This document is an excerpt from the EUR-Lex website
Document 42021X0387
UN Regulation No 155 – Uniform provisions concerning the approval of vehicles with regards to cybersecurity and cybersecurity management system [2021/387]
Règlement ONU no 155 — Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et de leurs systèmes de gestion de la cybersécurité [2021/387]
Règlement ONU no 155 — Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et de leurs systèmes de gestion de la cybersécurité [2021/387]
PUB/2020/798
JO L 82 du 9.3.2021, p. 30–59
(BG, ES, CS, DA, DE, ET, EL, EN, FR, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
9.3.2021 |
FR |
Journal officiel de l’Union européenne |
L 82/30 |
Seuls les textes originaux de la CEE (ONU) ont un effet légal en vertu du droit public international. Le statut et la date d’entrée en vigueur du présent règlement sont à vérifier dans la dernière version du document de statut TRANS/WP.29/343 de la CEE (ONU), disponible à l’adresse suivante: http://www.unece.org/trans/main/wp29/wp29wgs/wp29gen/wp29fdocstts.html
Règlement ONU no 155 — Prescriptions uniformes relatives à l’homologation des véhicules en ce qui concerne la cybersécurité et de leurs systèmes de gestion de la cybersécurité [2021/387]
Date d’entrée en vigueur: 22 janvier 2021
Ce document constitue un outil de documentation. Les textes authentiques et contraignants juridiques sont:
— |
ECE/TRANS/WP.29/2020/79 |
— |
ECE/TRANS/WP.29/2020/94 et |
— |
ECE/TRANS/WP.29/2020/97 |
TABLE DES MATIÈRES
RÈGLEMENT
1. |
Champ d’application |
2. |
Définitions |
3. |
Demande d’homologation |
4. |
Marquage |
5. |
Homologation |
6. |
Certificat de conformité du système de gestion de la cybersécurité |
7. |
Spécifications |
8. |
Modification du type de véhicule et extension de l’homologation de type |
9. |
Conformité de la production |
10. |
Sanctions pour non-conformité de la production |
11. |
Arrêt définitif de la production |
12. |
Noms et adresses des services techniques chargés des essais d’homologation et des autorités d’homologation de type |
ANNEXES
1. |
Fiche de renseignements |
2. |
Fiche de communication |
3. |
Exemple de marque d’homologation |
4. |
Modèle de certificat de conformité du CSMS |
5. |
Liste des menaces et des mesures d’atténuation correspondantes |
1. CHAMP D’APPLICATION
1.1. |
Le présent règlement s’applique aux véhicules des catégories M et N en ce qui concerne la cybersécurité.
Il s’applique également aux véhicules de la catégorie O s’ils sont équipés d’au moins un module de gestion électronique. |
1.2. |
Le présent règlement s’applique également aux véhicules des catégories L6 et L7, s’ils sont équipés de fonctions de conduite automatisée de niveau 3 ou plus, telles que spécifiées dans le «Document de référence proposant des définitions de la conduite automatisée dans le cadre du WP.29 et des principes généraux pour l’élaboration d’un règlement ONU sur les véhicules automatisés» (ECE/TRANS/WP.29/1140). |
1.3. |
Le présent règlement s’entend sans préjudice des autres règlements ONU et textes législatifs régionaux ou nationaux régissant l’accès des parties autorisées au véhicule et à ses données, fonctions et ressources et les conditions de cet accès. Il s’entend également sans préjudice de l’application de la législation nationale et régionale sur la vie privée et la protection des personnes physiques en ce qui concerne le traitement de leurs données personnelles. |
1.4. |
Le présent règlement s’entend sans préjudice des autres règlements ONU et textes législatifs nationaux ou régionaux régissant la conception et l’installation ou l’intégration de pièces et d’éléments de rechange, physiques et numériques, en ce qui concerne la cybersécurité. |
2. DÉFINITIONS
Aux fins du présent règlement, on entend par:
2.1. |
