La loi européenne sur la cyber-résilience (CRA), promulguée en décembre 2024, est un texte législatif important qui fixe des exigences de sécurité pour les produits numériques connectés.
Les obligations de signalement des vulnérabilités entreront en vigueur en septembre 2026 et toutes les dispositions entreront en vigueur en décembre 2027, avec de lourdes pénalités pour les entreprises qui ne se conforment pas à la loi. Voici un guide simple des principales exigences de l’ARC et de ce que les fabricants de produits numériques doivent faire dès maintenant.

Les principales exigences de l’ARC sont expliquées et les mesures spécifiques que les fabricants de produits numériques doivent prendre sont décrites.
Il explique les principaux points d’action, de la conception, du développement et de la production en tenant compte de la cybersécurité, à l’élimination des vulnérabilités connues avant la mise sur le marché, en passant par le signalement des vulnérabilités et des incidents et la fourniture de correctifs après la mise sur le marché. En outre, des méthodes d’analyse des risques et des systèmes efficaces de surveillance des vulnérabilités sont présentés.

On pense généralement que le “service de contrôle de la qualité” est chargé des audits internes basés sur la norme ISO/SAE 21434, mais en réalité, l'”organisation auditée” elle-même doit jouer un certain rôle pour garantir l’efficacité du SGCV (système de gestion de la cybersécurité) et pour que les audits se déroulent sans heurts.
Le cours explique comment procéder à des audits internes et présente les connaissances de base nécessaires au fonctionnement efficace d’un SGCS. Faites le premier pas vers la mise en place d’une cybersécurité globale en acquérant un savoir-faire pratique.

(i) La nécessité des audits internes basés sur la norme ISO/SAE 21434 et les mesures à prendre dans l’ensemble de l’organisation.
Les audits internes basés sur la norme ISO/SAE 21434 sont essentiels pour maintenir et améliorer le système de gestion (CSMS) afin de garantir la cybersécurité des produits embarqués, y compris les automobiles. Compte tenu de l’importance des logiciels dans l’industrie automobile et de la sophistication croissante des cyberattaques, les vulnérabilités doivent être gérées tout au long du cycle de vie, du développement à la mise au rebut.
La coopération multisectorielle, qui inclut non seulement les départements de qualité mais aussi les “organisations non auditrices”, garantit une détection précoce des risques et de la sécurité grâce à un audit et une amélioration continus dans l’ensemble de l’entreprise.

(ii) Connaissance de base des activités liées aux systèmes de gestion en tant qu’auditeur.
Pour les organisations de l’industrie automobile qui ont mis en place un système de management de la cybersécurité (SMCC), les audits internes sont essentiels dans le cadre des activités d’évaluation (C : vérification dans le cycle PDCA). Afin de mener ces audits de manière efficace, il est essentiel d’avoir une connaissance de base des activités du système de management mises en œuvre par l’organisation à auditer (organisation auditée).
Cette section présente les connaissances de base sur les activités du système de management de l’organisme audité, qui sont essentielles pour une mise en œuvre harmonieuse des audits internes.