L'interconnectivité des appareils étant de plus en plus présente dans nos vies, il est essentiel de mettre à niveau les normes de sécurité. Dans l'industrie automobile, cela peut s'avérer particulièrement difficile en raison de ses nombreuses propriétés uniques qui rendent les problèmes de sécurité spécifiques à ce secteur.
Compte tenu des différences entre le secteur automobile et les autres, il est difficile de proposer un cadre d'assurance de sécurité adapté couvrant l'ensemble du cycle de vie. Il n'est pas possible d'appliquer directement les approches disponibles dans d'autres domaines, mais il est toujours possible d'utiliser certaines de leurs idées fondamentales. Voyons quelles peuvent être ces idées et comment les appliquer à un éventuel cadre de sécurité des informations automobiles.
Normes de sécurité de l'information
Avec l'interconnectivité croissante des voitures modernes , l'intégration des appareils mobiles et l'utilisation d'Internet, on peut affirmer sans risque de se tromper que les réseaux privés dans les voitures n'existeront bientôt plus. Cela s'accompagne d'une fonctionnalité accrue, d'une meilleure rentabilité et d'un meilleur confort, mais aussi de nouvelles implications en matière de sécurité fonctionnelle. Dans ces circonstances, il est clair que nous devons définir des normes de sécurité automobile spécifiques à chaque secteur, mais pour ce faire, nous devons nous inspirer des cadres de sécurité existants dans d'autres secteurs.
Objectifs de la norme de sécurité des informations spécifique au secteur automobile
La priorité principale de toute norme de sécurité est de faire de la sécurité un élément essentiel du processus de développement. Les systèmes automobiles doivent être protégés, il faut donc s'efforcer d'y parvenir en étendant les systèmes de qualité existants. Cela comprend l'identification et la gestion des risques ainsi que l'autorisation d'examens indépendants des pratiques de sécurité des informations.
La différence entre les systèmes automobiles et informatiques
Il est très probable que certaines pratiques informatiques puissent être appliquées au contexte automobile lors de la création d'un cadre de sécurité . Cependant, nous devons tenir compte des différences entre les deux domaines. En raison de leurs caractéristiques, les systèmes automobiles et informatiques sont confrontés à des menaces différentes. Dans le secteur automobile, les adversaires peuvent avoir un accès physique aux appareils. En outre, les systèmes automobiles sont soumis à des contraintes de ressources spécifiques qui ne constituent pas un problème dans les systèmes informatiques. De plus, les systèmes automobiles sont censés durer longtemps, fonctionner de manière fiable avec un minimum de maintenance pendant une période allant jusqu'à 20 ans.
Les défis de l'approche de la sécurité de l'information
Le secteur automobile étant unique, des problèmes plus intéressants doivent être résolus. Par exemple, comment aborder les processus de sécurité ? La solution pourrait être une mise en œuvre au niveau de l'entreprise, ce qui signifie que chaque entreprise doit s'assurer que ses processus de développement de produits mettent l'accent sur la sécurité de la même manière. Cependant, le niveau de protection peut être différent pour chaque produit. Il devient donc difficile de garantir un niveau d'exigence de sécurité à l'échelle de l'industrie pour différentes classes de produits.
Et si nous appliquions le Concept d’Assurance de Sécurité des Critères Communs ?
Nous avons beaucoup appris du cadre des critères communs appliqué aux produits informatiques. Il s'est avéré efficace dans certains domaines tels que les achats informatiques financiers et gouvernementaux. Étant donné le cycle de vie rapide des produits et la nature flexible des opérations commerciales actuelles, des initiatives visant à améliorer le concept existant sont en cours. Compte tenu de cela, les éléments d'un cadre efficace d'assurance de la sécurité automobile devraient avoir les propriétés suivantes :
- Profils de sécurité/profils de protection — doivent définir les objectifs de sécurité (par exemple, authentification forte, intégrité du micrologiciel et sécurité humaine) des classes de produits automobiles. Ceux-ci doivent être basés sur une analyse des risques de sécurité bien pensée impliquant les propriétaires des risques, les développeurs et les experts en cybersécurité. La normalisation de ces derniers permettrait une application à l'échelle de l'industrie des objectifs de sécurité communs pour chaque classe de produits donnée ;
- Exigences de sécurité du système — en tandem avec les profils de sécurité, ces exigences définiraient des exigences de sécurité axées sur le niveau de contrôle (par exemple, stockage sécurisé inviolable, RNG certifié et journalisation sécurisée des événements) ». Chaque produit aurait un minimum de ces exigences de sécurité à satisfaire, établissant une attente quant au niveau de sécurité qu'il devrait posséder ;
- Exigences du processus — cela définira toutes les activités liées au développement du produit et à la phase opérationnelle pour se conformer à l'exigence de niveau de sécurité du profil de sécurité « (par exemple, ISO 26262, SDLC, GDPR, ISO 27000, etc.) »,
- Méthodologie d’assurance de sécurité — une étape facultative pour établir les mesures que chaque évaluateur interne ou externe doit prendre pour déterminer si un produit répond aux besoins du profil de sécurité.
L’élaboration d’un cadre de garantie de sécurité automobile est sans aucun doute un défi pour les experts en sécurité et les experts automobiles. Cependant, le secteur automobile pourrait en tirer de grands bénéfices, en améliorant la sécurité des utilisateurs finaux et en propulsant les progrès de l’ensemble du secteur.