«Type de véhicule», l’ensemble des véhicules qui ne présentent pas entre eux de différences, au moins au regard des critères de base suivants:
|
2.2. |
«Cybersécurité», la protection des véhicules routiers et de leurs fonctions contre les cyberattaques visant les composants électriques ou électroniques. |
2.3. |
«Système de gestion de la cybersécurité (CSMS)», une approche systématique fondée sur les risques et définissant, au niveau organisationnel, les processus, les responsabilités et les mesures de gouvernance dont l’objet est de traiter les risques associés aux cybermenaces visant les véhicules et de protéger ceux-ci contre les cyberattaques. |
2.4. |
«Système», un ensemble de composants et/ou de sous-systèmes qui assurent une ou plusieurs fonctions. |
2.5. |
«Phase de développement», la période précédant l’homologation de type d’un type de véhicule. |
2.6. |
«Phase de production», la durée de production d’un type de véhicule. |
2.7. |
«Phase de postproduction», la période pendant laquelle un type de véhicule n’est plus produit, jusqu’à la fin de vie de tous les véhicules de ce type. Les véhicules conformes à un type de véhicule donné restent opérationnels pendant cette phase mais ne sont plus produits. La phase prend fin lorsque plus aucun véhicule d’un type donné n’est opérationnel. |
2.8. |
«Mesure d’atténuation», une mesure qui réduit les risques. |
2.9. |
«Risque», la possibilité qu’une menace donnée exploite les vulnérabilités d’un véhicule et cause ainsi un préjudice à l’entreprise ou à une personne. |
2.10. |
«Appréciation des risques», le processus englobant la recherche, la reconnaissance et la description des risques (définition des risques), en vue d’en comprendre la nature et d’en déterminer le niveau (analyse des risques), et la comparaison des résultats de l’analyse des risques aux critères de risque afin de déterminer si les risques et/ou leur importance sont acceptables ou tolérables (évaluation des risques). |
2.11. |
«Gestion des risques», les activités coordonnées visant à diriger et à piloter une entreprise vis-à-vis des risques. |
2.12. |
«Menace», la source potentielle d’événements indésirables susceptibles de nuire à un système, à une entreprise ou à une personne. |
2.13. |
«Vulnérabilité», un point faible d’un élément ou d’une mesure d’atténuation, qui l’expose à une ou plusieurs menaces. |
3. DEMANDE D’HOMOLOGATION
3.1. |
La demande d’homologation d’un type de véhicule en ce qui concerne la cybersécurité doit être présentée par le constructeur du véhicule ou par son représentant dûment accrédité. |
3.2. |
Elle doit être accompagnée des pièces mentionnées ci-après, en triple exemplaire, et des informations suivantes: |
3.2.1. |
Une description du type de véhicule en ce qui concerne les points mentionnés à l’annexe 1 du présent règlement; |
3.2.2. |
Dans les cas où il est indiqué que les informations font l’objet de droits de propriété intellectuelle, ou qu’elles constituent un savoir-faire spécifique du constructeur ou de ses fournisseurs, le constructeur ou les fournisseurs doivent fournir des éléments d’information suffisants pour permettre d’effectuer convenablement les vérifications mentionnées dans le présent règlement. Ces éléments d’information doivent être utilisés de façon confidentielle; |
3.2.3. |
Le certificat de conformité du CSMS, conformément aux dispositions du paragraphe 6 du présent règlement. |
3.3. |
La documentation doit être fournie en deux parties:
|
4. MARQUAGE
4.1. |
Sur tout véhicule conforme à un type de véhicule homologué en application du présent règlement doit être apposée de manière visible, en un endroit facilement accessible et indiqué sur la fiche d’homologation, une marque d’homologation internationale composée: |
4.1.1. |
D’un cercle à l’intérieur duquel est placée la lettre «E» suivie du numéro distinctif du pays ayant délivré l’homologation; |
