Nos systèmes embarqués sont-ils bien protégés ?
- Zoom sur
- Toutes filières
Le 26 janvier 2023 s’est tenu un « Think Tank » rattaché au Programme de Recherche CARA « Sécurité et sûreté ». Les échanges se sont focalisés sur la thématique de la cybersécurité : Nos systèmes embarqués sont-ils bien protégés. Une trentaine d’acteurs étaient présents lors de cet événement qui a eu lieu dans les locaux de l’INP ESISAR à Valence.
Des intervenants des entreprises :
- SERES Technologies sur la Maitrise des risques cyber-physiques dans l’industrie du procédé : « Proposition d’une méthodologie pour analyser les risques cybersécurité pour les systèmes industriels automatisés et les combiner avec les risques de sûreté. »
- EFI Automotive sur les Besoins et tendances du marché automobile concernant la cybersécurité : « Le marché automobile doit s’adapter aux nouvelles menaces auxquelles il fait face depuis quelques années. Dans ce contexte, un aperçu du cadre règlementaire et des demandes actuelles des constructeurs automobiles vous sera présenté. »
- JTEKT sur les Moyens de sécurisation des systèmes embarqués automobiles : « Il n’est pas toujours évident de trouver le bon équilibre entre investissement et sécurité. Cette présentation vous donnera un aperçu des différentes solutions techniques envisageables et de leurs contraintes de réalisation. »
- INP-ESISAR et son labo Esynov pour Identifier les vulnérabilités d’un système connecté à l’aide des méthodes de modélisation de menaces : « Cette présentation expliquera l’importance de la modélisation de menace des systèmes connectés et comment elle peut contribuer à déterminer leurs faiblesses. Nous examinerons ces méthodes de modélisation de menace et comment elles peuvent être appliquées pour assurer la sécurité des systèmes embarqués. »
CARA remercie l’INP-ESISAR qui a généreusement accueilli cet événement et contribué activement à son organisation, notamment Karim CHIBANE (Directeur Transfert de technologies), Gabriel BLANCHARD (Responsable partenariats R&D, Transfert de technologie), Mickael SEGNOBOS (ingénieur et spécialiste cybersécurité) et bien sûr Charles REBOUL (Chargé d’affaires – projets collaboratifs) qui a assuré la mise ne relation et la logistique.
Retour sur le Think Tank : Nos systèmes embarqués sont-ils bien protégés ?
Les présentations et les échanges qui ont eu lieu tout on long de la journée ont permis aux participants de mieux cerner le contexte et quelques éléments clefs sur ce sujet très concret et prégnant, mais toujours assez méconnu.
Il fut rappelé le coté incontournable, du moins sur les systèmes embarqués automobiles, tant du point de vue réglementaire que normatif. Avec différentes approches de maitrise de risque finalement toujours articulées autour des grands principes de la discipline : identifier, pondérer, traiter, vérifier l’efficacité et mettre à jour et capitaliser les solutions, on peut tout de même noter que les compétences nécessaires à une bonne prise en charge de la menace cyber passe d’une part par la montée en compétence des équipes techniques (avec une remise à niveau permanente par la menace évolue rapidement), d’autre part par la nécessité de maitriser les aspects HW et SW et d’en avoir donc une longue expérience, ainsi que la prise en compte de l’aspect organisationnel dans la gestion du risque.
On notera des évolutions technologiques majeures, par exemple d’un point de vue architecture avec l’apparition d’un gateway capable de sécuriser et réduire le traffic de données sur le réseau au strict nécessaire. A ce sujet, après 20 années de développement des protocoles de type CAN (Controller Area Network), il semble que ce soit plutôt vers les protocoles de type ethernet que se tourne le marché, pour des raisons de meilleures possibilités de sécurisation. Cela ne veut pas dire que tous les autres bus disparaîtront : les bus série CAN et LIN continueront probablement à relier les calculateurs et certains capteurs, du fait de leurs coûts très bas.
On notera être désormais relativement bien outillé en termes de démarches et de normes, avec, en plus des règlements déjà cités (UN R155 / UN R156), des normes ISO 2700x / et TISAX pour l’aspect organisationnel, il existe les normes sécurisant le produit automobile (ISO / SAE 21434) mais aussi le produit industriel nom embarqué (ISO 62443). D’autres produit comme les bornes de recharge de véhicules ont leur propre référentiel normatif (ISO 15118) dont l’AFIREV propose un guide blanc. Le domaine aéronautique utilise une autre norme, la DO326A.
Une communauté (AUTOMOTIVE INFORMATION SHARING AND ANALYSIS CENTER) a été créé et partage un minimum de contenu gratuitement, ainsi qu’un peu plus après cotisation.
Pour conclure
En conclusion, ce premier « Think Tank » devrait être le commencement d’échanges entre les adhérents de la communauté CARA, ainsi que la définition plus précise du plan de montée en compétences et formations nécessaires pour la filière automobile et mobilité au sens large.