Formation - ISO 21434 & cybersécurité dans le secteur automobile

La préoccupation de protection

• Cybersécurité : notions et enjeux
• Quelles sont les propriétés de cybersécurité, lesquelles privilégier et comment les garantir ?
• Le chiffrement comme mécanisme de base, la problématique de l’initialisation des clés, les standards.
• Le chiffrement à base de clés publiques, les principes et les mécanismes existants

Les solutions de protection

• L’utilisation des mesures dans les applications : le confidentialité, l’authentification, les attestations, le contrôle des 
• Exemple d’application à l’automobile

Mise en pratique : ingénierie de la cybersécurité appliquée à l’automobile

• La cybersécurité en un transparent
• Une affaire de gestion de risques : faiblesses, vulnérabilités, menaces, attaques
• Les enjeux de la gestion des clés, application à l’automobile
• Les menaces en un transparent (STRIDE)

La mise en place de l’écosystème de la cybersécurité 

• Les enjeux de la gestion des clés, les infrastructures de clés publiques, les certificats
• L’écosystème des infrastructures de clés publiques : format des certificats, liste des certificats révoqués, mise en place d’une autorité de confiance
• Exemple de l’infrastructure de clés publiques pour la mobilité électrique

Introduction : les grands principes, enjeux de la cybersécurité automobile

• Analyse du contexte normatif, référentiels : UNECE 155, ISO 21434, PAS 5112, TISAX, ISO 26262
• Découverte de la norme ISO 21434 : structure, portée, ses références normatives, documentation
• Quelle gestion de la cybersécurité automobile avec ISO 21434 ?
• La nécessité de mettre en place une culture forte de cybersécurité (Annexe B de la norme)
• La mise en place d’une gestion organisationnelle (chapitre 5)
• Evaluer la nécessité d'une gestion de la cybersécurité pour un projet (Annexe D)
• Modalités de gestion de la cybersécurité au niveau d’un projet (chapitre 6)

Quelle ingénierie de la cybersécurité pendant le développement?

• En quoi consistent les chapitres 9, 10 et 11 de la norme : concept, développement et validation
• Comment déterminer un niveau d’assurance de l’ingénierie cyber, où la classification CAL – Cybersecurity Assurance Level (Annexe E) ?
• Quelles modalités pour la  production, la maintenance et la sous-traitance ? Comment assurer une amélioration continue ?
• Quelles sont les aspects de cybersécurité à prendre en compte pour la production (chapitre 12) ? 
• Comment comprendre la notion de fin de support de la cybersécurité et celle de mise hors service (chapitre 14) ?
• Comment gérer les incidents de cybersécurité et les besoins de mises à jour associées (chapitre 13) ?
• Quelles lignes directrices pour les activités d’ingénierie répartie (chapitre 7) ?
• Etude d’un exemple d’accord de sous-traitance – cybersecurity interface agreement (Annexe C)
• Quelles activités poursuivre au niveau de la gestion des risques et la surveillance des vulnérabilités (chapitre 8) ?

Comprendre la méthode TARA (Threat Analysis Risk Assessment)

• Comment analyser les menaces, apprécier les risques et proposer un traitement (chapitre 15) ?
• Quelles lignes directrices pour évaluer un risque (Annexe F)?
• Quelles lignes directrices pour évaluer la faisabilité d’un scénario d’attaque (Annexe G)?

Exercice pratique : appliquer les méthodes TARA

• Analyse des exemples de cas décrits dans l’Annexe H

Découvrir l’ISO PAS 5112 : les lignes directrices de l’audit de l’ingénierie cybersécurité

• Comprendre les grands principes d’un programme d’audit
• Sur quel questionnaire se base-t-il ?
• Quelles sont les compétences requises pour prendre en main un audit selon 5112 ?

Les évolutions de l’ISO 21434

• Quelles sont les chantiers en cours ?
• ISO 8475 CAL (cybersecurity assurance level) et TAF (target attack feasibility)
• ISO 8477 Cybersecurity V&V (verification & validation)ISO 5888 Evaluation du véhicule connecté
• Internet des objets et Jumeau numérique, IA, gestion des incidents : quels autres standards consulter ?