Les véhicules d'aujourd'hui sont des ordinateurs sur roues ; ils sont donc exposés aux risques d'une cyberattaque. De nouvelles réglementations sont apparues en juillet 2024 pour garantir une cybersécurité automobile complète sur l'ensemble de la chaîne d'approvisionnement de l'industrie automobile. L'association ENX a publié le nouvel audit de cybersécurité des véhicules (VCSA) pour aider les équipementiers et les fournisseurs à mettre en œuvre les nouvelles exigences.

Cet article a été publié pour la première fois dans la revue allemande "QZ - Quality and Reliability", vol. 69 (2024).

people in a car driving down the road happily
Loading...

La transformation numérique a rendu les véhicules plus efficaces et plus sûrs. Grâce aux systèmes de contrôle électronique et à la mise en réseau constante, ils sont également devenus des cibles pour les cybercriminels. Les systèmes critiques peuvent être attaqués, avec des conséquences potentiellement fatales. Malgré les normes les plus strictes en matière de développement de logiciels, même dans l'aviation, il n'y a aucune garantie que les logiciels soient exempts d'erreurs. Toutefois, le contrôle des logiciels permet de réagir rapidement aux problèmes de qualité - les mises à jour peuvent désormais être effectuées par voie aérienne (OTA) pratiquement du jour au lendemain.

Des réglementations contraignantes en matière de cybersécurité

Afin de contrer les cybermenaces croissantes, les Nations unies ont adopté les règlements CEE-ONU 155 et 156, qui prévoient la mise en œuvre d'un système de management de la cybersécurité (CSMS) et d'un système de management des mises à jour des logiciels (SUMS) respectivement. Ces règlements visent à garantir la cybersécurité tout au long du cycle de vie d'un modèle et de la chaîne d'approvisionnement. Dans l'UE, les règlements sont obligatoires pour tous les véhicules nouvellement fabriqués depuis juillet 2024.

ENX VCS - programme d'audit mondial pour ISO/SAE 21434

Avec la norme ISO/SAE 21434 (Véhicules routiers - Ingénierie de la cybersécurité), on a tenté, dans le cadre de la réglementation de l'ONU, de créer une ligne directrice et une preuve de conformité pour le respect de la réglementation. Dans la pratique, cependant, les programmes d'audit respectifs des prestataires de services d'essai se sont avérés trop différents, malgré les spécifications de la norme ISO/PAS 5112. Les fabricants n'avaient donc toujours pas la possibilité de fournir au législateur des preuves fiables et comparables de la conformité de leurs fournisseurs - qui, à leur tour, avaient des difficultés à prouver le respect de leurs dispositions contractuelles sur la base d'essais comparables.

C'est pourquoi l'association ENX (une association de constructeurs automobiles européens, de fournisseurs et d'associations) a conçu le programme d'audit ENX VCS. ENX VCS vérifie la mise en œuvre d'un système de management de la cybersécurité des véhicules (VCSMS) conformément aux normes ISO 21434 et ISO
5112. Son avantage décisif : l'audit VCS est normalisé à l'échelle mondiale et peut être adapté plus rapidement aux nouveaux défis qu'une norme ISO. Un groupe d'experts internationaux révise régulièrement le programme d'audit afin de le maintenir à jour.

 

Êtes-vous prêt pour l'ENX VCS ?

Apprenez tout sur le processus ENX VCS et les conditions préalables à l'obtention de votre label VCS.

Obtenez votre label VCS

Audits standardisés - résultats comparables

Grâce à l'audit ENX VCS standardisé, les entreprises évitent les dépenses inutiles, notamment financières, qui peuvent résulter de processus d'audit à plusieurs niveaux et d'audits divergents. Pour garantir des processus comparables à l'échelle mondiale entre tous les fournisseurs d'audit, ENX a également publié des critères et exigences d'évaluation spécifiques pour les fournisseurs d'audit (ACAR VCS) et un catalogue d'audit contraignant pour les audits de cybersécurité des véhicules (VCSA) lors du lancement du programme. Ceux-ci définissent une série de compétences obligatoires et un modèle de procédure contraignant pour les auditeurs VCS - en plus de l'audit organisationnel des règlements V-CSMS, par exemple, un audit obligatoire des documents et des processus - et la formation d'un échantillon aléatoire axé sur le risque de tous les projets pertinents en matière de cybersécurité. Les équipes d'ingénieurs responsables des projets de l'échantillon sont ensuite interrogées par les auditeurs et les experts. Les résultats du travail de l'équipe sont examinés pour s'assurer que le V-CSMS est réellement utilisé dans la pratique. Une fois le test réussi, les entreprises peuvent demander à ENX un label VCS correspondant et le mettre à la disposition des parties intéressées via le mécanisme d'échange d'ENX.