4.1.2. |
Du numéro du présent règlement, suivi de la lettre «R», d’un tiret et du numéro d’homologation, à la droite du cercle prévu au paragraphe 4.1.1 ci-dessus. |
4.2. |
Si le véhicule est conforme à un type de véhicule homologué en application d’un ou de plusieurs autres règlements annexés à l’accord dans le pays qui a accordé l’homologation en application du présent règlement, il n’est pas nécessaire de répéter le symbole prescrit au paragraphe 4.1.1 ci-dessus; dans un tel cas, les numéros de règlement et d’homologation et les symboles additionnels pour tous les règlements en application desquels l’homologation a été accordée dans le pays qui l’a accordée en application du présent règlement doivent être inscrits l’un au-dessous de l’autre à droite du symbole prescrit au paragraphe 4.1.1. |
4.3. |
La marque d’homologation doit être nettement lisible et indélébile. |
4.4. |
Elle doit être placée sur la plaque signalétique du véhicule apposée par le constructeur, ou à proximité. |
4.5. |
On trouvera à l’annexe 3 du présent règlement des exemples de marques d’homologation. |
5. HOMOLOGATION
5.1. |
Les autorités d’homologation accordent, selon qu’il convient, l’homologation de type en ce qui concerne la cybersécurité, uniquement aux types de véhicules qui satisfont aux prescriptions du présent règlement. |
5.1.1. |
L’autorité d’homologation ou son service technique doit vérifier les documents attestant que le constructeur a fait le nécessaire, en fonction du type de véhicule, pour:
|
5.1.2. |
L’autorité d’homologation ou son service technique doit vérifier, en soumettant un véhicule du type concerné aux essais voulus, que le constructeur a bien mis en œuvre les mesures de cybersécurité dont il a fait état. Ces essais doivent être réalisés par l’autorité d’homologation ou par son service technique ou bien en collaboration avec le constructeur sur la base d’un échantillonnage. L’échantillonnage doit cibler, sans s’y limiter, les risques définis comme élevés pendant l’appréciation des risques. |
5.1.3. |
L’autorité d’homologation ou son service technique doit refuser d’accorder l’homologation de type en ce qui concerne la cybersécurité si le constructeur du véhicule n’a pas satisfait à l’une ou à plusieurs des prescriptions énoncées au paragraphe 7.3, notamment:
|
5.1.4. |
L’autorité d’homologation en charge de l’évaluation doit également refuser d’accorder l’homologation de type en ce qui concerne la cybersécurité si ni elle ni son service technique n’ont reçu d’informations suffisantes de la part du constructeur pour évaluer la cybersécurité du type de véhicule. |
5.2. |
L’homologation ou l’extension ou le refus d’homologation d’un type de véhicule en application du présent règlement doit être notifié aux parties à l’accord de 1958 appliquant ledit règlement au moyen d’une fiche conforme au modèle de l’annexe 2 du présent règlement. |
5.3. |
Les autorités d’homologation ne doivent pas délivrer d’homologation de type sans s’assurer que le constructeur a mis en place des dispositions et des procédures satisfaisantes pour gérer convenablement les aspects de la cybersécurité dont il est question dans le présent règlement. |
5.3.1. |
L’autorité d’homologation et ses services techniques s’assurent, en sus des critères établis dans l’annexe 2 de l’accord de 1958:
|
5.3.2. |
Chaque partie contractante appliquant le présent règlement doit notifier et informer les autorités d’homologation des autres parties contractantes appliquant le présent règlement ONU, par l’intermédiaire de son autorité d’homologation, de la méthode et des critères servant de base à cette dernière pour évaluer le caractère approprié des mesures prises conformément au présent règlement et en particulier aux paragraphes 5.1, 7.2 et 7.3.
