Audit VCS: La cybersécurité selon la norme ENX

Audit VCS - Cybersécurité des véhicules dans l'industrie automobile

Développez-vous, fabriquez-vous ou êtes-vous responsable de la maintenance à long terme des composants VCS intégrés dans l'architecture de cybersécurité d'un véhicule ? Dans l'affirmative, vous devez démontrer que vous respectez les exigences de la norme ISA/SAE 21434, garanties par contrat, tout au long du cycle de vie du véhicule.

En tant que participant au programme VCS, vous pouvez le faire au moyen d'audits appropriés réalisés tous les trois ans et pendant toute la durée de vos obligations contractuelles. La certification VCS s'applique à tous les secteurs et définit les exigences relatives à votre système de gestion de la cybersécurité (SGCS) tout au long du cycle de vie de vos composants VCS. La condition préalable à l'audit VCS est un système de gestion de la sécurité de l'information (SGSI) conforme à la norme TISAX® et un système de gestion de la qualité (QMS).

Reconnaissance mutuelle entre tous les participants au VCS

Les fournisseurs et les prestataires de services ont davantage confiance en votre entreprise auditée.

L'audit de certification VCS n'a lieu que tous les trois ans

L'adhésion au réseau VCS permet d'économiser du temps et de l'argent.

Informations de base sur les audits VCS

Le VCS est un programme d'audit et d'échange commun aux entreprises de l'industrie automobile. Il est basé sur le questionnaire Vehicle Cyber Security Audit (VCSA). Le VCS est un programme d'audit normalisé au niveau international qui met en œuvre les aspects essentiels des normes internationales ISO/SAE 21434 et ISO/PAS 5112 pour les systèmes de gestion de la cybersécurité (CSMS).

Comme TISAX®, VCS dispose également d'un mécanisme d'approbation des résultats des audits ENX VCS. Le VCS est un mécanisme de prise en charge de l'association ENX. Il s'agit d'une association européenne de constructeurs de véhicules à moteur, de fabricants de véhicules à moteur et de constructeurs automobiles, qui contrôle la qualité des audits VCS et surveille la qualité des fournisseurs de services VCS prüf.

Selon la règle UN R 155, les constructeurs de véhicules routiers doivent assumer la responsabilité de la cybersécurité de leurs véhicules. Dans ce contexte, la cybersécurité fait référence à la sécurité et à la fiabilité de tous les composants informatiques d'un véhicule. Contrairement aux composants purement électroniques ou contrôlés physiquement, les composants VCS sont contrôlés par logiciel. Cela permet à un véhicule d'adapter dynamiquement son comportement au conducteur et à l'environnement, de se garer ou de déclencher un freinage d'urgence. Les solutions by-wire, utilisées depuis longtemps dans l'aviation, permettent de nouvelles solutions de conception pour les habitacles, des manœuvres plus faciles dans les centres-villes grâce à des angles de braquage plus importants à faible vitesse (steer-by-wire), ou des freins de stationnement entièrement automatiques (brake-by-wire).

Comme TISAX®, VCS dispose d'un mécanisme de partage des résultats des audits ENX VCS. Le VCS est un mécanisme d'audit de l'association ENX. Il s'agit d'une association de constructeurs, d'équipementiers et d'associations automobiles européens qui surveille la qualité des audits VCS et contrôle l'approbation des prestataires de services d'audit VCS.

Afficher plus

Montrer moins

Quels sont les avantages d'un audit VCS pour votre entreprise ?

En tant que prestataire de services ou fournisseur de composants VCS, vous assumez la responsabilité, vis-à-vis des constructeurs, de certaines activités qui déterminent la cybersécurité des composants. Avec un audit VCS, vous recevez non seulement une preuve de conformité de la part de DQS, mais vous vous engagez également de manière proactive dans la gestion des risques. En particulier lorsqu'il s'agit d'engagements à très long terme, nous pouvons vous aider à vous assurer que vos mesures sont adéquates à long terme. Dans le passé, ces audits étaient principalement réalisés par les fabricants eux-mêmes. Les participants inscrits au réseau VCS peuvent sélectionner un prestataire de services d'audit et commander un audit VCS par l'intermédiaire d'une plateforme en ligne commune. Les avantages pour les entreprises l'emportent sur les inconvénients :

Il est possible d'éviter les audits en double ou multiples par différents clients, ce qui permet d'économiser du temps et de l'argent.
Reconnaissance interentreprises des audits pour les participants au VCS
Des résultats fiables grâce au catalogue d'audit VCSA harmonisé, qui garantit un processus d'audit cohérent.
Une plus grande confiance dans votre organisation auditée avec un ou plusieurs labels VCS appelés "VCS Development", "VCS Production" ou "VCS Operations & Maintenance".

Après un audit réussi, vous recevrez vos labels VCS sur la plateforme en ligne du VCS. Ces labels sont semblables à des certificats et servent à confirmer vos capacités en tant que fournisseur VCS.

Afficher plus

Montrer moins

Comment fonctionne le VCS ?

