L’objectif principal de la norme ISO/SAE 21434 est d’aborder la perspective de la cybersécurité dans l’ingénierie E/E dans les véhicules routiers, en plaçant la gestion des risques de cybersécurité au centre et tout au long du cycle de vie du produit.
En fait, c’est le changement de paradigme qui accompagne cette norme. Le cycle de vie complet est susceptible d’introduire des vulnérabilités dans le produit. Par conséquent, des mesures de cybersécurité sont définies à mettre en œuvre à chaque phase.
Un autre objectif est de créer une compréhension et une culture communes de la cybersécurité en fournissant un vocabulaire, des objectifs, des exigences et des lignes directrices. Ceux-ci permettent aux organisations de définir des polices et des processus de cybersécurité, gérer les risques de cybersécurité, favoriser une culture de la cybersécurité et de mettre en œuvre un système de gestion de la cybersécurité.
La cible de la norme est la famille des véhicules routiers. C’est le nom du comité technique ISO TC-22 et il couvre les motos, les voitures, les véhicules de transport de marchandises articulés, les camions, etc. La norme s’applique à tous les systèmes E/E développés ou « modifiés » après la publication de la norme. Il s’agit d’un périmètre assez large car un simple changement de logiciel peut également être considéré comme une modification.
La norme ISO/SAE 21434 ne prescrit aucune technologie ou solution technique spécifique. Cela signifie qu’il est de la responsabilité des fabricantes (OEMs) et des fournisseurs de développer leurs propres solutions pour atténuer les risques de cybersécurité. La norme n’attribue pas les fonctionnalités à différents éléments. Cela signifie que la norme est rédigée du point de vue d’un seul élément qui peut être l’architecture E/E (électrique et électronique) ou l’ensemble des cas de cybersécurité des unités E/E pertinentes pour la cybersécurité dans le véhicule.
Les systèmes externes tels que les chargeurs de véhicules électriques peuvent avoir un aspect de cybersécurité, mais ils n’entrent pas dans le périmètre de cette norme. Cependant, vous pouvez voir sur le marché des chargeurs d'EVs qui ont la certification ISO. C’est tout à fait normal car la norme ISO/SAE 21434 définit les exigences d’ingénierie de la cybersécurité et toutes les entreprises sont libres d’obtenir une certification pour leur organisation et leurs produits.
Une brève description des chapitres est présentée ci-dessous. L’ordre des chapitres de la norme ne prescrit pas nécessairement une séquence d’exécution, sauf de 9 à 13. Chaque chapitre a sa propre applicabilité. Par exemple, Chapitre 6 décrit le système de management de la cybersécurité (CSMS) et il est défini au niveau de l’organisation. Il s’applique à tous les projets, il est donc pratiquement indépendant du projet.
Chapitre 8 décrit les activités continues du projet, telles que l’analyse de la vulnérabilité qui sont effectuées à différents niveaux. C’est pourquoi il s’applique à toutes les phases du cycle de vie du projet.
Chapitre 15 décrit les méthodes officielles d’analyse des menaces et d’évaluation des risques, de sorte qu’il est également indépendant du projet. Cependant, Capitre 9 dépend du projet car il décrit comment créer le concept de cybersécurité du projet qui comprend TARA (Threat Analysis et Risk Assessment - Analyse des Menaces et Evaluation des Risques).
Il est important de comprendre l’objectif et l’applicabilité de chaque chapitre de la norme ISO. De cette façon, les activités de cybersécurité nécessaires à la conformité seront planifiées avec précision et en parfaite synchronisation avec les activités du projet.
Les termes et les définitions sont très importants dans les normes ISO, par conséquent ISO tient à jour une base de données terminologique pour assurer une compréhension commune. Ce chapitre doit être consultée pour comprendre les termes avant de faire une recherche sur le web. Par exemple, si nous recherchons le mot vulnérabilité, nous verrons différentes définitions provenant de différentes sources, mais elles signifient toutes qu’il s’agit d’une faiblesse qui peut être exploitée.
