automobile a enregistré 409 incidents de cybersécurité couvrants constructeurs, équipementiers, prestataires et infrastructures de mobilité. Un chiffre en hausse de 40 % par rapport à 2023 (295 incidents), selon les chiffres publiés par Upstream Security 2025, un des principaux fournisseurs de plateformes de cybersécurité et de gestion de données basées sur le cloud.

Plus de 60 % de ces attaques ont touché des véhicules mais aussi des bornes de recharge et des applications. Et 90 % de ces intrusions se sont produites à distance, sans contact physique avec le véhicule. Une menace bien réelle. Les véhicules professionnels utilisés dans la sphère privée sont particulièrement vulnérables

Aucun modèle épargné

Depuis des années, les spécialistes en cybersécurité alertent sur la possibilité de prendre le contrôle à distance ou d’accéder à des fonctions d’un véhicule via ses systèmes connectés. En 2015, des spécialistes ont réussi à prendre contrôler la direction, les freins et d’autres fonctions via l’infodivertissement d’un Jeep Cherokee.

Un an plus tard (2016) un groupe de chercheurs a réussi à commander à distance une Tesla Model S, via un point d’accès Wi‑Fi compromis. Kia, Hyundai, Nissan, Bmw  ou encore Ford ont fait part de défaillances. Et si à chaque fois les failles sont identifiées et colmatées, aucun constructeur n’est à l’abri.

Les voitures professionnelles, des points de vulnérabilité

Les véhicules de fonction, utilisés dans la sphère privée, mais aussi celles de services, sont particulièrement exposés. Connexion au smartphone personnel, applications tierces, réseaux publics… Sans encadrement, ces usages mixtes deviennent des vecteurs de risques.

Séparer usage pro et perso, limiter le partage d’identifiants et privilégier des réseaux sécurisés sont autant de gestes simples pour réduire les risques.

La cybersécurité des véhicules et des flottes est un enjeu de gouvernance autant que technique. En 2024, la Ligue de défense des conducteurs met en garde les automobilistes sur les dangers de la voiture connectée et sur les dérives liées aux datas recueillies par les caméras et les différents capteurs.

Les outils de production ciblés

En septembre 2025, Stellantis a subi une fuite de données via une plateforme tierce, exposant les coordonnées de nombreux clients. Ces attaques montrent que la cybersécurité concerne tout l’écosystème numérique, bien au-delà du véhicule. En 2017, l'usine Renault de Sandouville avait égelement été victime d'attaque informatique.

Ce même été 2025, une cyberattaque a pendant plusieurs semaines totalement paralysé les systèmes IT et la production du constructeur britannique Jaguar Land Rover (JLR). Cet incident, souligne la vulnérabilité des infrastructures critiques dans l’automobile.

Des constructeurs réunis en consortiums pour sécuriser l’industrie

Pour renforcer la cybersécurité à l’échelle industrielle, constructeurs et acteurs technologiques se sont réunis en consortiums. Au Japon, un groupe de plus de 90 entreprises, incluant Toyota, Nissan, Microsoft Japan et Trend Micro, échange des informations sur les vulnérabilités et les méthodes de piratage afin de protéger les véhicules connectés.

L’Automotive Task Force de GlobalPlatform (Stellantis, Volkswagen, Renesas Electronics et Toyota) travaille à standardiser la cybersécurité automobile et à harmoniser les pratiques de protection pour tous les acteurs de l’écosystème. Ces initiatives montrent que la sécurité est l’affaire de toute l’industrie, pour protéger constructeure et utilisateurs.

Le Pwn2Own Automotive 2026, sera une nouvelle fois l’occasion de mesurer l’état de la sécurité automobile et de sensibiliser toute l’industrie à la vunérabilité et à la nécessaire protectiondes véhicules connectés.