Panorama de la norme ISO 21434 pour la cybersécurité automobile

Basé sur la traduction d'un texte en anglais.

Les véhicules sont plus connectés que jamais. Du WiFi au Bluetooth, en passant par le LTE et l'USB, le nombre d'interfaces connectées dans les automobiles croît chaque année. Selon ABI Research, 30 millions de voitures connectées ont été vendues en 2020. On parle de 115 millions, dans le monde, d'ici à 2025. Mais cette connectivité accrue n’allant pas sans risques, l'industrie automobile a élaboré de nouvelles normes pour renforcer la cybersécurité des systèmes des véhicules routiers.

En effet, les agréments de la connectivité (5G pour des fonctionnalités de conduite autonome, systèmes de navigation avancés et réduction des accidents de la route, par exemple) créent aussi des préoccupations. Il s’avère que ces voitures connectées et semi-autonomes sont nettement plus vulnérables aux cyberattaques que leurs prédécesseurs traditionnels. Les menaces cybernétiques s’amplifient à mesure que les capacités des voitures intelligentes se développent. Au premier rang, des risques pour les conducteurs, les infrastructures de transport ou les constructeurs automobiles. Face à ces enjeux, les fabricants du monde entier s’efforcent de réduire les failles et de limiter les risques d’accidents qu’elles pourraient engendrer. C’est dans ce contexte qu’intervient l’ISO 21434.

La norme ISO 21434, intitulée "Véhicules routiers - ingénierie de la cybersécurité", et destinée à l'industrie automobile a été élaborée par l'Organisation internationale de normalisation (ISO) en collaboration avec la Society of Automotive Engineers (SAE). Reposant sur les bases de la norme ISO 26262, qui traite de la sécurité fonctionnelle, l'ISO 21434 aborde les risques liés à la cybersécurité dans la conception et le développement des systèmes électroniques des véhicules. Elle fournit des directives actualisées pour évaluer la sécurité, la gérer et atténuer les risques.

La norme ISO 21434 veille à ce que la cybersécurité soit considérée à chaque étape du cycle de vie du produit, de la conception jusqu'au retrait du marché. Elle fournit également la terminologie, les objectifs, les exigences et les lignes directrices dont les acteurs automobiles ont besoin pour :

• Définir leurs politiques en matière de cybersécurité ;

• Analyser, identifier et gérer les risques associés ;

• Promouvoir une culture de « sécurité dès la conception ».

Cette norme s'applique à tous les logiciels, systèmes et composants électroniques associés, ainsi qu'au matériel embarqué dans les véhicules. Objectif : faire en sorte que les développeurs automobiles gèrent les enjeux de cybersécurité sur tout le cycle de vie, y compris sur l'ensemble de la chaîne des fournisseurs.

Les nouveaux véhicules embarquent des logiciels pour piloter des fonctions aussi essentielles que la direction, le freinage ou la navigation. Cette connectivité, qui accroît le risque de cyberattaques, peut mettre des vies en danger. Par ailleurs, la possibilité qu'un grand nombre de véhicules soient piratés et exploités en réseau représente une menace supplémentaire. Les voitures connectées génèrent également des données à caractère personnel qui, sans une protection adéquate, pourraient être détournées à des fins frauduleuses telles que l’usurpation d'identité ou une surveillance illégale. L’influence d’un acteur malveillant sur un véhicule, voire sur des flottes entières, ne relève plus de la science-fiction… Alors que les constructeurs tentent de s'adapter à ce nouveau contexte, une cyberattaque majeure pourrait nuire à leur réputation et à leur compétitivité.

