ISO 21434 / UN R155 : quelles exigences cyber respecter pour le secteur auto connecté ?

Temps de lecture : 5 min

Depuis le mois de Juin 2020, le WP.29 a adopté un nouveau règlement international sur la cybersécurité automobile pour ouvrir la voie aux véhicules connectés et atténuer les risques de cybersécurité posés aux véhicules de tourisme.

Le règlement établit des exigences de performance et d'audit pour la cybersécurité et la gestion des mises à jour logicielles pour les voitures particulières neuves vendues dans l'Union européenne et dans des dizaines d'autres pays.

Au travers de cet article, nous vous donnerons un aperçu de  la norme ISO 21434 et une vue d’ensemble des conseils pour les équipes de développement de logiciels embarqués automobiles qui doivent y prêter une importance particulière.

WP.29 est le nom du Forum mondial des Nations Unies pour l'harmonisation des réglementations concernant les véhicules, un groupe de travail de la Division des transports durables de la Commission économique des Nations Unies pour l'Europe (CEE-ONU). Le WP.29 intègre dans son cadre réglementaire des innovations technologiques pour rendre les véhicules plus sûrs et plus respectueux de l'environnement.

Le WP.29 s'applique aux 54 pays qui participent aux accords et conventions sur les transports de la CEE-ONU de 1958, tels que l'UE, le Royaume-Uni, le Japon et la Corée du Sud, qui ont produit ensemble un tiers des véhicules dans le monde en 2018.

Tous les constructeurs (y compris les constructeurs automobiles américains et canadiens) qui vendent sur ces marchés doivent tenir compte des implications de la réglementation WP.29 pour leurs produits et procédés.

Les règlements de l’ONU sont juridiquement contraignants. Si un pays ou une région adopte et applique le règlement de mise à jour logiciel du WP.29, une preuve de conformité est nécessaire pour qu’un constructeur automobile soit en mesure d’obtenir une homologation de type pour vendre sur un marché. En Europe, la réception par type permet une reconnaissance mutuelle de la conformité au niveau de l’ensemble du véhicule, de sorte qu’un constructeur peut obtenir la certification d’un type de véhicule dans un pays de l’UE et le commercialiser dans toute l’UE sans autres essais. L’agrément exige du constructeur qu’il convainc un auditeur des services techniques qu’il a satisfait aux prescriptions du WP.29.

En plus d’empêcher la vente de véhicules non conformes sur leur marché, les pays et les régions peuvent forcer le retrait de ces véhicules ou forcer un rappel.

La norme ISO 21434 « Véhicules routiers — ingénierie de la cybersécurité » est une norme automobile. Il se concentre sur le risque de cybersécurité dans les systèmes électroniques des véhicules routiers. » (ISO/SAE 21434 dans sa dernière version publiée le 31 août 2021)

La norme ISO 21434 permet aux constructeurs de rester informés des évolutions technologiques et méthodologiques ainsi que les méthodes de cyberattaques.

Elle couvre toutes les étapes du cycle de vie d'un véhicule - de la conception à la mise hors service par l'application de l'ingénierie de la cybersécurité. Cela s'applique à tous les systèmes électroniques, composants et logiciels du véhicule, ainsi qu'à toute connectivité externe.

De plus, la norme offre aux développeurs une approche globale de la mise en œuvre de mesures de sécurité couvrant l'ensemble de la chaîne de fournisseurs.

Avec l'augmentation de la connectivité dans les véhicules - tels que le Wi-Fi et le Bluetooth - et le développement des voitures autonomes, les risques de cyberattaque et de dommages ultérieurs augmentent également. Les normes de sécurité critiques actuelles ne sont pas suffisantes pour couvrir ce type de risque et, par conséquent, de nouvelles directives et normes doivent être établies.

Le but de cette norme est de fournir un processus structuré pour garantir que les égards de cybersécurité sont bien intégrés aux produits automobiles tout au long de leur durée de vie.

La norme requiert de la part des constructeurs automobiles et des fournisseurs qu'ils fassent preuve de précaution raisonnable dans la mise en œuvre de l'ingénierie de la cybersécurité et que la gestion de la cybersécurité soit appliquée tout au long de la chaîne d'approvisionnement.

Pour le développement de logiciels, la norme ISO 21434 a des exigences spécifiques, comprenant l'analyse pour vérifier les faiblesses intrinsèques et la cohérence globale, mais aussi l'exactitude et l'exhaustivité en ce qui concerne les exigences de cybersécurité.

La cybersécurité doit être prise en compte dès les décisions de conception, y compris lors du choix du langage de programmation à utiliser pour le développement de logiciels avec plusieurs critères tels que :

• Techniques de conception et de codage sécurisées.
• Syntaxe et définitions sémantiques sans ambiguïté.

Complétés par :

• Utilisation de sous-ensembles linguistiques.
• Application de la dactylographie forte.
• Utilisation de techniques de mise en œuvre défensives.
• Il est recommandé d'utiliser des directives de codage pour combler les lacunes de la langue choisie.

ISIT propose un ensemble de solutions produits et services, allant de la sensibilisation à l’automatisation des réponses aux exigences logicielles de la norme ISO 21434, en passant par l’accompagnement projet :