- Les systèmes électroniques et de communication sans fil embarqués dans les véhicules doivent être protégés contre les accès non autorisés ou les actions malveillantes.
- La norme ISO 21434 définit un ensemble de ligne directrice pour garantir que la cybersécurité est prise en compte sur l’ensemble du cycle de vie des composants et systèmes électroniques embarqués dans un véhicule.
La norme ISO 21434 vise à protéger les véhicules contre les cyberattaques. Elle a pour objectif de servir de référence en matière d’ingénierie de la cybersécurité des véhicules, à définir un langage commun à tous les constructeurs afin de mieux appréhender le risque cyber.
Cette norme a été élaborée par l’Organisation internationale de normalisation (ISO) en collaboration avec la SAE International (Society of Automobile Engineers) pour aider les organisations à définir des politiques de cybersécurité et à gérer les risques afférents.
L’ISO 21434 fixe les exigences relatives aux processus de gestion des risques liés à la cybersécurité des véhicules routiers. Ces exigences en matière de cybersécurité contribuent à réglementer les produits automobiles tout au long de leur cycle de vie, de la conception à la production, en passant par la maintenance et la mise hors service.
Cette norme s’intéresse à quatre aspects liés à la cybersécurité : l’évaluation et la gestion des risques, les contrôles de sécurité, la communication et l’échange d’informations, et les stratégies d’atténuation. Elle délivre une feuille de route pour mettre en œuvre des mesures de sécurité dans les processus de développement sur l’ensemble de la chaîne d’approvisionnement.
La norme ISO 21434 comprend 45 catégories de sécurité, appelées produits de travail. Chacune de ces catégories spécifie un ensemble unique d’exigences qui englobent tous les aspects de la conception de systèmes électriques et électroniques pour les véhicules routiers, des circuits intégrés et logiciels jusqu’aux micrologiciels et bibliothèques.
La certification ISO 21434 d’une entreprise atteste également qu’elle est engagée dans la gestion de sa propre cybersécurité, avec le déploiement d’un système certifié. Cela signifie qu’il s’agit d’une des priorités de l’entreprise, de la direction exécutive à toutes les disciplines organisationnelles, y compris les équipes de conception, de test, de produit, d’applications, de marketing, de qualité, de vérification et de validation. Les parties prenantes impliquées dans le cycle de vie du produit doivent suivre une formation en cybersécurité et posséder les qualifications appropriées. Une méthodologie d’analyse des menaces et d’évaluation des risques (TARA) est également intégrée à plusieurs étapes du cycle de vie du produit lorsque les appareils seront intégrés aux plateformes liées à la cybersécurité automobile.