L’organigramme ci-dessous montre comment l’élément (item), ses composants et d’autres termes liés à la cybersécurité sont liés les uns aux autres. De nombreux niveaux sont intégrés dans une image afin que nous puissions voir leurs relations entre eux.
L’élément se trouve en haut, au niveau de la fonction. L’infodivertissement, le moteur, le freinage, l’ADAS, la recharge et bien d’autres fonctions peuvent être considérés comme des éléments qui sont incorporés par un ECU (Electronic Control Unit) dans un véhicule. Les éléments sont composés de sous-éléments qui sont généralement des composants logiciels et matériels. Ces composants se situent au niveau de l’architecture, mais cette architecture ne doit pas être confondue avec l’architecture électronique du véhicule.
Les modules logiciels et matériels se situent au niveau de l'implémentation. Le diagramme en V typique d’ASPICE est placé sur le schéma aussi. Chapitre 9 qui est la conception et Chapitre 11 qui est la validation de la norme ISO/SAE 21434 sont appliqués au niveau de l’élément. Chapitre 10, qui comprend le développement et les tests, s’applique aux niveaux de l’architecture et de l'implémentation. Les tests comprennent cependant des tests unitaires, des tests d’intégration et d’autres types de tests en fonction de la complexité de l’architecture.
Pour permettre l’ingénierie de la cybersécurité, l’organisation met en place et maintient une gouvernance et une culture de la cybersécurité, y compris la gestion de la sensibilisation à la cybersécurité, la gestion des compétences et l’amélioration continue. Il s’agit de spécifier des règles et des processus organisationnels qui doivent faire l’objet d’un audit indépendant.
Pour soutenir l’ingénierie de la cybersécurité, l’organisation met en œuvre des systèmes de gestion de la cybersécurité, y compris la gestion des outils et la gestion de la qualité.
Il y a un certain nombre d’activités qui doivent être exécutées en parallèle pour obtenir la conformité à la norme ISO/SAE 21434. Une organisation de cybersécurité doit d’abord être créée et des ressources suffisantes doivent être allouées pour que l’équipe puisse commencer à travailler. Ensuite, la mise à jour des documents au niveau de l’organisation, tels que les politiques, les processus et les règles, doit commencer parallèlement à la formation de tous les employés dans la hiérarchie de l’organisation. Il est également nécessaire de mettre à jour les systèmes de gestion ou de les créer.
Une fois que l’organisation a suffisamment confiance pour avoir accompli toutes les tâches et atteint tous les objectifs, un audit indépendant doit être effectué. Il est fortement recommandé de procéder à une analyse initiale des écarts afin de pouvoir interpréter avec précision les résultats de l’audit. Un exemple simple de l’organisation du CSMS est donné ci-dessous.
La gestion de la cybersécurité en fonction du projet comprend des activités telles que la planification, l’adaptation, la réutilisation, le cas de cyber, l’évaluation cyber, etc. Ceux-ci doivent être exécutés pour chaque projet au sein de l’organisation, mais la réutilisation entre projets similaires est encouragée pour économiser les ressources.
Des principes d’adaptation doivent être définis et suivis pour s’assurer que ce qui est prévu au début est correctement rapporté à la fin du projet. Le cas cyber, l’évaluation cyber et la mise en production pour le post-développement sont effectués aux dernières phases du développement et en post-développement.
Il est fortement recommandé de planifier plusieurs instances des activités de cybersécurité afin de permettre des mesures correctives et un suivi.
Le plan cyber est au centre des activités, et il est expliqué en détail dans la norme avec plusieurs exigences. Il est suivi par la personne ou l’équipe appropriée dans l’organisation du projet de cybersécurité jusqu’à la fin du projet et un rapport d’évaluation est créé sur la base des preuves recueillies. La réussite du projet de cybersécurité dépend de la qualité et du suivi du plan de cybersécurité. Il est fortement recommandé d’affecter à cette tâche un responsable de la conformité cyber expérimenté qui connaît par cœur la norme ISO/SAE 21434 et la réglementation UN R155.
