Contrôle de sécurité et certification des processus et des produits

La cybersécurité ne concerne pas seulement l'attaque de pirates informatiques sur le système de messagerie, le serveur de l'entreprise ou la base de données des clients. Tout ce qui est mis en réseau peut être piraté : des appareils médicaux au réseau électrique, du système d'alarme domestique au réseau de gaz. Dans ces cas, on parle de "cybersécurité opérationnelle". Par exemple, si une voiture a été achetée après 2017, elle dispose d'une carte SIM installée en standard qui déclencherait un appel d'urgence automatique en cas d'urgence. Une petite fonctionnalité qui met la voiture en réseau avec d'autres systèmes et la rend ainsi attrayante pour les pirates. En 2015, par exemple, des pirates ont réussi à diriger une Chrysler Cherokee d'une manière étrange : Tout cela sans câbles, à grande distance et avec un ordinateur portable. Le conducteur n'a plus le contrôle du moteur, de la direction et des freins. Des recours collectifs, des procès, des ajustements de logiciels et le rappel de 1,4 million de Jeeps Chrysler en ont été les conséquences.

Un exemple récent est l'attaque de pirates informatiques contre le plus grand pipeline d'essence des États-Unis, où Colonial Pipeline a fini par payer des millions aux pirates - en dollars américains et en bitcoins - pour reprendre le contrôle de l'approvisionnement en essence. Pour éviter autant que possible de telles atteintes à la sécurité, les processus et les produits sont soumis à des tests de sécurité et certifiés. "Il vaut la peine d'impliquer un organisme de certification dès le début du développement d'un produit ou d'un service, car le processus de développement est un élément essentiel de la certification et ne peut être corrigé après coup", explique Jens Henkner, CEO de CertX.

Piratage avec des intentions honorables ?

Pour rendre la tâche aussi difficile que possible aux pirates aux intentions sinistres, les fabricants, les utilisateurs industriels ainsi que les utilisateurs finaux doivent être conscients des failles de sécurité et respecter strictement les mesures de précaution. Les attaques comme celle de Chrysler sont délibérément menées par des pirates informatiques pour alerter les entreprises sur d'importantes failles de sécurité. Les employés de CertX participent également à ce que l'on appelle le "piratage éthique" pendant leur temps libre, afin d'épargner aux consommateurs et aux entreprises des dommages plus importants. Jens Henkner souligne : " Ce n'est que si tout le monde, du développement à l'utilisateur, développe et manipule correctement les appareils en réseau que la plus grande sécurité possible peut être garantie. La cybersécurité est nécessaire pour garantir que les produits sortis d'usine restent sûrs. Malheureusement, de nombreux joueurs suivent encore le principe de Floriani - à savoir ne pas résoudre la situation de danger, mais attendre et voir ce qui se passe en premier.

Les erreurs sont-elles des enseignants ou des tolggen dans le Reinheft ?

"Dans le domaine de l'aviation, les gens ont depuis longtemps l'habitude de partager leurs erreurs et d'en tirer des leçons ensemble", explique M. Henkner. La plupart des industries sont encore loin de vivre cette culture de manière inconditionnelle. Les discussions publiques sur des erreurs comme celles de Boeing sont difficiles à imaginer dans l'industrie automobile, par exemple. Mais lentement, l'attitude envers la culture de l'erreur change ici aussi. Henkner est convaincu que les normes peuvent jouer un rôle de soutien dans ce domaine : "Les normes sont une expérience coulée par écrit ; en tant qu'ingénieur, je ne vois pas l'intérêt d'inventer la roue deux fois". Ce principe est également suivi par CertX, qui se considère comme un partenaire et non comme un organisme de contrôle de type fonctionnaire. Henkner déclare : "Nous sommes le copilote. Nous lisons la liste de contrôle et posons les bonnes questions afin que les clients puissent facilement trouver les bonnes solutions par eux-mêmes."

Est-ce que je conduis toujours ma voiture ou est-ce que je suis conduit ?

Le moteur à combustion classique n'est plus le seul à dominer sur les routes. Les voitures électriques enrichissent de plus en plus le paysage routier. Des mots à la mode comme "conduite autonome" alimentent le débat sur la sécurité au volant. Si l'on en croit les visionnaires, le trafic routier va changer fondamentalement dans les prochaines années. Le fait est que l'industrie automobile est confrontée à des défis totalement différents aujourd'hui de ceux auxquels elle était confrontée il y a quelques années. La construction de voitures mécaniques ou électriques sont deux disciplines complètement différentes. Si, par exemple, l'embrayage de la voiture et donc la commande manuelle pour interrompre la propulsion disparaît soudainement, des tests complètement nouveaux sont placés sur la voie des constructeurs, qui exigent des systèmes de commande fonctionnellement sûrs. De nouvelles pièces du puzzle, telles que les stations de recharge ou les batteries plus gourmandes en énergie, apparaissent sur le radar. Aujourd'hui, par exemple, encore plus de véhicules électriques sont endommagés par des incendies plutôt que par des problèmes d'assistants de conduite. "Les normes sont également utiles dans un environnement aussi innovant, car elles servent de meilleures pratiques et de livre de recettes pour le développement", est convaincu M. Henkner. "La sensibilisation et la formation des employés contribuent largement au succès. Nous sommes donc fiers qu'avant Covid-19, nous ayons formé le plus grand nombre de salariés du secteur automobile au monde dans le domaine de la normalisation."

Et que pense Henkner de la conduite autonome ? Il voit un grand potentiel pour la conduite sur autoroute, mais il ne peut pas imaginer la conduite autonome dans le trafic urbain dans un avenir proche en raison de la complexité. CertX est convaincu du transport multimodal de l'avenir et participe donc au projet de recherche SwissMoves de l'Université des sciences appliquées de Fribourg, où il apporte ses connaissances en matière de certification dans le domaine de la sécurité fonctionnelle et de la cybersécurité.

Source : CertX 

Et qu'en est-il de l'intelligence artificielle ?

De nombreuses applications actuelles font appel à l'intelligence artificielle, notamment pour la reconnaissance d'images dans divers domaines de l'automatisation. La difficulté est qu'après leur développement, les réseaux dits neuronaux deviennent une boîte noire et sont difficiles à vérifier. Dans ce cas, il est d'autant plus important de procéder en fonction du processus et de certifier en conséquence. Par exemple, si les conducteurs font des erreurs, celles-ci sont toujours attribuées à l'être humain en tant que défaillance et ne sont pas considérées comme une erreur du système. L'intelligence artificielle doit maintenant prouver qu'elle fonctionne de manière plus sûre que les humains, qu'elle ne dépasse pas les taux d'erreurs humaines actuels et qu'aucune erreur systématique ne se produit. La preuve pratique exige un effort de test extrêmement important, pratiquement inabordable dans les cycles de développement actuels. En outre, les normes dans ce domaine font encore largement défaut. "L'art n'est plus de tester le résultat final, mais de réguler de manière optimale le processus de développement afin d'atteindre un soi-disant 'niveau de sécurité équivalent'. Des facteurs tels que le principe des quatre yeux, une documentation complète, une base de données propre, des tests numérisés, etc. jouent un rôle important dans l'évaluation de la sécurité des réseaux neuronaux. Le grand défi est d'emballer les systèmes agiles dans des normes écrites. Cela crée des frictions entre toutes les parties impliquées dans le travail de normalisation, ce que je considère comme très utile, car cela conduit finalement à de bons résultats", souligne Jens Henkner.

Source : CertX