Cyber Assessment : Un outil efficace pour la robustesse Cyber des Systèmes Embarqués
Description
"Un cyber assessment doit évaluer la cyber sécurité d’un item ou d’un produit. Comment au travers d’une démarche de conformité, est il possible de d’augmenter le niveau de confiance que l’on peut avoir dans le produit en terme d’efficacité ? La présentation proposée décrira le processus d’assessment déployé par un équipementier de rang 1 de l’automobile afin d’atteindre cet objectif pour des calculateurs embarqués assurant des fonctions de sécurité (safety). La démarche a été expérimentée pour des projets réalisés dans le monde entier, y compris en Chine. Le processus d’assessment déployé a les caractéristiques suivantes : - Le processus d’évaluation est organisé en cinq étapes, qui ont été définies en fonction des phases du cycle de développement d’un produit. Les étapes sont à leur tour décomposées en deux incréments. Ce découpage temporel et la synchronisation avec les points de contrôle du cycle de développement sont des points clé de l’amélioration du produit, car ils permettent d’alerter au plus tôt sur les non conformités et sur les risques de faiblesses pour le produit. De plus tous les élements spécifiants pour la phase de production sont pris en compte dans le processus. En regard de l’ISO 21434, chaque étape correspond à une ou plusieurs sections de la norme. - La préparation en amont d’une liste de contrôle qui précise pour chaque exigence du référentiel les critères d’évaluation qui seront appliqués. Les critères sont spécifiés en termes d’existence des éléments attendus de documentation, d’analyse, de descriptions ou de tests , de contenu et de niveau de rigueur : formalisme, preuves de complétude ou de correction, traçabilité notamment. Les éléments sont également évalués en termes d’adéquation et d’efficacité, ce qui rend compte de critères de force des mécanismes de protection et de leur implémentation en tant que noyau de sécurité inévitable. - La mise en place d’un mécanisme de cotation à trois niveaux pour évaluer la conformité. Cette échelle permet de juger de la conformité aux exigences de contenu et de démonstration énoncées dans l’ISO 21434, et donne un statut de la maturité des différents work products. - La mise en place d’un mécanisme d’évaluation du gain pour le produit à corriger les déviations relevées en cours d’assessment. La cotation relie les évaluations formelles à leur impact sur la robustesse du produit. On en déduit un quadrant qui prend en compte l’effort de correction et le gain pour le produit, ce qui permet de hiérarchiser les corrections à apporter, et de motiver les demandes de correction. Le processus a été calibré pour minimiser les efforts et les coûts de ces évaluations. Par ailleurs, toute la production du rapport est automatisée, ce qui permet de faire des retours rapides vers les projets à chaque étape. Cette démarche sera détaillée dans la présentation, et les preuves de son efficacité feront l’objet d’un premier bilan."
.png)