Ces renseignements doivent être communiqués a) avant la délivrance de la première homologation, seulement, conformément au présent règlement, et b) chaque fois que la méthode ou les critères d’évaluation sont mis à jour. Ces renseignements sont destinés à être partagés en vue de la compilation et l’analyse des meilleures pratiques et dans l’optique d’une application convergente des dispositions par toutes les autorités d’homologation qui appliquent le présent règlement. |
5.3.3. |
Les renseignements visés au paragraphe 5.3.2 doivent être téléchargés en anglais dans la base de données électronique sécurisée DETA (2), établie par la Commission économique pour l’Europe, en temps voulu et au plus tard 14 jours avant la délivrance de la première homologation en application des méthodes et critères d’évaluation pertinents. Les renseignements doivent être suffisants pour permettre de comprendre quels objectifs minimaux l’autorité d’homologation a adoptés pour chaque prescription mentionnée au paragraphe 5.3.2, ainsi que les processus et mesures qu’elle applique pour vérifier que ces objectifs minimaux sont atteints (3). |
5.3.4. |
Lorsqu’elles reçoivent les renseignements visés au paragraphe 5.3.2, les autorités d’homologation peuvent soumettre des observations à l’autorité d’homologation émettrice en les téléchargeant dans la DETA dans un délai de 14 jours suivant la notification. |
5.3.5. |
Si l’autorité d’homologation accordant une homologation ne peut pas tenir compte des observations formulées en vertu du paragraphe 5.3.4, les autorités d’homologation qui les ont transmises et l’autorité d’homologation accordant une homologation doivent demander des éclaircissements en application de l’annexe 6 de l’accord de 1958. Le groupe de travail subsidiaire (4) du Forum mondial de l’harmonisation des règlements concernant les véhicules (WP.29) chargé du présent règlement doit convenir d’une interprétation commune des méthodes et critères d’évaluation (5). Cette interprétation commune doit être appliquée et toutes les autorités d’homologation doivent délivrer des homologations de type en conséquence, au titre du présent règlement. |
5.3.6. |
Chaque autorité d’homologation qui délivre une homologation de type en application du présent règlement doit en notifier les autres autorités d’homologation. L’homologation de type et les documents justificatifs doivent être téléchargés dans la DETA, en anglais, par l’autorité d’homologation, dans les 14 jours suivant la délivrance de ladite homologation (6). |
5.3.7. |
Les parties contractantes peuvent étudier les homologations délivrées sur la base des renseignements téléchargés en vertu du paragraphe 5.3.6. Toutes divergences de vues éventuelles entre les parties contractantes doivent être réglées conformément à l’article 10 et à l’annexe 6 de l’accord de 1958. Les parties contractantes doivent également informer le groupe de travail subsidiaire compétent du Forum mondial de l’harmonisation des règlements concernant les véhicules (WP.29) des interprétations divergentes au sens de l’annexe 6 de l’accord de 1958. Le groupe de travail compétent doit contribuer au règlement des divergences de vues et peut, au besoin, consulter le WP.29 à cet effet |
5.4. |
Aux fins du paragraphe 7.2 du présent règlement, le constructeur doit veiller à ce que les aspects de la cybersécurité dont il est question dans le présent règlement soient mis en œuvre. |
6. CERTIFICAT DE CONFORMITÉ DU SYSTÈME DE GESTION DE LA CYBERSÉCURITÉ
6.1. |
Les parties contractantes doivent désigner une autorité d’homologation chargée de procéder à l’évaluation du constructeur et de délivrer le certificat de conformité du CSMS. |
6.2. |
La demande de certificat de conformité du système de gestion de la cybersécurité doit être présentée par le constructeur du véhicule ou par son représentant dûment accrédité. |
6.3. |
Elle doit être accompagnée des pièces mentionnées ci-après, en triple exemplaire, et des informations suivantes: |
6.3.1. |
Une description du système de gestion de la cybersécurité; |
6.3.2. |
Une déclaration signée conforme au modèle de l’appendice 1 de l’annexe 1. |
6.4. |
Dans le cadre de l’évaluation, le constructeur doit déclarer, à l’aide du modèle de l’appendice 1 de l’annexe 1, et démontrer à la satisfaction de l’autorité d’homologation ou de son service technique qu’il a mis en place les procédures requises pour satisfaire à toutes les prescriptions en matière de cybersécurité énoncées dans le présent règlement. |
6.5. |