Ce chapitre s’applique si les responsabilités relatives aux activités de cybersécurité d’un élément ou d’un composant sont réparties. Cela signifie que certaines activités de cybersécurité jugées nécessaires sont réalisées dans le cadre d’efforts de collaboration entre un fabricant (OEM) et ses fournisseurs ou entre des fournisseurs. Il est remarquable qu’un chapitre dédié soit créé dans la norme. Cela montre à quel point il est important de documenter et de tracer les activités de cybersécurité dans l’ensemble de la chaîne d’approvisionnement.
Les activités distribuées peuvent être un gros problème à la fin du projet si un suivi efficace des fournisseurs n’est pas effectué. Le responsable de la conformité en matière de cybersécurité doit être en communication étroite avec le chef de projet et tenir des réunions dédiées avec les fournisseurs si nécessaire. Il n’est pas rare que les sujets liés à la cybersécurité soient perdus dans les communications de routine des projets.
Ci-dessous, un organigramme est donné qui montre l’OEM et les niveaux. Un accord écrit, c’est-à-dire un accord d’interface cybersécurité (CIS), doit être signé entre chaque partie prenante. Dans cette figure, nous avons besoin de 5 accords d’interface au total.
Les activités de cybersécurité continues sont effectuées pendant toutes les phases du cycle de vie et peuvent être effectuées en dehors d’un projet spécifique. Ils commencent par la surveillance et se terminent par la gestion des vulnérabilités identifiées. Celle-ci est effectuée de manière continue et n’est pas interrompue par la planification du projet.
Quatre activités principales sont définies, comme le montre la figure ci-dessous.
Ce chapitre couvre la conception de la cybersécurité de l’élément. Veuillez consulter Chapitre 4 pour voir à quoi correspond l’élément.
La conception en cybersécurité d’un projet particulier est une activité hautement technique qui n’est pas décrite dans cette norme. Un processus formel est décrit sur la façon dont la conception doit se dérouler afin de garantir que l’intégrité du concept de cybersécurité est préservée depuis la définition de l’élément jusqu’aux exigences de cybersécurité.
Ce chapitre comprend également la définition des objectifs de cybersécurité pour l’élément qui pourrait être considéré comme les exigences de cybersécurité de haut niveau. Reportez-vous à Chapitre 15, "Évaluation des risques et analyse des menaces" pour en savoir plus sur la façon de créer officiellement des objectifs. En plus des objectifs, les allégations de cybersécurité sont également expliquées, c’est-à-dire les déclarations sur les risques qui justifient une conservation, un transfert ou une surveillance.
Les objectifs sont directement liés à des risques de haut niveau qui doivent être réduits, mais les réclamations ne traitent pas de la mise en œuvre d’une mesure de cybersécurité pour atténuer le risque.
Les livrables de ce chapitre sont généralement couverts dans un seul TARA. Cependant, il ne s’agit pas d’une obligation de la norme. Un format n’est pas obligatoire. Un outil dédié peut être utilisé pour le TARA ainsi qu’un outil tabulaire.
La figure ci-dessous illustre brièvement ce qui est mentionné dans ce chapitre. Sur la droite, vous pouvez voir la relation entre Chapitre 9 et Chapitre 15. Comme indiqué précédemment, la dérivation formelle des objectifs est expliquée à Chapitre 15.
Ce chapitre décrit la spécification des exigences en matière de cybersécurité, la conception architecturale et les activités de vérification au niveau de l’unité et de l’architecture. Il faut toujours garder à l’esprit que chaque projet a ses propres caractéristiques. Il n’y a pas de solution qui convienne à tous. De plus, le développement d’un produit peut être partagé entre plusieurs parties prenantes, ce qui souligne une fois de plus l’importance de Chapitre 7 Activités distribuées.
