CAS d'USAGe : Conformité à la réglementation ONU r155‍

Client:

• ‍‍Fabricant de véhicules routiers (OEM)

Taille:

• ‍‍100 .. 5000 salariés

Demande

• ONU r155 CSMS + homologation de type
• Conformité à la norme ISO/SAE 21434
• Suivi des fournisseurs pour la conformité cyber et les activités distribuées.

Participation requise de la part du client

• Prise en charge des coûts et des efforts de communication avec les autorités d’homologation ONUr155,
• Allocation budgétaire pour le personnel, l’outillage et les activités de cybersécurité,
• Accès aux ressources requises du client et des fournisseurs (documentation, outils, experts, etc.),
• Participation du client à la définition du type de véhicule, de l’architecture électronique, des zones de cybersécurité et des composants liés à la cybersécurité,
• Participation du client aux réunions de projet et aux formations,
• Être prêt à absorber une charge de travail supplémentaire dans tout le cycle de vie du produit, en particulier la conception, le développement, la vérification et la validation.

Durée estimée:

• 1-3 ans

planification et l'exécution

Le processus de conformité à la réglementation ONU r155 commence par l’envoi d’une demande à l’autorité compétente pour l’homologation de type de la partie contractante (nation). Le périmètre de l’homologation est défini en fonction du type et des catégories de véhicules énumérés dans le réglementation, ainsi que du marché visé par le constructeur. La conformité à UN r155 ouvre la voie à d’importantes opportunités pour le fabricant (OEM) mais ne couvre pas le monde entier. Par conséquent, le fabricant doit prendre ses décisions et ses investissements intelligemment pour optimiser les ressources. La conformité à UN r155 exige beaucoup d’efforts, de budget et de temps. 2 à 3 ans suffisent à peine avec la présence de ressources adéquates.

L’étape suivante est l’approbation du CSMS. Cela nécessite la mise en œuvre et l’intégration des processus de cybersécurité qui garantissent la gestion des risques de cybersécurité tout au long du cycle de vie du produit et de la chaîne d’approvisionnement. Ceci est très bien expliqué dans l’ISO/SAE 21434 et les critères d’audit sont disponibles dans l’ISO PAS 5112. Un rapport d’audit est généré qui montre la maturité du CSMS ainsi que les écarts et le plan d’action en cas d’échec. En règle générale, l’étape suivante, qui est la validation technique de la cybersécurité au niveau du produit, ne sera pas possible si le CSMS n’est pas approuvé.

La validation technique consiste à tester littéralement les caractéristiques de cybersécurité du produit par rapport aux menaces énumérées dans l’annexe 5 de la norme ONU r155. En fait, cela montre également si le CSMS approuvé lors de la phase précédente est respecté ou non. Les livrables créés lors du développement et les tests conformément à la norme ISO/SAE 21434 accompagneront la validation de la cybersécurité.

La dernière phase est l’évaluation des résultats. L’évaluation de la cybersécurité doit être réalisée de manière indépendante. Par conséquent, il ne doit pas s’agir de la même entité qui a effectué la validation de la cybersécurité. Si l’évaluation est positive, l’homologation de type est accordée comme prévu dans la phase initiale. Désormais, le fabricant peut directement mettre les produits approuvés sur les marchés qui reconnaissent mutuellement l’homologation sans autre test.

Conclusion

L’obtention d’un CSMS et l'homologation de type de véhicule auprès des autorités nationales est une activité complexe et très exigeante qui nécessite la participation de toutes les unités d’une entité. Il est recommandé d’obtenir un service de conseil adéquat pour économiser du temps et de l’énergie.

Voir aussi notre page sur le règlement UN r155 pour plus d’informations.