Si les résultats de cette évaluation sont satisfaisants, et à réception d’une déclaration signée par le constructeur conforme au modèle de l’appendice 1 de l’annexe 1, un certificat appelé «certificat de conformité du CSMS» tel que décrit à l’annexe 4 du présent règlement est délivré au constructeur. |
6.6. |
L’autorité d’homologation ou son service technique doit établir le certificat de conformité du CSMS en suivant le modèle de l’annexe 4 du présent règlement. |
6.7. |
Le certificat de conformité du CSMS a une durée de validité de trois ans au maximum à compter de la date de sa délivrance, à moins qu’il ne soit retiré. |
6.8. |
L’autorité d’homologation qui a délivré le certificat de conformité du CSMS peut à tout moment vérifier que les conditions de sa validité restent remplies. L’autorité d’homologation doit retirer le certificat de conformité du CSMS si les prescriptions énoncées dans le présent règlement ne sont plus respectées. |
6.9. |
Le constructeur doit informer l’autorité d’homologation ou son service technique de toute modification ayant une incidence sur la validité du certificat de conformité du CSMS. Après avoir consulté le constructeur, l’autorité d’homologation ou son service technique doit déterminer s’il convient de procéder à de nouvelles vérifications. |
6.10. |
Le constructeur doit demander un nouveau certificat de conformité du CSMS ou une prolongation du certificat existant en temps voulu, de façon à permettre à l’autorité d’homologation d’achever son évaluation avant la fin de la période de validité du certificat de conformité du CSMS. Sous réserve d’une évaluation favorable, l’autorité d’homologation doit délivrer un nouveau certificat de conformité du CSMS ou prolonger la validité du certificat périmé pour une nouvelle période de trois ans. L’autorité d’homologation doit vérifier que le CSMS est toujours conforme aux prescriptions du présent règlement. L’autorité d’homologation doit délivrer un nouveau certificat lorsque des modifications ont été portées à son attention ou à celle de son service technique et que ces modifications ont fait l’objet d’une réévaluation favorable. |
6.11. |
L’expiration ou le retrait du certificat de conformité du CSMS accordé au constructeur doit faire l’objet d’un examen compte tenu du type de véhicules pour lesquels le CSMS concerné était pertinent, en tant que modification de l’approbation, comme indiqué au paragraphe 8, ce qui peut impliquer le retrait de l’homologation si les conditions d’octroi ne sont plus remplies. |
7. SPÉCIFICATIONS
7.1. |
Spécifications générales |
7.1.1. |
Les prescriptions du présent règlement ne limitent pas les dispositions ou prescriptions d’autres règlements ONU. |
7.2. |
Prescriptions relatives au système de gestion de la cybersécurité |
7.2.1. |
Aux fins de l’évaluation, l’autorité d’homologation ou son service technique doit vérifier que le constructeur du véhicule dispose d’un système de gestion de la cybersécurité et que celui-ci est conforme au présent règlement. |
7.2.2. |
Le système de gestion de la cybersécurité doit couvrir les aspects suivants: |
7.2.2.1. |
Le constructeur du véhicule doit démontrer à l’autorité d’homologation ou à son service technique que son système de gestion de la cybersécurité s’applique aux phases suivantes:
|
7.2.2.2. |
Le constructeur du véhicule doit démontrer que les processus mis en œuvre dans le cadre de son système de gestion de la cybersécurité garantissent que la sécurité est dûment prise en compte, notamment au regard des risques et mesures d’atténuation énumérés à l’annexe 5. Ces processus comprennent:
|
7.2.2.3. |
Le constructeur du véhicule doit démontrer que les processus mis en œuvre dans le cadre de son système de gestion de la cybersécurité garantissent que, sur la base des catégories mentionnées aux alinéas c) et g) du paragraphe 7.2.2.2, les cybermenaces et les vulnérabilités auxquelles il doit réagir sont atténuées dans un délai raisonnable. |
7.2.2.4. |
Le constructeur du véhicule doit démontrer que les processus mis en œuvre dans le cadre de son système de gestion de la cybersécurité garantissent que la surveillance mentionnée à l’alinéa g) du paragraphe 7.2.2.2 est permanente. Cette surveillance doit:
|
7.2.2.5. |
Le constructeur du véhicule doit montrer comment son système de gestion de la cybersécurité gérera les dépendances pouvant exister avec ses fournisseurs, ses prestataires de services ou ses sous-entités en ce qui concerne les prescriptions du paragraphe 7.2.2.2. |
7.3. |
Prescriptions relatives aux types de véhicules |
7.3.1. |
Le constructeur doit disposer d’un certificat de conformité valide pour le système de gestion de la cybersécurité correspondant au type de véhicule à homologuer.
