Cet article est le premier épisode d'une nouvelle série couvrant les sujets brûlants de la cybersécurité que les acteurs du secteur automobile doivent aborder pour atteindre les niveaux de conformité requis et mettre en œuvre les meilleures pratiques de sécurité.
Comme présenté dans l'un de nos précédents articles (voir UNECE WP.29 / R155 - L'impact de la cybersécurité sur le marché automobile à partir de juin 2022), la nouvelle réglementation R155 de la CEE-ONU relative aux problèmes de cybersécurité des véhicules routiers est entrée en vigueur en juin 2021 et deviendra partiellement obligatoire à partir de juillet 2022 pour tous les constructeurs automobiles (la conformité totale étant prévue pour juillet 2024).
Comme l'indique le règlement lui-même, ces nouvelles règles sont imposées par les autorités d'homologation aux seuls constructeurs de véhicules. Cependant, certaines parties de ces règles traitent des aspects de sécurité tout au long de la chaîne d'approvisionnement, et auront donc également un impact sur chaque fournisseur d'éléments critiques pour la sécurité. Il incombe ensuite aux demandeurs d'homologation des véhicules de déduire les exigences pertinentes pour leurs propres fournisseurs.Les constructeurs automobiles sont tenus de rassembler un nombre suffisant de preuves pour démontrer leur capacité à développer, exploiter et maintenir la sécurité des éléments fournis tout au long du cycle de vie du véhicule (voir la figure ci-dessous).
La figure ci-dessus a présenté les deux aspects de la coopération que les constructeurs automobiles doivent prendre en compte, ainsi que les deux dimensions des exigences :
OEM aux autorités d'approbation
-
- Les équipementiers doivent prouver l'existence d'un système de gestion de la cybersécurité (CSMS = cadre de processus permettant de gérer les cyberrisques liés aux véhicules tout au long de leur cycle de vie).
- Sur la base des CSMS établis et approuvés, les équipementiers doivent apporter la preuve, pour chaque type de véhicule, de l'existence de mesures d'atténuation raisonnables des cyberrisques liés à leurs produits (par exemple, évaluation cohérente des risques, mesures d'atténuation pertinentes, etc.)
OEM à ses fournisseurs
-
- Les équipementiers doivent définir des exigences pertinentes en matière de cybersécurité à diffuser auprès de leurs fournisseurs afin de garantir une sécurité de bout en bout de la chaîne d'approvisionnement.
- Les OEM sont responsables de la qualification/approbation de leurs fournisseurs pour la fourniture de produits et services conformes aux normes de sécurité.
- Les équipementiers sont chargés de garantir l'alignement des activités partagées avec les fournisseurs, généralement par le biais d'accords d'interface.
Les constructeurs automobiles doivent donc être conscients que la flexibilité relative dont ils disposent dans leur façon de traiter les fournisseurs peut avoir un impact important sur leurs processus d'homologation des véhicules. Les méthodes de pointe et les meilleures pratiques pour se conformer à la norme UN ECE R155, principalement par l'application de l'ISO/SAE 21434 comme guide, seront décrites en détail dans les prochains épisodes de cette série.
Autres épisodes prévus :
-
- Cybersécurité des véhicules routiers - EP.2 - Une histoire de système de gestion
- Cybersécurité des véhicules routiers - EP.3 - De la conformité organisationnelle à l'homologation des véhicules
- Cybersécurité des véhicules routiers - EP.4 - Comment les certifications peuvent soutenir les homologations
- Et encore plus à venir...
Comment CertX peut soutenir votre feuille de route pour la conformité
En tant qu'organisme de certification reconnu dans l'industrie automobile, CertX peut soutenir votre organisation de plusieurs manières, en fonction de votre maturité et de votre position dans les chaînes d'approvisionnement. Vous trouverez ci-dessous un bref résumé des services fournis par notre équipe de cybersécurité :
Soutien pédagogique pour les ingénieurs et les gestionnaires
-
- Formation de sensibilisation : sessions/ateliers sur mesure sur les activités et techniques liées à la cybersécurité afin d'acquérir une bonne compréhension de l'état de l'art.
- Formation certifiable : ISO/SAE 21434 Ceinture rouge de cybersécurité automobile (A-CSRB)
Analyse des lacunes et pré-évaluation pour identifier les points faibles
-
- Évaluation de votre conformité actuelle aux exigences de la norme ISO/SAE 21434 et/ou de la norme UN ECE R155, soit au niveau organisationnel (CSMS), soit au niveau du produit (artefacts spécifiques au produit).
- Pour les OEM, afin de préparer l'audit de conformité avec les autorités d'homologation.
- Pour que les fournisseurs soient prêts à répondre aux exigences futures des OEM.
Services d'assistance pour la conception et la mise en œuvre du CSMS, et la conformité de la sécurité des produits.
-
- Soutien à la mise en œuvre d'une nouvelle méthode de travail, en intégrant les pratiques de cybersécurité sur la base de nouveaux processus, documents et outils.
- Généralement basé sur les résultats / conclusions de l'analyse initiale des écarts
ISO/SAE 21434 - Certifications de systèmes de gestion de la sécurité, de processus ou de produits.
-
- Évaluation indépendante et reconnue de votre système de gestion, de votre cadre de processus ou de vos artefacts spécifiques aux produits pour l'obtention des certifications officielles ISO/SAE 21434.
- La portée dépend de votre position dans la chaîne d'approvisionnement et de vos objectifs stratégiques.
Si vous avez des questions sur les nouvelles situations réglementaires en matière de cybersécurité pour l'industrie automobile, ou tout autre point ouvert sur la façon dont l'application des normes et de la certification pertinentes pourrait être utilisée pour la conformité, n'hésitez pas à contacter nos experts en cybersécurité.