Cet article est le troisième épisode d'une série de blogs couvrant les tendances et les meilleures pratiques en matière de cybersécurité que les acteurs du secteur automobile doivent prendre en compte pour mettre en œuvre des techniques de pointe et atteindre les niveaux de conformité requis.

Épisode précédent
- Cybersécurité des véhicules routiers - EP.1 - De grands pouvoirs impliquent de grandes responsabilités
- Cybersécurité des véhicules routiers - EP.2 - Approche de l'homologation en trois étapes
- Cybersécurité des véhicules routiers - EP.3 - Une histoire de système de gestion
Prochain épisode
- Cybersécurité des véhicules routiers - EP.4 - Du processus aux produits
- Et encore plus à venir...
L'EP.1 de cette série de blogs présentait les nouvelles exigences en matière de cybersécurité (notamment en ce qui concerne l'impact sur les fournisseurs) que les constructeurs de véhicules doivent remplir pour demander de nouvelles homologations à partir de juin 2022, tandis que l'EP.2 décrivait les procédures d'homologation auprès des autorités chargées des véhicules routiers.
En tant que condition préalable à toute nouvelle approbation de type, la norme UN ECE R155 exige des fabricants la démonstration de la mise en œuvre d'un système de gestion de la cybersécurité (appelé CSMS). Comme nous le savons tous, la cybersécurité des véhicules routiers est un domaine qui évolue rapidement et dans lequel les organisations doivent mettre en œuvre de nouvelles "méthodes de travail" pour minimiser les nouveaux risques découlant d'événements et d'incidents quotidiens.
Pour faire face à ces nouveaux paradigmes, l'établissement de nouveaux processus n'est pas négociable. Ces nouvelles pratiques sont généralement regroupées et considérées comme un système de gestion dédié au traitement des risques liés à la cyber-sécurité des produits. Un CSMS peut soit être intégré comme un pilier d'un composant de plus haut niveau tel qu'un système de gestion de la qualité (QMS), soit être construit comme un ensemble indépendant d'activités à interfacer avec les méthodes de travail existantes.
Les variantes de mise en œuvre ne sont pas intrinsèquement critiques pour atteindre la conformité, mais peuvent avoir un impact important sur l'efficacité de l'organisation.
La composante principale d'un tel CSMS devrait inclure :
- Rôles et responsabilités liés à la cybersécurité / sécurité des produits (y compris la gestion des compétences)
- Cycle de vie de la cybersécurité tout au long de la durée de vie du véhicule (phases de développement, de production et de post-production), y compris.
-
- Évaluation précoce et continue du risque cybernétique
- Conception et mise en œuvre sécurisées
- Tests de sécurité
- Surveillance continue de la sécurité
- Gestion des vulnérabilités et traitement des incidents
-
- Traitement des cyberrisques tout au long de la chaîne d'approvisionnement (y compris la gestion des fournisseurs)
Ces sujets peuvent évidemment être abordés et documentés selon des perspectives et des approches différentes. Vous trouverez ci-dessous un aperçu de la structure typique d'un CSMS :

Comme illustré ci-dessus, un système de gestion typique peut être segmenté en trois niveaux :
- #Niveau 1 - Politique et/ou directive de haut niveau : À ce niveau, l'objectif est de formaliser la portée du SGSC, ses objectifs et ses considérations spécifiques à un niveau élevé. Un tel document vise également à recueillir l'engagement de la direction quant à l'importance de la cybersécurité et de la sécurité des produits.
- #Niveau 2 - Groupes de processus : À ce niveau, l'objectif est de regrouper et de documenter des activités similaires, sur la base de critères tels que le sujet, les personnes impliquées, les interfaces avec d'autres activités que la cybersécurité ou la sécurité des produits... Ces activités doivent être décrites comme des processus dans une perspective opérationnelle.
-
- Exemple 1 - Gestion des compétences : Dans le but de maintenir des compétences suffisantes au sein des équipes de l'organisation, des processus d'évaluation/qualification du personnel et d'identification des besoins potentiels de formation peuvent être développés(liste non exhaustive).
- Exemple 2 - Gestion des fournisseurs : Dans le but d'aborder la sécurité des cyberproduits de bout en bout de la chaîne d'approvisionnement, des processus permettant d'identifier les attentes des fournisseurs et les exigences en matière de sécurité des produits par le biais d'un accord d'interface (CIAD = Cybersecurity Interface Agreement for Development) pourraient être développés(liste non exhaustive).
-
- #Niveau 3 - Ressources d'appui : Pour assurer la mise en œuvre des processus décrits au niveau supérieur, des ressources de soutien doivent être développées pour générer des résultats/enregistrements de processus. Ce niveau comprendrait une documentation hétérogène telle que des formulaires, des lignes directrices, des modèles, des outils, etc.
Une telle structure n'est qu'un exemple d'une méthode pragmatique pour construire et représenter un système de gestion dédié à une discipline spécifique. Des approches similaires pourraient être appliquées pour construire un système de gestion des mises à jour de logiciels (SUMS) selon la norme UN ECE R156 ou tout autre exemple de système de gestion.
Pour plus d'informations sur les SUMS, n'hésitez pas à consulter notre série de blogs consacrée à ce sujet. ici.
Préparation des audits - ISO/PAS 5112 & VDA
Pour se préparer à l'audit des autorités, il est bon de considérer certaines références pour anticiper les questions des auditeurs et les critères d'évaluation. Dans ce contexte, ISO/PAS 5112 et VDA ACSMS Red Volume décrivent des exemples de questions d'audit avec des preuves potentielles à présenter par les audités.
À titre d'exemple, de nombreuses références sont faites aux produits de travail de l'ISO/SAE 21434, ce qui illustre une fois de plus la pertinence de cette norme technique pour satisfaire à la norme R155 de la CEE-ONU. Les relations entre ces documents sont illustrées ci-dessous.

Plus de détails sur ces directives d'audit seront donnés dans les prochains épisodes, restez à l'écoute.
Du point de vue du CSMS aux homologations de type de véhicule
À un stade ultérieur, après avoir obtenu leur certificat CSMS auprès des autorités, les constructeurs de véhicules auront la possibilité de demander l'homologation de leur véhicule. Au cours de cette phase, les autorités leur demanderont de démontrer la mise en œuvre réelle des processus décrits dans le CSMS pour ce véhicule spécifique.
C'est précisément là que la structure proposée ci-dessus semble intéressante. En effet, alors que l'audit du CSMS se concentrerait sur les niveaux #1 et #2 de la documentation, la procédure d'approbation de type creuserait évidemment plus en détail le niveau #3, avec les preuves des pratiques appliquées.
Par exemple, pour la gestion des fournisseurs, les processus CSMS définiraient la manière de distribuer les exigences de sécurité aux fournisseurs, sur la base des modèles de documents CIAD. Au cours de l'homologation du véhicule, les autorités demanderont des preuves connexes, telles que des DICT remplis avec les fournisseurs principaux/les plus critiques. La structure proposée ci-dessus permet donc d'identifier rapidement quel niveau de documentation peut être demandé à différentes étapes de la procédure d'homologation.
CertX, votre partenaire pour répondre à la norme UN ECE R155 et/ou ISO 21434.
Si vous avez des questions concernant les nouvelles situations réglementaires en matière de cybersécurité pour l'industrie automobile, ou tout autre point ouvert sur la façon dont l'application des normes et de la certification pertinentes pourrait être utilisée pour la conformité, n'hésitez pas à contacter notre équipe de spécialistes de la cybersécurité. experts en cybersécurité: