Analyse de risques ISO 21434

Les véhicules sont de plus en plus intelligents et connectés. Ils intègrent divers points d’accès aux réseaux de communication extérieurs (radio fréquence, wifi, bluetooth, 3G, 4G, USB...) qui sont autant de surfaces d’attaques potentielles, au même titre que les réseaux embarqués (Bus CAN, Flexray, Ethernet...).

Le défi pour les équipementiers (TIER1, TIER2) et les constructeurs est d’ajouter de nouvelles compétences technologiques à leur savoir-faire initial et reconnu d’industriels DU TRANSPORT ROUTIER [de l’automobile] afin d’intégrer ces nouvelles fonctionnalités. Face à la demande accrue de connectivité et de sécurisation des véhicules, la cybersécurité devient un enjeu majeur de compétitivité. Pour y répondre, le secteur automotive a défini une nouvelle norme, l’ISO SAE 21434 Road Vehicles – Cybersecurity Engineering Standard applicable à l’ensemble des acteurs de ce secteur.

L’ISO SAE 21434 définit le standard cybersécurité et les lignes directrices en matière d’ingénierie de la cybersécurité pour l’ensemble des processus des différentes phases du cycle de vie d’un véhicule.

Fort de ce constat SCASSI a développé son centre d’expertise Automotive pour accompagner nos clients dans la mise en œuvre de l’ISO SAE 21434. Notre centre d’expertise automotive propose une approche de la Cybersécurité en phase avec ce contexte d’innovation permanente, comme la maîtrise des coûts par rapport aux volumes de production, ou la complexité grandissante liée à l’intégration de plusieurs fonctionnalités sur un même ECU.

LES ENJEUX SONT LES SUIVANTS :

• Identifier et maitriser les risques de cybersécurité propres à l’automotive
• Avoir une approche Security by Design, et Safety & Security
• Accompagner nos clients dans la maîtrise de la norme ISO SAE 21434
• Evaluer le niveau de sécurité des systèmes en « temps réel », voire en intégration continue​

Au coeur de toute cette démarche SCASSI propose une offre outillée (EGERIE, ALL4TEC), en respectant la méthode TARA. SCASSI s’appuie sur les référentiels UNR155 cybersecurity, UNR156 SW, RXSWIN.

• Analyse de risque d’ECU avec une couverture des menaces UNR155
• Analyse de risque de plateforme Cloud de Services Connectés
• Revue des Analyses de risques en cours
• Spécification et rédaction d’exigences sécuritaires pour des composants du véhicule connectés

Les 5 étapes de l’analyse de risques TARA :

1. Identifier les agents de menace et les menaces et estimer le potentiel d'attaque des agents de menace
2. Identifier les actifs de base du système (interface logique, données critiques, fonctions critiques), prendre en compte les cas d'utilisation du produit et estimer le niveau d'impact des attaques
3. Faire une analyse de protection, identifier des actifs supplémentaires (données critiques et fonctions critiques)
4. Cartographier les menaces identifiant le niveau de protection nécessaire pour chaque actif (en utilisant le niveau de menace, la motivation, l'occurrence des agents de menace et le niveau d'impact)
5. Rapport