autonomous driving by a e-car, e-mobility

ENX VCS versus ISO 21434 : Audit de la cybersécurité des véhicules

Holger Schmeken

Expert DQS pour la sécurité de l'information
juil. 10 , 2024

La transformation numérique de l'industrie automobile bat son plein. Partout où cela est possible, la mécanique cède la place à l'électronique. L'installation d'un plus grand nombre de composants E/E rend les véhicules plus puissants et accroît la sécurité de la conduite, mais elle les expose également aux dangers des cyberattaques. C'est pourquoi les Nations unies ont adopté la résolution UN R 155, qui prévoit la mise en œuvre de systèmes modernes de management de la cybersécurité (CSMS) et prendra pleinement effet à partir de juillet 2024.

Avec la norme ISO/SAE 21434 "Véhicules routiers - Ingénierie de la cybersécurité", il existe déjà une ligne directrice à laquelle il est fait référence dans les exigences officielles, mais dans la pratique, elle s'est révélée insuffisamment précise. Pour permettre une mise en œuvre standardisée au niveau mondial, l'Association ENX a créé une nouvelle option de certification avec les audits de cybersécurité des véhicules (VCSA). Dans notre article de blog, les entreprises de l'industrie automobile peuvent découvrir pourquoi ce programme d'audit est mieux adapté pour prouver la conformité aux nouvelles réglementations que la certification purement conforme à la norme ISO/SAE 21434.

L'importance de la nouvelle réglementation en matière de cybersécurité dans l'industrie automobile

Avec la nouvelle réglementation sur la cybersécurité automobile, des exigences contraignantes s'appliqueront à tous les véhicules nouvellement fabriqués à partir de juillet 2024. Si les exigences ne sont pas mises en œuvre, la série de modèles concernée ne recevra pas d'homologation. La cybersécurité holistique, telle que voulue par les autorités avec la mise en œuvre obligatoire d'un système de management de la cybersécurité (SMCS), englobe tous les composants du véhicule.

La plupart des composants installés dans les véhicules proviennent de la chaîne d'approvisionnement des constructeurs automobiles. L'UN R 155 rend ces fabricants responsables de la cybersécurité des composants qu'ils fournissent. Toutefois, ils ne peuvent influer sur la cybersécurité des composants que par le biais de leurs accords contractuels avec les fournisseurs. Dans le cadre de leur gestion des risques, les constructeurs automobiles sont donc tributaires de contrats clairs et d'audits significatifs de leurs fournisseurs afin de garantir et de maintenir la cybersécurité nécessaire à long terme.

Quels sont les problèmes abordés par les nouvelles réglementations ?

L'introduction par le législateur de l'UN R 155 (et de l'UN R 156, qui se concentre sur les mises à jour logicielles) attire l'attention sur plusieurs questions complexes liées aux composants des véhicules routiers contrôlés par logiciel et à la cybersécurité :

  • Comment s'assurer que les logiciels destinés à faire fonctionner ces composants sont conçus, développés et mis en œuvre en toute sécurité ?
  • Comment un composant est-il équipé uniquement de la version logicielle prévue dans le processus de production et comment les systèmes de production concernés sont-ils tenus d'équiper les composants d'une protection logicielle ?
  • Comment peut-on contrôler que les événements de sécurité dans les composants sont enregistrés et que les menaces peuvent être éliminées efficacement par des mises à jour, même après dix ans ?

La certification ISO 21434 comme solution ?

Pour répondre à ces questions, la résolution UN R 155 mentionne la mise en place d'un système de management de la cybersécurité (SMCS) conforme à la norme ISO/SAE 21434 chez les constructeurs automobiles. Un système de management est un ensemble de processus et de procédures utilisés pour gérer et contrôler efficacement une entreprise ou une organisation.
Aux fins de la norme, le terme "cybersécurité" dans l'industrie automobile se réfère spécifiquement à la protection des systèmes informatiques, des réseaux et de leurs données dans les véhicules routiers. Cela inclut des mesures et des stratégies visant à garantir la sécurité et l'intégrité des systèmes numériques utilisés dans les véhicules.

Pour garantir la cybersécurité, la norme spécifie des processus et des procédures pour un SGCV dans la conception de la sécurité, le développement du produit, la maintenance du produit, la détection des risques, la prévention des dangers, l'élimination du produit et les processus continus associés. Ainsi, la norme fournit un modèle architectural complet d'un CSMS, y compris un modèle de processus pour l'évaluation des risques en matière de cybersécurité, appelé Threat and Risk Analysis (TARA).

Vous trouverez ci-dessous les arguments qui s'opposent à une certification ISO/SAE 21434 pure pour répondre aux exigences de la R 155 de l'ONU.

