+49 155 609 62044contact@vamisec.com
Prendre rendez-vous
IT Security · Product Security

Product Security selon ISO/SAE 21434.

Cybersecurity by Design pour la mobilité de demain.

L'ISO/SAE 21434 est le standard international pour la cybersécurité dans le secteur automobile. Il définit les exigences et les processus pour protéger véhicules, calculateurs (ECU) et composants connectés contre les cybermenaces sur tout le cycle de vie du produit.

Avec la connectivité croissante des véhicules, les mises à jour Over-the-Air et les fonctions de conduite autonome, le risque de cyberattaques ciblées augmente. La Product Security selon ISO/SAE 21434 garantit que la sécurité est intégrée au développement dès le départ.

Auditer la readiness CSMSNos services
  • CSMS
  • SUMS
  • TARA
  • Secure Boot
  • HSM
  • OTA
  • V-SOC
  • Supply Chain
ISO 21434
Standard pour la cybersécurité automobile
UNECE R155
Homologation avec obligation CSMS
CRA
Cyber Resilience Act pour produits connectés
15a+
Sécurité du cycle de vie par plateforme véhicule
Nos services

Six modules — du CSMS à la chaîne d'approvisionnement.

Modulaire et proche du développement. Chaque brique peut être intégrée individuellement ou mise en place comme programme complet de cybersécurité.

Standards et réglementation

21434 porte — mais pas seul.

La Product Security dans le contexte automobile combine l'ISO/SAE 21434 avec les règlements UNECE, le CRA, TISAX et la gouvernance ISO 27001 transversale.

ISO/SAE 21434
Automotive Cybersecurity Engineering
UNECE R155
Homologation CSMS dans le monde entier
UNECE R156
Software Update Management (SUMS)
TISAX®
Information Security in Automotive
CRA
Cyber Resilience Act pour produits connectés
IEC 62443-4
Secure Product Development Lifecycle
NIS2
Cybersécurité pour entités importantes
ISO/IEC 27001
ISMS comme cadre organisationnel
Approche

Du check de maturité à l' homologation.

Six étapes — alignées sur les phases de développement, les dates d'audit et les délais R155.

  1. 01

    Analyse écarts et maturité

    État actuel face à ISO/SAE 21434, R155, R156 et CRA. Identification des écarts critiques dans les processus CSMS, engineering et supply chain.

  2. 02

    Mise en place du CSMS

    Établissement de la gouvernance, des rôles, de la gestion des risques et des vulnérabilités — conçu pour l'homologation.

  3. 03

    TARA et Cybersecurity Goals

    Analyse systématique des menaces par architecture véhicule et composant. Déduction des objectifs de protection et exigences de sécurité.

  4. 04

    Secure Development

    Intégration de pratiques de développement sécurisées : Threat Modeling, analyse de code, pentest, concepts HSM, Secure Boot, sécurité OTA.

  5. 05

    Gestion des fournisseurs

    Ancrer contractuellement les exigences cybersécurité, évaluations Tier-1/Tier-2, flux de preuve sur la supply chain.

  6. 06

    Audit et opérations

    Préparation à l'audit, accompagnement de l'homologation, mise en place du Vehicle SOC et amélioration continue sur le cycle de vie.

FAQ

Questions fréquentes sur la Product Security.

Quelle est la différence entre ISO/SAE 21434 et UNECE R155 ?

UNECE R155 est un règlement d'homologation contraignant — sans preuve CSMS vous n'obtenez plus d'homologation pour les catégories de véhicules M, N et O à partir de juillet 2024. ISO/SAE 21434 est la norme méthodologique qui décrit COMMENT un CSMS doit être construit. R155 présuppose donc ce que 21434 spécifie. En pratique, 21434 est le plan concret et R155 l'obligation.

Les fournisseurs Tier-1 et Tier-2 sont-ils directement concernés par R155 ?

Pas directement — l'OEM est tenu envers UNECE R155. Mais : l'OEM transmet les exigences ISO/SAE 21434 contractuellement à ses fournisseurs. Tier-1 et Tier-2 doivent donc livrer de manière conforme CSMS, TARA et SDLC, sinon ils sont disqualifiés comme fournisseurs. Nous aidons les fournisseurs à rendre leurs processus OEM-capables.

Combien de temps faut-il pour construire un CSMS ?

Réalistement 12–24 mois pour un CSMS complet jusqu'à la readiness d'audit — selon la maturité et le portefeuille de produits. Sur ce total, typiquement 3–6 mois pour l'analyse des écarts et la roadmap, 6–12 mois pour la construction et le pilotage, et 3–6 mois pour le roll-out, la formation et la préparation d'audit.

Comment ISO/SAE 21434 se rapporte-t-il au CRA ?

Les deux standards adressent la cybersécurité des produits connectés mais diffèrent par secteur. ISO/SAE 21434 est spécifique automotive (avec obligation R155), le CRA est horizontal et s'applique à tous les produits connectés avec éléments numériques. Pour les véhicules : 21434 remplit une grande partie des exigences CRA, mais pas toutes. Nous mappons les deux ensembles d'exigences sur un cadre de preuve intégré.

Proposez-vous aussi des tests de pénétration sur les ECU véhicules ?

Oui — dans le cadre du SDLC ou séparément. Nous testons le hardware ECU, le firmware, la communication bus (CAN, LIN, FlexRay, Automotive Ethernet), les interfaces sans fil (Bluetooth, WiFi, V2X) et les connexions backend (OTA, télématique). Méthodologiquement, nous travaillons selon OWASP IoT, ISO/SAE 21434 Annex G et notre propre méthodologie automotive-pentest.

Nous fabriquons des produits industriels, pas des voitures — est-ce que cela nous concerne ?

ISO/SAE 21434 est spécifique automotive, mais la méthodologie est largement transférable. Pour les produits industriels, IEC 62443-4 (développement produit sécurisé), ISO/IEC 27034 ou les exigences CRA sont plus pertinents. Nous adressons aussi les constructeurs de machines, fabricants de dispositifs médicaux et producteurs IoT — les pratiques engineering (TARA, Secure Boot, Threat Modeling, SDLC) sont transversales.

Protégez votre organisation dès maintenant !

Contactez-nous pour une consultation individuelle et une solution de sécurité adaptée à vos besoins.

Valeri Milke, CEO de VamiSecCONTACTEZ-NOUS MAINTENANT

Valeri Milke, CEO de VamiSec

"Ce n'est que lorsque tous les instruments sont bien accordés que votre organisation devient sécurisée et conforme."