Pour maintenir la confiance du public vis-à-vis de technologies telles que la conduite autonome et la communication inter-véhicules (V2V), une gestion efficace et ferme de la cybersécurité s’avère incontournable. Alors que les constructeurs investissent des milliards pour innover dans les fonctionnalités intelligentes, toute attaque de piratage réussie risque de réduire l'attrait de fonctionnalités alors perçues comme des vulnérabilités.
La cybersécurité prenant la même importance que la sécurité en cas de collision, on comprend l’importance de normes solides pour assurer la confiance des consommateurs. En ce sens, respecter l'ISO 21434 constitue la meilleure stratégie pour réduire les risques, éviter les pertes financières et préserver sa réputation.

La norme ISO 21434 vise à intégrer la cybersécurité à chaque étape du cycle de vie des produits automobiles. Ainsi elle fournit des directives pour que les fabricants et les fournisseurs puissent identifier et gérer efficacement les risques cyber depuis la phase de conception initiale jusqu'à la production et la mise hors service. Les systèmes des véhicules sont donc mieux protégés contre les cybermenaces, la sécurité des utilisateurs et leur confiance dans les technologies qui équipent les véhicules connectés sont renforcées.

L'adoption de la norme ISO 21434 aide les organisations à établir et à maintenir un processus de gestion sécurisé en intégrant les meilleures pratiques de cybersécurité tout au long du cycle de vie du produit. Les vulnérabilités potentielles sont ainsi identifiées et traitées à un stade précoce, ce qui réduit le risque de rappels coûteux et d'incidents de sécurité ultérieurs.

L'ISO 21434 propose d'évaluer les risques et de gérer les menaces de façon structurée. C’est une stratégie globale qui renforce la résilience des systèmes des véhicules et soutient l'amélioration continue des mesures de cybersécurité. En atténuant les menaces potentielles, on peut protéger les fonctions critiques et garantir une sécurité optimale à l’utilisateur.

L'intégration des exigences en matière de cybersécurité dans les phases de développement favorise l’efficacité opérationnelle. L'ISO 21434 rationalise les processus et réduit les redondances, facilitant ainsi la collaboration entre les départements et les parties prenantes.

À terme, mettre en place des mesures de cybersécurité fortes répondant aux standards ISO 21434 peut générer des économies significatives. Deux exemples : la réduction des pertes financières liées aux violations de données ou les défaillances de systèmes et les litiges qui s’ensuivent. La conformité à cette norme permet également d'échapper aux amendes réglementaires et leurs conséquences juridiques, ce qui en fait une stratégie rentable sur le long terme.

Le respect de la règlementation ISO 21434 témoigne d’un engagement fort en faveur de la cyber résilience. Celui-ci contribue à renforcer la confiance des clients et la réputation de l’entreprise. C’est un avantage concurrentiel dans une industrie automobile en pleine évolution.

Pour répondre aux exigences définies par l’ISO 21434, ils doivent prouver qu’ils ont mis en place les protections recommandées et rempli leurs obligations avec soin. La norme exige également que les équipementiers et les fournisseurs prennent des mesures de cybersécurité tout au long de la chaîne d'approvisionnement, la responsabilité finale revenant au fabricant.

Résumée à une formule, l’ISO 21434 serait “sécurité et confidentialité avant tout”. Basée sur un modèle en V, la norme détaille comment la cybersécurité s’intègre à chaque phase, à travers la définition des exigences, la conception, la mise en œuvre, les tests, toute opération depuis l’achat jusqu’au retrait du produit. Voici quelques-unes des activités que les équipementiers et les fournisseurs devront réaliser pour suivre les guidelines :

• Évaluer les risques

• Identifier les vulnérabilités en matière de cybersécurité

• Assurer un développement qui mette en place les protections nécessaires pour répondre à ces vulnérabilités

• Tester rigoureusement les applications et les composants logiciels/matériels, afin de garantir que ces risques ont été atténués

Les entreprises sont tenues de mener des évaluations de risques approfondies, réaliser des tests de pénétration et surveiller en continu les systèmes pour maintenir leur conformité. Pour répondre aux exigences strictes de l’ISO 21434, les nouvelles solutions de gestion du cycle de vie des applications (Application Lifecycle Management ou ALM) sont de précieuses alliées. Elles aident les constructeurs automobiles dans leurs stratégies de cybersécurité en leur offrant une traçabilité de bout en bout, une transparence et une collaboration efficace tout au long du cycle de l'ingénierie. Renforcer sa résilience face aux menaces en constante évolution reste la meilleure approche en matière de cybersécurité.

