La conduite autonome, les voitures connectées, les véhicules électriques et la mobilité partagée ont dominé l'agenda des dirigeants de l'industrie automobile ces dernières années. Ces innovations, fondées sur la numérisation des systèmes embarqués, l'extension des systèmes informatiques des voitures à l'arrière et la propagation des logiciels, transforment les voitures modernes en centres d'échange d'informations tout en en faisant des cibles tentantes pour les cyberattaques.
a
À l'heure actuelle, la prise en compte des questions de cybersécurité dans les voitures modernes est une question de bonnes pratiques mais ne constitue pas une exigence réglementaire formelle pour demander l'homologation d'un véhicule... Mais c'était avant que lenouveau règlement R155 du WP.29 de la CEE-ONU relatif au CSMS (Cyber Security Management System) ne soit adopté par le Forum mondial de l'harmonisation des règlements concernant les véhicules de la CEE-ONU.
a
Ils présenteront la cybersécurité comme un élément non négociable pour garantir l'accès au marché et l'homologation dans plus de 60 pays membres du WP.29 de la CEE-ONU.
Quelles sont les nouvelles exigences réglementaires ?
Dans le contexte des règlements du WP.29 de la CEE-ONU, deux nouveaux documents ont été acceptés récemment, couvrant des sujets clés pour l'avenir : La cybersécurité (R155) et la mise à jour du logiciel (R156). Cet article se concentre uniquement sur le premier de ces documents, mais l'approche pour le développement des documents liés à la mise à jour SW est assez similaire, avec le développement des exigences réglementaires (WP.29/R156) fait en parallèle de l'établissement de la norme technique (ISO/CD 24089) qui sera finalement appliquée par les organisations pour démontrer la conformité avec l'état de l'art.
a
Les nouvelles exigences en matière de cybersécurité peuvent être segmentées en deux grandes catégories, comme suit :
a
- Mise en place d'un système de gestion de la cybersécurité (CSMS) couvrant les politiques et processus de l'organisation pour gérer les cyberrisques liés à l'ensemble du cycle de vie des véhicules, des équipements et des services.
- Activités et documentations liées au développement sécurisé d'articles automobiles, ainsi qu'aux activités post-développement telles que la production, l'exploitation, la maintenance et le démantèlement.
a
Ces objectifs devront être démontrés par les OEM, les Tier-1 et le reste de la chaîne d'approvisionnement dans un avenir proche pour être autorisés à commercialiser de nouveaux véhicules.
“
Dans l'Union européenne, la nouvelle réglementation sur la cybersécurité (UNECE WP.29/R155) sera obligatoire pour tous les nouveaux types de véhicules à partir de juillet 2022 et deviendra obligatoire pour tous les nouveaux véhicules produits à partir de juillet 2024
“
Comment faire face aux nouvelles exigences réglementaires ?
Ce sujet représente un grand défi pour le marché automobile qui n'est pas très sensibilisé aux aspects de la cybersécurité. En effet, par nature, les organisations automobiles développent généralement une solide culture de la sécurité, mais la forte évolution des véhicules connectés rend ces approches insuffisantes pour faire face à l'ensemble des nouveaux risques liés aux voitures intelligentes, voire potentiellement automatisées.
a
La sécurité fonctionnelle est un sujet clé pour l'ensemble de la chaîne d'approvisionnement depuis des années, mais les normes bien connues telles que l'ISO26262 ne traitent que des risques de sécurité, et sont basées sur des méthodes et des techniques considérées comme intrinsèques au système (par exemple, les défaillances systématiques, les défaillances aléatoires du matériel, etc.) Ces activités restent évidemment obligatoires pour traiter un certain nombre de risques, mais qu'en est-il des autres risques provenant du monde extérieur ?
a
C'est exactement là que la cybersécurité devient critique, en raison de sa nature intrinsèque au système. Les sources de risque sont nombreuses de nos jours et leurs impacts potentiels peuvent également dépasser la "simple" sécurité. L'approche typique de l'évaluation des risques dans les disciplines liées à l'automobile consiste à évaluer les dommages potentiels sur la base de trois piliers clés : l'impact/la gravité sur la sécurité, la probabilité/l'exposition et la contrôlabilité d'un événement. Ces piliers sont essentiels pour quantifier et hiérarchiser les risques à prendre en compte dans les cadres organisationnels.
a
Dans le contexte de la cybersécurité, l'approche est un peu différente. En effet, les impacts potentiels des cyberattaques peuvent être différents et doivent être fortement alignés sur l'appétit pour le risque des organisations. L'approche typique pour évaluer l'impact est de l'évaluer sur quatre dimensions : La sécurité, les finances, les opérations et la vie privée (SFOP). L'application de nouvelles réglementations telles que le Règlement général sur la protection des données (RGPD) oblige les organisations à réfléchir à d'autres catégories de risques.
a
La vraisemblance, ou la probabilité d'événements indésirables, est presque impossible à quantifier directement pour les risques de cybersécurité. Par conséquent, d'autres critères liés à la faisabilité de l'attaque sont généralement utilisés pour évaluer les risques (par exemple, l'équipement nécessaire, les compétences de l'attaquant, la fenêtre d'opportunité, etc.)