Cybersécurité automobile : nouvelles réglementations à partir de juillet 2024

Avec la numérisation, les risques d'attaques ont augmenté rapidement. Les constructeurs automobiles sont une cible attrayante pour les cybercriminels à bien des égards. Lisez notre article de blog pour découvrir les réglementations mises en place pour les protéger.

To the blog article

Exigences pour les audits utilisant ISO/PAS 5112

La norme ISO/SAE 21434 laisse une grande marge d'interprétation quant à la manière d'auditer un CSMS. Comme chaque prestataire d'audit crée son propre programme d'audit pour la norme ISO 21434 selon les règles de son organisme d'accréditation, l'ISO/PAS 5112 a rendu nécessaire la normalisation du processus d'audit de la cybersécurité et du SGC d'une organisation.

La norme ISO/PAS 5112 contient des lignes directrices générales pour la gestion d'un programme d'audit et fournit aux organisations les informations nécessaires à la planification et à la mise en œuvre d'un audit. Elle définit également les compétences des auditeurs de SMSC et explique comment la mise en œuvre de la norme peut être vérifiée.

Pourquoi l'audit VCS a été développé par ENX

Malgré ces efforts pour améliorer la normalisation, les programmes d'audit de cybersécurité qui en résultent dans l'industrie automobile varient encore considérablement.

Dans le contexte de chaînes d'approvisionnement profondément intégrées avec de multiples partenaires contractuels, les programmes d'audit non comparables posent un problème majeur pour les constructeurs automobiles. Les constructeurs doivent pouvoir s'appuyer sur les résultats des audits du système de management de la cybersécurité (SMCS) réalisés par les fournisseurs pour leur gestion des risques.

ENX a reconnu ce besoin et a développé une solution en coopération avec l'industrie automobile en mettant en œuvre un programme d'audit standardisé au niveau mondial appelé ENX VCS (Vehicle Cyber Security). ENX a utilisé son réseau de membres pour adapter le programme d'audit aux exigences spécifiques de l'industrie

Dans le même temps, la norme ISO/SAE 21434 ne suffit pas à elle seule à répondre à toutes les exigences réglementaires de l'UN R 155. Bien que la norme UN R 155 se réfère à la norme ISO/SAE 21434 comme exemple de processus d'un système de management de la sécurité, elle exige également que les capacités du système de management de la sécurité soient maintenues en permanence :

  • UN R 155, chapitre 7.2.2.3 : Les cybermenaces et les vulnérabilités exigeant une réponse de la part du constructeur automobile doivent être traitées dans un délai raisonnable.
  • R 155 de l'ONU, chapitre 7.2.2.4 : Le constructeur du véhicule doit démontrer que les procédures appliquées dans son système de management de la cybersécurité garantissent que la surveillance visée au paragraphe 7.2.2.2 g) a lieu régulièrement.

 

Les exigences susmentionnées ne peuvent être respectées de manière réaliste à long terme que si un système de management de la sécurité de l'information (SMSI) est mis en œuvre parallèlement au SMSC, qui garantit en permanence la sécurité de l'information dans l'ensemble de l'entreprise. C'est pourquoi ENX VCS exige toujours que les sites de développement aient également passé une évaluation TISAX. De cette manière, le fournisseur audité peut démontrer de manière durable qu'il remplit ses obligations de diligence raisonnable grâce à une gestion consciente et prudente des risques.

ISO 27001 - la sécurité de l'information classique

ISO/IEC 27001 est la principale norme internationale pour l'introduction d'un système de gestion holistique de la sécurité de l'information. La norme ISO a été récemment révisée et republiée le 25 octobre 2022.

ISO 27001 - more in­for­ma­tion

Avantages d'ENX VCS

Mise en œuvre 1:1 des normes ISO 21434 et ISO/PAS 5112

La bonne nouvelle est que quiconque a suivi les normes ISO 21434 et ISO/PAS 5112 en termes de cybersécurité automobile est déjà sur la bonne voie. Les exigences de ces deux normes constituent - mathématiquement parlant - un véritable sous-ensemble des spécifications VCS. Cela signifie que toutes les exigences des deux normes ISO se retrouvent à l'identique dans l'ENX VCS Vehicle Cyber Security.

Par rapport aux audits ISO, ENX VCS permet toutefois un modèle de procédure comparable. Afin de garantir des processus comparables à l'échelle mondiale entre tous les prestataires d'audit, ENX a également publié des "Critères et exigences d'évaluation des prestataires d'audit" (ACAR VCS 1.0) et un catalogue d'audit VCSA 1.0 contraignant lors du lancement du programme. Ces critères et exigences comprennent, entre autres, les éléments suivants

  • L'audit organisationnel des règlements du SMCS (principalement des audits de documents et de processus),
  • La création d'un échantillon de projets axés sur les risques qui traitent de la cybersécurité des composants,
  • L'échantillon de projets est utilisé pour vérifier si les règles SMCS sont appliquées de manière cohérente dans les projets VCS. Il comprend, par exemple, des entretiens avec les membres de l'équipe d'ingénierie et l'examen des résultats de leur travail.