Les principaux objectifs de ce chapitre sont d’obtenir le bon ensemble de spécifications de cybersécurité dans un premier temps, puis de développer l’architecture matérielle et logicielle basée sur ces spécifications. Avant de procéder à la mise en œuvre, nous devons nous assurer que les spécifications couvrent le concept de cybersécurité qui a été développé dans le chapitre précédente et qu’il n’y a pas de vulnérabilités au niveau de l’architecture. Sinon, il pourrait être trop coûteux de revenir en arrière et de modifier la conception. Une fois l’architecture approuvée, nous pouvons procéder à la mise en œuvre et à la vérification.
La norme ISO/SAE 21434 offre une flexibilité considérable pour atteindre les objectifs de cybersécurité. Les activités et leur séquence d’exécution sont décrites sans imposer d’outils ou de méthodes spécifiques. Cependant, des exemples sont donnés pour guider les lecteurs comme l’utilisation de règles de codage en SW ou de méthodes de vérification par exemple.
Un diagramme en V simple est également fourni ci-dessous qui montre uniquement les activités principales. Il ne fait pas de différence entre le développement au niveau du système, du matériel ou du logiciel. Il reflète l’ordre des activités tel qu’il est écrit dans la norme.
Ce chapitre décrit les activités de validation de la cybersécurité et il est réalisé par rapport aux objectifs et aux revendications de cybersécurité qui sont identifiés dans la phase de conception de Chapitre 9. Veuillez également vous référer à Chapitre 4 pour voir le mappage entre les Chapitres 9 et 11. La validation se fait dans l’environnement opérationnel avec la présence d’autres systèmes en interaction. Cela peut se faire sur le véhicule mais aussi sur un banc d’essai avec architecture système E/E ou un émulateur. La validation doit couvrir tous les objectifs et toutes les revendications avec les méthodes d’essai appropriées qui doivent être identifiées dans le plan de validation.
La validation n’est pas considérée comme faisant partie de la phase de développement dans l’ISO/SAE 21343. Par conséquent, les résultats de la phase de validation doivent être traités avec soin. Les vulnérabilités jugées élevées peuvent être considérées comme un point bloquant pour la production. Dans ce cas, un écart peut être nécessaire en fonction du calendrier du projet si aucune action corrective ne peut être prise avant la production.
Il est très désagréable de découvrir des vulnérabilités à cette dernière étape avant la production, c’est pourquoi les activités de cybersécurité dans les phases de conception et de développement doivent être exécutées avec un soin extrême et aucun détail ne doit être manqué.
La production couvre la fabrication et l’assemblage d’un élément ou d’un composant, y compris le niveau du véhicule. Un plan pour les activités de cybersécurité de la phase de production est créé pour s’assurer que les exigences de cybersécurité pour le post-développement sont appliquées à l’élément et que des vulnérabilités ne peuvent pas être introduites pendant la production. Ce plan est généralement accompagné de listes de contrôle qui facilitent les contrôles lors de la production.
Les lignes de production peuvent parfois être basées sur un site très éloigné où il n’existe pas de postes permanents en matière de cybersécurité. Cela peut créer certains écarts, comme le fait que le processus de production n’est pas aligné sur les exigences de cybersécurité et que les employés ne sont pas au courant des processus de cybersécurité. Par conséquent, il est essentiel de former tous les employés de l’entreprise pour montrer que la cybersécurité s’applique à tous les cycles de vie des produits sans exception et que chaque employé doit avoir la culture de la cybersécurité.
Un exemple très simple de liste de contrôle de la cybersécurité pour la ligne de production est fourni ci-dessous pour donner une idée des exigences potentielles en matière de cybersécurité pour la production et de la façon dont elles sont vérifiées.
Ce chapitre décrit la réponse aux incidents de cybersécurité et les mises à jour applicables aux éléments pendant la durée de vie en série jusqu’à la fin du support de cybersécurité. Une organisation dispose normalement d’un système de gestion des vulnérabilités qui prend des mesures chaque fois qu’une nouvelle vulnérabilité arrive.
Au cours de la vie en série, lorsque l’analyse des incidents révèle de nouvelles vulnérabilités, celles-ci sont prises en charge par le système de gestion des vulnérabilités comme d’habitude et des actions de remédiation sont lancées. Cependant, étant donné que l’élément est installé dans des véhicules déjà utilisés, les mises à jour nécessitent un processus différent de celui mentionné dans la gestion des changements.
