La dernière norme de cybersécurité automobile, ISO/SAE 21434, vise à fournir aux véhicules connectés une protection robuste contre les cyberattaques malveillantes. La norme exige des équipementiers et de leurs chaînes d'approvisionnement qu'ils appliquent une approche de sécurité dès la conception à leurs composants, serveurs et processus afin de réduire le risque d'être vulnérable aux attaques à tout moment de la durée de vie d'un véhicule, depuis les phases initiales de conception et de conception jusqu'à fin de vie.
En vertu de la norme ISO/SAE 21434, la sécurité doit être prise en compte pour tous les systèmes électroniques de la voiture connectée, à chaque étape, de la conception à la fabrication en passant par la mise hors service, et les systèmes doivent être conçus de manière à offrir une protection solide contre l'évolution des menaces. Les exigences définies par la norme doivent être intégrées dans l'ADN d'une entreprise et les organisations doivent mettre en œuvre un système de gestion de la cybersécurité (CSMS), y compris la gestion des risques de cybersécurité.
Les véhicules connectés communiqueront inévitablement avec des entités extérieures, des autres véhicules aux infrastructures de la ville intelligente et au cloud. S'ils ne sont pas sécurisés, les systèmes électroniques du véhicule pourraient être compromis par des attaquants. Des mesures de sécurité robustes sont essentielles pour prévenir les attaques et protéger le véhicule, ses systèmes et les réseaux back-end qui les desservent contre les cyberattaques.
Les efforts visant à créer une norme de cybersécurité automobile ont commencé en 2016, lorsque la Society of Automotive Engineering (SAE) et l'Organisation internationale de normalisation (ISO) se sont lancées dans une initiative conjointe visant à créer une norme industrielle pour la cybersécurité des véhicules. Les deux organisations ont travaillé séparément sur la sécurité automobile et les normes liées à la sécurité : ISO 26262 est la norme de sécurité fonctionnelle automobile renommée, et SAE a tiré parti du cadre de l'ISO 26262 lors de la création de J3061, le « Guide de cybersécurité pour les systèmes cyber-physiques ».
Les deux organisations ont finalement uni leurs forces et collaboré avec des constructeurs automobiles, des fournisseurs de composants et de systèmes et des fournisseurs de cybersécurité, impliquant plus de 100 experts de plus de 82 entreprises dans 16 pays. La nouvelle norme ISO/SAE 21434 est le résultat de cette collaboration. Il définit des exigences procédurales et organisationnelles précises pour parvenir à une cybersécurité robuste des véhicules. La norme détaille également les étapes requises pour effectuer une analyse des menaces et une évaluation des risques de cybermenaces potentielles tout au long du cycle de vie du véhicule. De plus, les organisations doivent surveiller les événements de cybersécurité et gérer les incidents lorsqu'ils se produisent.
De plus, à partir de juillet 2022, les constructeurs automobiles (équipementiers automobiles) doivent se conformer à la nouvelle réglementation UN R155 sur la cybersécurité automobile pour les lancements de nouveaux types de véhicules en Europe, au Japon et en Corée, ce qui représente plus d'un tiers de la production mondiale de véhicules. D'autres régions devraient suivre.
UN R155 est une étape supplémentaire vers l'amélioration de la cybersécurité. Le règlement a été adopté en 2020 par le WP.29 de la Commission économique des Nations Unies pour l'Europe (CEE-ONU), également connu sous le nom de Forum mondial pour l'harmonisation des règlements sur les véhicules. En vertu de l'UN R155, les constructeurs de véhicules peuvent obtenir une homologation de type de véhicule et vendre de nouveaux types de véhicules uniquement s'ils disposent d'un CSMS certifié.
La norme ISO/SAE 21434 prend en charge la mise en œuvre des exigences R155 dans les organisations tout au long de la chaîne d'approvisionnement. NXP est le premier Semi-conducteurs fournisseur doit être certifié par le TÜV SÜD pour se conformer à la norme ISO/SAE 21434. Cela aide les OEM à répondre aux exigences de la réglementation R155.
Il est important de souligner que la norme ne signifie pas que les OEM doivent démonter les systèmes existants et supprimer les composants hérités à volonté. Ils doivent analyser les systèmes automobiles et déterminer si leurs composants répondent aux critères de sécurité pertinents. Cette analyse s'avérera plus facile pour les nouveaux composants conformes. Les composants existants sur étagère nécessiteront une évaluation plus approfondie quant à leur adéquation et à l'identification - et à la résolution - de tout manquement potentiel en matière de sécurité. Compte tenu de la pléthore de composants électroniques utilisés dans une nouvelle voiture provenant à la fois de fournisseurs de niveau 1 et de niveau 2, la responsabilité sera partagée, avec des implications englobant l'ensemble de la chaîne d'approvisionnement.
Les futurs produits automobiles doivent être conformes à la norme et les fabricants doivent fournir des preuves à l'appui. NXP et les autres fournisseurs doivent travailler en étroite collaboration avec les clients de niveau 1 et OEM et les aider à effectuer leurs évaluations des risques et leur validation de conformité.
À l’avenir, les consommateurs et les constructeurs automobiles bénéficieront de la mise en œuvre des normes et du respect des réglementations. Les consommateurs peuvent profiter d’un service cohérent et transparent sans souci qui améliore la sécurité et l'expérience utilisateur avec une protection robuste contre les cyberattaques et les menaces évolutives.
à propos de NXP Semiconductors