Ces différences fondamentales liées à l'évaluation, en plus de la nature dynamique du paysage des menaces, représentent les principales raisons pour lesquelles des approches spécifiques sont nécessaires pour traiter les cyberrisques de manière différente.
a
Pour mettre en œuvre ces approches et ces nouveaux processus, une nouvelle norme appelée ISO/SAE 21434 a été publiée (dernière version : FDIS : mars 2021) pour définir le cadre à mettre en place par les organisations pour gérer la cybersécurité, en alignement avec d'autres références pertinentes telles que ISO26262.
ISO/SAE 21434 comme référence clé à suivre pour la conformité aux réglementations
Comme mentionné ci-dessus, le WP.29/R155 et l'ISO/SAE 21434 ont été développés en parallèle pour s'assurer que les exigences réglementaires pouvaient être satisfaites en appliquant les normes existantes. Ce document représente les résultats du consensus de l'industrie sur les pratiques clés de cybersécurité à appliquer pour atteindre une posture sûre sur le marché automobile.
a
Le mois de juin 2022 est très proche. Les organisations doivent donc se mettre au travail le plus tôt possible et intégrer cette nouvelle discipline de cybersécurité et ces nouvelles références dans leurs politiques et processus afin d'être prêtes à démontrer leur conformité aux autorités et de ne pas être bloquées par les futurs systèmes d'homologation. Les premières exigences en 2022 seront axées sur la démonstration du CSMS et vous devrez concentrer vos efforts sur l'établissement de vos politiques et processus organisationnels en tant que cadre. L'objectif suivant sera la démonstration de l'application réelle de votre cadre dans le développement de vos articles. En d'autres termes, vous devrez démontrer l'enregistrement des produits de travail / livrables à partir de juin 2024.
a
Les OEM ne seront pas les seules parties prenantes touchées par ces nouvelles exigences. En effet, une partie d'entre elles exigera des OEM qu'ils démontrent la capacité de leurs fournisseurs à prendre en compte la cybersécurité, ainsi que la sécurité de leurs propres produits. Nous assisterons donc à une intégration des nouvelles exigences en matière de cybersécurité tout au long de la chaîne d'approvisionnement.
Enfin, la conformité en matière de cybersécurité sera imposée par la loi mais, au-delà, vous devrez intégrer ces activités dans votre organisation pour réduire le risque d'être piraté et évincé du marché en raison d'un cyberincident critique qui pourrait avoir un impact important sur votre entreprise.
Comment CertX peut soutenir votre feuille de route pour la conformité
En tant qu'organisme de certification reconnu dans l'industrie automobile, CertX peut soutenir votre organisation de plusieurs manières, en fonction de votre maturité et de votre position dans les chaînes d'approvisionnement. Vous trouverez ci-dessous un bref résumé des services fournis par notre équipe de cybersécurité :
- Support éducatif pour les ingénieurs et les managers
- Formation de sensibilisation : sessions/ateliers sur mesure sur les activités et techniques liées à la cybersécurité afin d'acquérir une bonne compréhension de l'état de l'art.
- Formation certifiable : ISO/SAE 21434 Ceinture rouge de cybersécurité automobile (A-CSRB)
- Analyse des lacunes et pré-évaluation pour identifier les points faibles
- Évaluation de votre conformité actuelle aux exigences de la norme ISO/SAE 21434, soit au niveau de l'organisation (CSMS), soit au niveau du produit (documentation spécifique au produit), dans la perspective de la conformité avec la norme UNECE WP.29/R155.
- Certifications de l'objectif lié à la cybersécurité
- Ces activités sont en attente de la publication officielle de l'ISO/SAE 21434 prévue pour Q2-Q3 2021.
Si vous avez des questions sur les nouvelles situations réglementaires autour de la cybersécurité pour l'industrie automobile, ou tout autre point ouvert sur la façon dont l'application des normes et de la certification pertinentes pourrait être utilisée pour la démonstration de conformité, n'hésitez pas à contacter notre spécialiste en cybersécurité : Kilian Marty