Il est expliqué dans ce chapitre comment la réponse aux incidents dans la vie en série doit être gérée par l’organisation et être documentée. Vous pouvez vous référer à l’organigramme à droite pour voir certaines étapes. Veuillez garder à l’esprit que les livrables concernant les mises à jour sont documentés en tant que les livrables d’autres chapitres.
Une organisation peut mettre fin à la prise en charge de la cybersécurité d’un élément conformément aux accords initiaux, mais cet élément peut toujours être en service. Cependant, le démantèlement est la fin de vie de l’élément. Il est mis au rebut et n’est plus utilisé. Par conséquent, la fin du support de cybersécurité et le démantèlement sont gérés différemment.
Une organisation doit informer ses clients et parfois les utilisateurs finaux de la fin du support de cybersécurité selon un plan, car cela signifiera que l’élément pourrait présenter des vulnérabilités à l’avenir qui ne seront plus gérées. C’est comme utiliser un système d’exploitation obsolète qui n’est plus pris en charge par son fournisseur. Il peut comporter certains risques de cybersécurité pour continuer à l’utiliser, ou certaines fonctionnalités peuvent être désactivées pour pouvoir le garder sécurisé.
La mise hors service d’un élément peut ne pas être sous le contrôle de l’organisation, elle est donc exclue du périmètre de la norme ISO/SAE 21434. Toutefois, les actifs de cybersécurité de l’élément doivent toujours être protégés même lorsqu’il est mis au rebut. Imaginez le cas où un véhicule devient inutilisable à la suite d’un accident. Les unités électroniques peuvent être retirées du véhicule pour être revendues. Dans ce cas, les informations personnelles contenues dans ces calculateurs ne doivent pas être récupérables même si une procédure de remise à zéro n’est pas suivie.
Une organisation peut mettre fin à la prise en charge de la cybersécurité d’un élément conformément aux accords initiaux, mais cet élément peut toujours être en service. Cependant, le démantèlement est la fin de vie de l’élément. Il est mis au rebut et n’est plus utilisé. Par conséquent, la fin du support de cybersécurité et le démantèlement sont gérés différemment.
Une organisation doit informer ses clients et parfois les utilisateurs finaux de la fin du support de cybersécurité selon un plan, car cela signifiera que l’élément pourrait présenter des vulnérabilités à l’avenir qui ne seront plus gérées. C’est comme utiliser un système d’exploitation obsolète qui n’est plus pris en charge par son fournisseur. Il peut comporter certains risques de cybersécurité pour continuer à l’utiliser, ou certaines fonctionnalités peuvent être désactivées pour pouvoir le garder sécurisé.
La mise hors service d’un élément peut ne pas être sous le contrôle de l’organisation, elle est donc exclue du périmètre de la norme ISO/SAE 21434. Toutefois, les actifs de cybersécurité de l’élément doivent toujours être protégés même lorsqu’il est mis au rebut. Imaginez le cas où un véhicule devient inutilisable à la suite d’un accident. Les unités électroniques peuvent être retirées du véhicule pour être revendues. Dans ce cas, les informations personnelles contenues dans ces calculateurs ne doivent pas être récupérables même si une procédure de remise à zéro n’est pas suivie.
La conformité à la norme ISO/SAE 21434 nécessite une approche rigoureuse et multidimensionnelle qui ne peut être réalisée qu’avec l’aide d’un service de consultation expert.
Rappel Cybersécurité fournit des services de conseil de bout en bout et évolutifs qui couvrent l’ensemble du cycle de vie des produits. Contactez-nous pour vos besoins en matière de la conformité cybersécurité, quelle que soit sa dimension et sa phase.
Consultez également notre cas d’usage sur la conformité ISO/SAE 21434 pour voir comment la norme ISO/SAE 21434 est appliquée.
Rappel Cybersécurité SAS
9 rue Galilée, 31700 Blagnac - France
info@rappel-cybersecurity.com