Toutefois, pour les homologations de type antérieures au 1er juillet 2024, si le constructeur peut donner la preuve que le type de véhicule n’a pas pu être développé conformément au système de gestion de la cybersécurité, il doit démontrer que la cybersécurité a été dûment prise en compte pendant la phase de développement du type de véhicule en question. |
7.3.2. |
Le constructeur du véhicule doit répertorier et gérer, pour le type de véhicule à homologuer, les risqués liés aux fournisseurs. |
7.3.3. |
Le constructeur doit répertorier les éléments critiques du type de véhicule concerné, procéder à une appréciation des risques complète pour ce type de véhicule et traiter ou gérer correctement les risques répertoriés. L’appréciation des risques doit tenir compte de chaque élément du type de véhicule et des interactions entre ces éléments. Elle doit également porter sur les interactions avec tout système externe. Dans le cadre de l’appréciation des risques, le constructeur du véhicule doit tenir compte des risques liés à toutes les menaces visées dans la partie A de l’annexe 5 ainsi que de tout autre risque pertinent. |
7.3.4. |
Le constructeur doit protéger le type de véhicule contre les risques répertoriés dans le cadre de son appréciation des risques et, à cette fin, prendre des mesures d’atténuation proportionnées. Celles-ci doivent comprendre toutes les mesures mentionnées dans les parties B et C de l’annexe 5 qui sont pertinentes au regard des risques répertoriés. Toutefois, si une mesure d’atténuation mentionnée dans la partie B ou C de l’annexe 5 n’est pas pertinente ou suffisante au regard du risque répertorié, le constructeur du véhicule doit s’assurer qu’une mesure de remplacement appropriée est mise en œuvre.
En particulier, pour les homologations de type antérieures au 1er juillet 2024, le constructeur du véhicule doit s’assurer qu’une mesure de remplacement appropriée est mise en œuvre si une mesure d’atténuation mentionnée dans la partie B ou C de l’annexe 5 n’est pas faisable d’un point de vue technique. Le cas échéant, le constructeur doit communiquer l’évaluation de la faisabilité technique à l’autorité d’homologation. |
7.3.5. |
Le constructeur du véhicule doit mettre en œuvre des mesures appropriées et proportionnées pour sécuriser les environnements du type du véhicule prévus (le cas échéant) pour le stockage et l’exécution des logiciels, services, applications ou données du marché secondaire. |
7.3.6. |
Le constructeur du véhicule doit effectuer, avant l’homologation de type, des essais appropriés et suffisants afin de s’assurer de l’efficacité des mesures de sécurité mises en œuvre. |
7.3.7. |
Le constructeur du véhicule doit mettre en œuvre des mesures correspondant au type de véhicule pour:
|
7.3.8. |
Les modules cryptographiques utilisés aux fins du présent règlement doivent être conformes aux normes consensuelles. Dans le cas contraire, le constructeur du véhicule doit justifier leur utilisation. |
7.4. |
Dispositions relatives à la communication de l’information |
7.4.1. |
Le constructeur du véhicule doit rendre compte, au moins une fois par an et, si nécessaire, plus fréquemment, à l’autorité d’homologation ou à son service technique des résultats de ses activités de surveillance, telles que définies à l’alinéa g) du paragraphe 7.2.2.2, notamment en communiquant des informations relatives aux nouvelles cyberattaques. Le constructeur doit également confirmer à l’autorité d’homologation ou à son service technique que les mesures d’atténuation des cyberattaques mises en œuvre pour les types de véhicules concernés demeurent efficaces, et l’informer des mesures supplémentaires éventuellement prises. |
7.4.2. |
L’autorité d’homologation ou son service technique doit vérifier les informations communiquées et, si nécessaire, demander au constructeur du véhicule de remédier aux faiblesses éventuellement détectées.