L'ISO 21434 établit une série d'exigences pour les équipes d’ingénierie en matière de cybersécurité automobile. Objectif : analyser les vulnérabilités et mettre en place des protections afin de garantir le plus haut niveau de cybersécurité possible. L’approche repose sur un principe : la cybersécurité doit être prioritaire dans toutes les décisions de conception. Plutôt qu'être une mesure isolée, introduite ultérieurement, elle doit être intégrée à chaque étape du cycle de vie du produit. En conséquence, le choix d’un langage de programmation, par exemple, est influencé, car des techniques de codage sécurisées, ainsi que des définitions syntaxiques et sémantiques claires, doivent être mises en œuvre.

L’UN R155 est l’une des réglementations publiées par la CEE-ONU (Commission économique pour l'Europe des Nations unies) pour l’harmonisation des réglementations des véhicules (WP.29), aux côtés de la réglementation sœur UN R156. Depuis juillet 2022, l’UN R155 est considérée comme contraignante pour les nouveaux véhicules sur les marchés concernés.

Le RN155 impose l'utilisation d'un système de gestion de la cybersécurité certifié et accorde une attention particulière à :

• L’analyse, l’évaluation et la gestion des risques cybernétiques liés aux véhicules connectés ;

• L’application du principe de “cybersécurité dès la conception” pour réduire les risques tout au long de la chaîne d’approvisionnement ;

• La mise à jour sécurisée des logiciels des véhicules ;

• La mise en place de systèmes capables de détecter et d’atténuer les incidents de sécurité dans les véhicules.

L’UN R155 est donc une réglementation de l’ONU tandis que l’ISO 21434 est une norme industrielle. Cependant, toutes deux fournissent des bonnes pratiques et des exigences destinées à promouvoir la cybersécurité dans l’industrie automobile. Dans les deux cas, vous devez disposer d’outils appropriés pour soutenir votre stratégie de cybersécurité, obtenir votre certificat de conformité et assurer une mise sur le marché de vos produits rapide.

Cumulées, ces réglementations offrent à la fois des garanties et des défis. Si elles permettent d'éviter les conséquences négatives en matière de cybersécurité, elles obligent aussi les fabricants à modifier ou repenser certains aspects significatifs de leur activité. C’est d’ailleurs leur objectif. Pour réussir cette transformation numérique, les leaders du marché ne se contentent pas d’utiliser des systèmes de CAO, de PLM et d'ALM, mais cherchent également des solutions capables d’intégrer ces outils pour aller vers un processus de conformité optimisé. La bonne technologie, précisément, permet de ne pas choisir entre le respect des normes et la rapidité de mise sur le marché.

Avant d’implémenter l’ISO 21434, commencez par évaluer le cadre actuel de votre stratégie de cybersécurité. Comment identifiez-vous les risques ? Comment les gérez-vous ? Vos équipes sont-elles solidement formées aux bonnes pratiques et aux exigences de conformité ? L’utilisation de solutions ALM peut simplifier vos efforts en centralisant les processus, en renforçant la collaboration inter-équipes et en fournissant des outils pour surveiller en continu la conformité et la gestion des risques. En fait, la bonne approche, associée au bon investissement technologique, peut transformer le défi de la conformité en véritable avantage concurrentiel.

Le nombre de véhicules connectés croît chaque jour. Les fonctions critiques, autrefois manuelles, dépendent désormais de logiciels. Jamais leur sécurité n’aura été aussi cruciale.

Simplifiez la conformité

En savoir davantage sur la révolution des véhicules définis par logiciel et les défis qui les accompagnent.

C’est parti