Compétences standardisées

L'ACAR définit également des exigences de compétences standardisées au niveau mondial et des descriptions de rôles pour les auditeurs et les experts :

  • Auditeur principal VCS
  • Expert VCS

Les connaissances d'un expert du SCV doivent toujours être représentées dans l'équipe d'audit du SCV. Pendant la phase d'entretien, l'expert prend en charge la conversation avec les équipes d'ingénieurs afin de réaliser une évaluation professionnelle des activités et des résultats de travail possibles.

Audit axé sur les rôles

Dans la tradition de TISAX®, ENX VCS prend également en compte les différents rôles que les fournisseurs peuvent jouer dans la fourniture de composants pertinents pour la cybersécurité sous la forme d'un nouveau système de labels VCS. Ainsi, un fournisseur ne doit satisfaire qu'aux exigences du catalogue d'évaluation VCSA correspondant à son rôle respectif :

  • Développement VCS
  • Production VCS
  • Exploitation et maintenance VCS

Efforts comparables

Les labels ENX VCS sont valables trois ans et ne nécessitent pas d'audits de surveillance. En revanche, les audits conformes à la norme ISO/SAE 21434 nécessitent un audit de (re)certification sur trois ans et deux audits de surveillance annuels, avec les frais de déplacement correspondants.

Agilité

Contrairement à la norme ISO, ENX VCS promet également une plus grande souplesse d'adaptation aux nouvelles exigences. Les règlements de l'ACAR font généralement l'objet d'une révision obligatoire une fois par an, qui doit être mise en œuvre par tous les prestataires d'audit VCS.

 

vcs-iso21434-grafik-dqs-schmeken-s.jpg

Conclusion : L'ENX VCS, un moyen judicieux de tracer la voie à suivre

En résumé, le programme d'audit ENX VCS permet une mise en œuvre globalement améliorée de l'audit conformément aux exigences des normes ISO/SAE 21434 et ISO/PAS 5112. La comparabilité mondiale accrue du nouveau label garantit une confiance considérablement accrue dans la certification et dans la mise en œuvre des exigences de cybersécurité de la norme UN R 155.

DQS : votre partenaire fiable pour la certification

DQS, l'un des prestataires de services allemands les plus expérimentés en matière de certification de systèmes de management, travaille avec ENX depuis de nombreuses années et a été directement impliqué dans l'élaboration du nouveau programme d'audit. Au cours de la longue période de développement qui a précédé la publication du programme, DQS a acquis une expérience précieuse dans le cadre d'un grand nombre d'audits d'essai et est, par conséquent, idéalement préparé à auditer votre SGCV sur la base des spécifications du VCS.

Profitez des connaissances de nos experts et apprenez tout ce qu'il faut savoir sur l'ENX VCS et son importance pour votre entreprise. Avec plus de 35 ans d'expérience et le savoir-faire de 2 500 auditeurs dans le monde entier, nous sommes votre partenaire de certification compétent et répondons à toutes les questions relatives à la protection des données et à la sécurité de l'information.

questions-answers-dqs-question mark on wooden dice on table

Nous serons heureux de répondre à vos questions

Quelles sont les exigences pour une certification ISO 27001, IATF 16949, ENX VCS ou une évaluation TISAX®? Et à quels efforts devez-vous vous attendre ? Découvrez-le par vous-même. Sans obligation et gratuit.

Cliquez ici
Auteur
Holger Schmeken

Chef de produit et expert en sécurité de l’information et développement de logiciels. Holger Schmeken apporte également son expertise en tant qu'auditeur pour la norme ISO 27001 avec la compétence en matière de procédure d'audit KRITIS.

 

Articles et événements pertinents

Vous pouvez également être intéressé par ce qui suit
Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets

L'intérêt de l'ISO 27001 - La success story d'ENTERBRAIN Software

Lire la suite
Blog
Code, HTML, PHP Web-Programmierung Quellcode. Abstrakter Codehintergrund

Codage sécurisé - Les défis de la sécurité de l'information

Lire la suite
Blog
Cyberattack - Bildschirm zeigt Zahlencodes mit Warnsignalen

Détection et prévention dans la gestion de la sécurité de l'information

Lire la suite

Vous avez des questions ?

Nous sommes là pour vous.
Nous contacter