Les services de conseil sont organisés en 3 catégories principales ci-dessous. Ceux-ci sont indépendants de tout texte normatif ou réglementaire qui entrent dans notre périmètre et peuvent être achetés séparément.
L’analyse des écarts est effectuée pour identifier les écarts de conformité au niveau de l’organisation et du projet en ce qui concerne les normes et règlements applicables. Le résultat de cette activité produit une feuille de route pour atteindre les niveaux de conformité souhaités et un plan préliminaire de cybersécurité qui indique les ressources requises (personnel, budget, outils, etc.)
Avant l’analyse des écarts, il est crucial de définir une stratégie de conformité de l’entreprise pour optimiser les ressources car les réglementations et les normes sont en constante évolution et certains textes normatifs comme la cybersécurité sont des prérequis d’autres. Le diagramme ci-dessous illustre la relation mutuelle entre les textes liés à la cybersécurité.
Sur la gauche, il y a les différents règlementations d'UNECE et leurs dépendances. Dans la cellule au cœur, il se trouve la règlementation de cybersécurité R155 de l’ONU. Dans la cellule supérieure, il y a ONU r156, la règlementation sur la mise à jour des logiciels qui exige la conformité à la cybersécurité. De même, la réglementation UN r157 sur les systèmes automatisés de maintien de voie (ALKS) dans la cellule supérieure exige la conformité à la mise à jour logicielle. Le rectangle le plus à l’extérieur est le nouveau GSR II (Règlementation Général de Sécurité). Il exige la conformité à la cybersécurité et au maintien dans la voie, mais il n’y a pas de déclaration directe qui exige la conformité à la mise à jour logicielle.
Sur la droite, il y a les normes et leurs dépendances. La norme de cybersécurité ISO/SAE 21434 et la norme ISO 26262 en matière de sécurité fonctionnelle sont au cœur. La mise à jour logicielle ISO 24089 exige clairement la conformité aux normes de cybersécurité et de sécurité fonctionnelle. Cependant, la norme ISO 21448 sur la sécurité des fonctionnalités prévues, connue sous le nom de SOTIF, n’exige pas directement la conformité à l’une des trois normes précédentes. SOTIF est complémentaire avec la sécurité fonctionnelle et la cybersécurité. Par conséquent, un tableau est fourni en introduction pour mettre en évidence la façon dont les causes des événements dangereux sont traitées par différentes normes. Néanmoins, il y a toujours certaines dépendances et chevauchements. Pour plus d’informations sur les futurs textes normatifs et réglementaires liés à la cybersécurité, consultez notre page Apprendre.
L’intégration des processus consiste essentiellement à mettre en place le CSMS (Cybersecurity Management System) au sein d’une entreprise. Les processus identifiés comme manquants ou insuffisants dans l’analyse des écarts sont créés à cette étape. De plus, des activités de cybersécurité connexes sont définies et lancées, qui sont nécessaires pour garantir les résultats des processus. Il peut s’agir de plusieurs types de documents, tels que des polices, directives, modèles ou d’autres documents requis pour la conformité.
L’intégration des processus s’effectue à l’aide des normes et directives correspondantes dans le schéma ci-dessous.
La réglementation UN r155 est positionnée au centre car elle est à l’origine du CSMS au niveau de l’organisation et de l’homologation du véhicule. En fait, ce sont les deux parties principales qui composent ce règlement.
Pour la partie CSMS, les chapitres 5, 8, 12, 13 et 14 de l’ISO/SAE 21434 sont utilisés à l’aide de l’ISO/PAS 5112. En fait, ISO/PAS5112 est directement liée à ISO/SAE 21434 et étend ISO 19011 « Lignes directrices pour l’audit des systèmes de management » au domaine automobile. En d’autres termes, il s’agit d’un document d’audit qui va nous aider à auditer le CSMS cible d’une organisation. Il existe également un outil payant de VDA, l’ACSMS, qui nous aide à mener des audits de manière plus organisée.
Pour la partie projet, le mot « évaluation » est utilisé plutôt que « audit ». Les chapitres 6, 7, 9, 10, 11 et 15 sont utilisés avec l’aide du VDA ASPICE pour la cybersécurité. Il y a un dernier document en bas qui est le document d’interprétation de la norme ONU R155. Il est fourni par UNECE pour appuyer l’interprétation du règlement r155 de l’ONU. Il dispose de plusieurs références issues d’autres normes mais surtout de la norme ISO/SAE 21434.
Les activités de cybersécurité au niveau du projet devraient être gérées par un responsable de la cybersécurité dédié. Ce rôle vise à travailler en parallèle avec les équipes de projet pour exécuter le CSMS déjà établi dans une entité. La première étape consiste à créer un plan de cybersécurité inclusif pour chaque projet qui assurera les résultats définis par le CSMS. Ces résultats doivent couvrir tous les produits livrables énumérés dans la norme ISO/SAE 21434.
Certaines activités de cybersécurité dans le cadre de la gestion de projet de cybersécurité sont fournies ci-dessous (la liste n’est pas exhaustive) :
Rappel Cybersécurité fournit des services de conseil de bout en bout et évolutifs qui couvrent l’ensemble du cycle de vie des produits. Contactez-nous pour vos besoins de la conformité en matière de cybersécurité, quelle que soit sa dimension et sa phase.
Rappel Cybersécurité SAS
9 rue Galilée, 31700 Blagnac - France
info@rappel-cybersecurity.com
