Cet article est le deuxième épisode d'une série de blogs couvrant les tendances et les meilleures pratiques en matière de cybersécurité que les acteurs du secteur automobile doivent prendre en compte pour mettre en œuvre des techniques de pointe et atteindre les niveaux de conformité requis.

 

Épisode précédent

 

Prochain épisode

  • Cybersécurité des véhicules routiers - EP.3 - Une histoire de système de gestion
  • Cybersécurité des véhicules routiers - EP.4 - Du processus aux produits
  • Et encore plus à venir...

L'EP.1 de cette série de blogs a présenté les nouvelles exigences en matière de cybersécurité (notamment en ce qui concerne l'impact sur les fournisseurs) que les constructeurs automobiles doivent remplir pour demander de nouvelles réceptions par type à partir de juin 2022. Derrière ces nouvelles attentes énoncées dans la norme UN ECE R155, une approche en trois étapes devra être suivie par les constructeurs :

 

1. Certification du système de gestion de la cybersécurité (SGC)

 

Les constructeurs automobiles doivent d'abord démontrer aux autorités leur cadre de processus de cybersécurité, également appelé système de gestion de la cybersécurité (SGCS). Cette étape initiale est obligatoire pour obtenir un certificat CSMS, qui est la première condition préalable à la demande d'une nouvelle homologation. Ce certificat n'est pas lié à un programme automobile spécifique et représente la preuve qu'un fabricant a les moyens capacité organisationnelle pour répondre aux exigences de la norme UN ECE R155.

 

2. Réception par type de véhicule (VTA)

 

Après avoir obtenu ce certificat CSMS, les constructeurs de véhicules ont le droit de demander des homologations de type de véhicule (VTA ). L'objectif de cette deuxième étape est d'évaluer que le cadre du processus, qui a été "certifié" au cours de l'étape 1, a été effectivement appliqué dans le contexte d'un programme automobile / type de véhicule spécifique. Au cours de cette phase, les constructeurs devront donc présenter des documents démontrant la sécurité du véhicule la mise en œuvre du processus (par exemple, pour le processus d'évaluation des risques la preuve d'une évaluation complète des risques pour ce type de véhicule spécifique.)

 

Note : pour les programmes de voitures lancés avant la certification CSMS, les déviations de ces processus sont autorisées jusqu'en juin 2024, mais nécessitent des justifications.

 

 

La réception par type n'est que le premier jalon à franchir pour être autorisé à vendre des voitures sur le marché. Toutefois, pour conserver cette autorisation, les autorités exigent également des contrôles réguliers afin de confirmer l'application continue des processus de sécurité tout au long de la durée de vie d'un type de véhicule. La troisième phase de ce voyage pourrait donc être décrite comme suit :

  

3. Rapports sur les dispositions

 

Après avoir obtenu une réception par type, les constructeurs automobiles devront régulièrement (au moins une fois par an) communiquer les résultats de leurs activités de surveillance, les informations relatives aux nouvelles cyberattaques et les incidents potentiels qui pourraient nécessiter un ajustement des mesures de sécurité. L'objectif principal de ce rapport est de permettre au constructeur de démontrer aux autorités que les mesures de protection sont toujours efficaces et adaptées à l'évolution du paysage des menaces.

 

Remarque : si le rapport ou la réponse ne sont pas suffisants, l'autorité d'homologation peut décider de retirer le certificat CSMS (et donc de suspendre l'homologation de type).

  

Le processus complet est résumé et illustré ci-dessous

CertX, votre partenaire pour répondre à la norme UN ECE R155 et/ou ISO 21434.

Si vous avez des questions concernant les nouvelles situations réglementaires en matière de cybersécurité pour l'industrie automobile, ou tout autre point ouvert sur la façon dont l'application des normes et de la certification pertinentes pourrait être utilisée pour la conformité, n'hésitez pas à contacter nos experts en cybersécurité