Loading...

TISAX® et VCS fonctionnent en tandem

Structurellement, les audits VCS avec l'ACAR VCS sont basés sur la norme automobile établie TISAX®. Les deux mécanismes d'audit se complètent : alors que TISAX®évalue la sécurité de l'information dans une entreprise, le label VCS confirme la cybersécurité des composants automobiles. Tout comme TISAX®, l'audit VCS tient compte des différents rôles des fournisseurs dans la fourniture de composants cybernétiques. Chaque fournisseur ne doit donc satisfaire qu'aux exigences du catalogue d'audit VCSA correspondant à son rôle réel et spécifique. Une distinction est faite entre les différents labels :

  • VCS Development : L'entreprise réalise le développement sécurisé des composants VCS - de l'intégration. Le processus d'intégration du système dans l'architecture générale de sécurité jusqu'à la mise en œuvre sûre et la transition sûre vers la production.
  • Production VCS : L'entreprise produit des composants VCS et veille à leur configuration sécurisée et à leur équipement logiciel.
  • Exploitation et maintenance du VCS : L'entreprise se voit confier les données d'enregistrement de la flotte de véhicules, ce qui permet d'identifier les conditions d'exploitation problématiques ou les incidents de sécurité spécifiques. Ce label convient également aux entreprises qui doivent maintenir leurs composants VCS à jour.
Description of the various standards for cyber security throughout a vehicle's lifecycle
Loading...

Preuve de conformité selon ENX VCS

Dans le cadre de l'audit VCS, les OEM et les fournisseurs peuvent faire auditer leur V-CSMS par des prestataires d'audit agréés et recevoir un label VCS d'ENX valable trois ans. La comparabilité mondiale accrue des nouveaux labels renforce la confiance dans la conformité du V-CSMS aux spécifications de cybersécurité R 155 de la CEE-ONU, ce qui permet aux entreprises de démontrer clairement leur conformité aux autorités et à leurs partenaires commerciaux et de contribuer à la cybersécurité globale de l'automobile. Il est judicieux d'agir rapidement : Pendant la phase d'introduction, l'inscription à l'audit ENX VCS est gratuite.

DQS - Simply leveraging Security

DQS a été fondé en 1985 en tant que premier organisme de certification en Allemagne. Depuis lors, nous sommes devenus l'un des principaux experts mondiaux en matière d'audit et de certification. Les partenaires fondateurs DGQ (Deutsche Gesellschaft für Qualität e. V.) et DIN (Deutsches Institut für Normung e. V.) sont des partenaires importants pour la formation et le perfectionnement ainsi que pour le travail de normalisation.

Nous participons activement à des comités et à des organes au nom de nos clients et nous apportons nos connaissances spécialisées lors de nos audits. Notre exigence commence là où les listes de contrôle d'audit s'arrêtent. Prenez-nous au mot.

Confiance et expertise

Nos textes et nos brochures sont rédigés exclusivement par nos experts en normes ou par des auditeurs de longue date. Si vous avez des questions sur le contenu des textes ou sur les services que nous proposons à nos auteurs, n'hésitez pas à nous contacter.

Source : www.qz-online.de (le principal périodique allemand sur le management de la qualité).

Auteur
Holger Schmeken

Chef de produit et expert en sécurité de l'information et en développement de logiciels. Holger Schmeken apporte également son expertise en tant qu'auditeur pour la norme ISO 27001 avec une compétence en matière de procédure d'audit KRITIS et en tant que directeur de la sécurité de l'information de DQS BIT GmbH.

Loading...

Articles et événements pertinents

Vous pouvez également être intéressé par ceci
Blog
autonomous driving by a e-car, e-mobility
Loading...

ENX VCS versus ISO 21434 : Audit de la cybersécurité des véhicules

Blog
experience-with iso-27001-dqs-enterbrain-software-ag server cabinets
Loading...

L'intérêt de l'ISO 27001 - La success story d'ENTERBRAIN Software

Blog
a young woman sits at a desk in front of a screen with a reference to cloud storage
Loading...

Sécurité du cloud avec ISO 27001:2022