Dans le cadre du VCS, les participants peuvent jouer deux rôles différents : le "consommateur d'informations" (passif), par exemple un fabricant qui souhaite recevoir des informations sur un fournisseur, et le "fournisseur d'informations" (actif), par exemple un fournisseur VCS ou un prestataire de services qui souhaite faire l'objet d'un audit afin de déterminer s'il est apte à recevoir des commandes de la part de fabricants.

Une entreprise peut également assumer les deux rôles de participant. Toute personne souhaitant participer au VCS en tant que fournisseur d'informations doit suivre les quatre étapes clés suivantes :

1. S'inscrire en ligne sur le site www.enx.com/VCS

2. Sélectionner un prestataire de services d'audit approuvé par ENX, tel que DQS.

3. Effectuer un audit ENX VCS

4. Échanger les résultats de l'audit sur la plateforme en ligne VCS

Si une entreprise est intéressée par vos résultats VCS, elle peut s'inscrire auprès d'ENX en tant que "consommateur d'informations". Pour chaque consommateur d'informations, vous pouvez décider si vous souhaitez partager votre statut VCS actuel avec eux.

Afficher plus

Montrer moins

Comment se déroule un audit VCS ?

Avant de commencer l'audit VCS, votre entreprise doit définir clairement le champ d'application. Il s'agit notamment de déterminer les activités VCS dont elle est responsable. S'il s'agit d'activités de développement du SCV, vous devez répondre aux exigences du "développement du SCV". Si votre entreprise est responsable de la production sûre et de la configuration de base des composants VCS, vous devez satisfaire aux exigences de la "production VCS". Si votre entreprise est responsable de l'exploitation et de la maintenance à long terme des composants du système de cybersécurité, vous devez satisfaire aux exigences relatives à l'exploitation et à la maintenance du système de cybersécurité.

Le système central de gestion de la cybersécurité est surveillé sur le site qui gère principalement le SGCS. L'efficacité du SGCS central est vérifiée sur les sites où les opérations VCS du SGCS sont effectuées. Par conséquent, tous les sites où se déroulent ces activités VCS distribuées sont inclus dans le champ d'application de l'audit. Toutefois, un échantillon de projets VCS est prélevé au cours de l'audit afin de déterminer quels sites sont effectivement inclus dans l'audit. En principe, tous les sites concernés doivent disposer d'un label ^TISAX® valide au moment de l'audit.

Lors de la première étape, vous sélectionnez DQS comme fournisseur d'audit agréé.
Lors de la deuxième étape, une réunion de lancement est organisée afin d'informer toutes les parties responsables des attentes de l'équipe d'audit.
Au cours de la troisième étape, vous procédez à une auto-évaluation de votre CSMS central à l'aide du catalogue d'audit VCSA et vous compilez un ensemble de documents référencés dans le catalogue que vous mettez à la disposition de l'équipe d'audit.
Au cours de la quatrième étape, l'auditeur principal examine tous les documents fournis.
Au cours de la cinquième étape, votre SGCV central est audité et sa conformité à l'ASVC est évaluée.
Au cours de la sixième étape, un échantillon aléatoire de vos projets VCS est sélectionné sur la base de critères de risque.
Au cours de la septième étape, les projets VCS de l'échantillon sont audités pour s'assurer que les exigences du CSMS ont été mises en œuvre. Pour ce faire, les chefs d'équipe du projet sont audités et les produits de travail requis par la norme ISO/SAE 21434 sont examinés.

Les résultats de l'audit ENX VCS sont consignés dans un rapport intermédiaire. En cas de non-conformité, les mesures à mettre en œuvre sont convenues. Si nécessaire, la mise en œuvre des mesures est définie dans un délai convenu. Cette procédure garantit que toutes les non-conformités identifiées sont traitées efficacement et rapidement.

Après la clôture des non-conformités, une évaluation de l'efficacité est effectuée pour valider la clôture des non-conformités et évaluer l'efficacité globale des mesures correctives prises.

Le résultat final est publié en ligne dans la base de données ^ENX® Le résultat final est publié en ligne sur le portail ENX®. Votre entreprise est alors répertoriée comme participant au processus VCS avec les labels correspondants.

Quel est le coût d'un audit VCS ?

Le nombre exact de jours d'audit requis pour un audit VCS varie selon les organisations. Même pendant l'audit, des jours d'audit supplémentaires peuvent être nécessaires. Cela influe sur l'étendue de l'audit et donc sur son coût.

Le nombre total de projets VCS détermine la taille minimale de l'échantillon. Celle-ci détermine quelles équipes de projet sont auditées dans quels lieux.

Ce que vous pouvez attendre de nous

DQS est un prestataire de services d'audit accrédité par l'association ENX.
Une vision à valeur ajoutée de la sécurité de l'information de votre organisation
Accréditations pour toutes les normes automobiles pertinentes
Auditeurs expérimentés et experts de l'industrie automobile et de la sécurité de l'information
Plus de 35 ans d'expérience dans la certification de systèmes et de processus de gestion
Un soutien personnel et sans faille de la part de nos spécialistes - à l'échelle régionale, nationale et internationale
Des devis sur mesure avec des conditions contractuelles flexibles et sans coûts cachés.