Si les informations communiquées ou la réponse apportée ne suffisent pas, l’autorité d’homologation peut décider de retirer le certificat de conformité du CSMS en application du paragraphe 6.8. |
8. MODIFICATION DU TYPE DE VÉHICULE ET EXTENSION DE L’HOMOLOGATION DE TYPE
8.1. |
Toute modification du type de véhicule ayant une incidence sur ses caractéristiques techniques en ce qui concerne la cybersécurité et/ou sur la documentation prescrite dans le présent règlement doit être portée à la connaissance de l’autorité d’homologation ayant délivré l’homologation correspondante. Cette dernière peut alors: |
8.1.1. |
Soit considérer que le véhicule ainsi modifié est toujours conforme aux prescriptions et à la documentation correspondant à l’homologation de type existante; |
8.1.2. |
Soit réaliser une évaluation complémentaire nécessaire en vertu du paragraphe 5 et exiger, le cas échéant, un nouveau procès-verbal du service technique chargé des essais. |
8.1.3. |
La confirmation, l’extension ou le refus de l’homologation, faisant mention des modifications apportées, doit être notifié au moyen d’une fiche de communication conforme au modèle de l’annexe 2 du présent règlement. L’autorité d’homologation qui délivre une extension d’homologation doit attribuer un numéro de série à ladite extension et en informer les autres parties à l’accord de 1958 appliquant le présent règlement au moyen d’une fiche de communication conforme au modèle de l’annexe 2 dudit règlement. |
9. CONFORMITÉ DE LA PRODUCTION
9.1. |
Les procédures relatives à la conformité de la production doivent correspondre à celles qui sont énoncées dans l’annexe 1 de l’accord de 1958 (E/ECE/TRANS/505/Rev.3) et satisfaire aux prescriptions suivantes: |
9.1.1. |
Le titulaire de l’homologation doit veiller à ce que les résultats des essais de contrôle de la conformité de la production soient enregistrés et que les documents annexés restent disponibles pour une période fixée en accord avec l’autorité d’homologation ou son service technique. Cette période ne doit pas excéder 10 ans à partir de la date de l’arrêt définitif de la production; |
9.1.2. |
L’autorité qui a accordé l’homologation de type peut à tout moment vérifier les méthodes de contrôle de la conformité appliquées dans chaque unité de production. La fréquence normale de ces vérifications est d’une fois tous les trois ans. |
10. SANCTIONS POUR NON-CONFORMITÉ DE LA PRODUCTION
10.1. |
L’homologation délivrée pour un type de véhicule en application du présent règlement peut être retirée si les prescriptions énoncées dans ledit règlement ne sont pas respectées ou si les véhicules prélevés ne satisfont pas auxdites prescriptions. |
10.2. |
Lorsqu’une autorité d’homologation retire une homologation qu’elle avait accordée, elle doit en aviser immédiatement les parties contractantes appliquant le présent règlement par l’envoi d’une fiche de communication conforme au modèle de l’annexe 2 dudit règlement. |
11. ARRÊT DÉFINITIF DE LA PRODUCTION
11.1. |
Si le titulaire d’une homologation cesse définitivement la production d’un type de véhicule homologué conformément au présent règlement, il doit en informer l’autorité qui a délivré l’homologation, laquelle, à son tour, avise les parties à l’accord appliquant ledit règlement, au moyen d’une copie de la fiche d’homologation portant à la fin, en gros caractères, la mention signée et datée «PRODUCTION ARRÊTÉE». |
12. NOMS ET ADRESSES DES SERVICES TECHNIQUES CHARGÉS DES ESSAIS D’HOMOLOGATION ET DES AUTORITÉS D’HOMOLOGATION DE TYPE
12.1. |
Les parties à l’accord appliquant le présent règlement communiquent au Secrétariat de l’Organisation des Nations Unies les noms et adresses des services techniques chargés des essais d’homologation et des autorités d’homologation de type qui délivrent les homologations et auxquelles doivent être envoyées les fiches d’homologation ou d’extension, de refus ou de retrait d’homologation émises dans les autres pays. |
(1) Voir par exemple les normes ISO 26262-2018, ISO/PAS 21448 et ISO/SAE 21434.
(2) https://www.unece.org/trans/main/wp29/datasharing.html
(3) Des lignes directrices concernant les renseignements (méthode, critères et objectifs minimaux, par exemple) à télécharger et le format à utiliser doivent être données dans le document d’interprétation que le groupe de travail informel de la cybersécurité et des questions de sûreté des transmissions sans fil (CS/OTA) prépare pour la septième session du GRVA.
(4) Groupe de travail des véhicules automatisés/autonomes et connectés (GRVA).
(5) Cette interprétation doit être prise en compte dans le document d'interprétation mentionné dans la note de bas de page du paragraphe 5.3.3.
(6) Des renseignements complémentaires sur les prescriptions minimales concernant les documents seront préparés par le GRA durant sa septième session.
ANNEXE 1
Fiche de renseignements
Les renseignements ci-dessous doivent, s’il y a lieu, être fournis en triple exemplaire et être accompagnés d’une table des matières. Les schémas, s’il y en a, doivent être fournis à l’échelle appropriée, au format A4 ou pliés à ce format, et être suffisamment détaillés. Les photographies, s’il y en a, doivent être suffisamment détaillées.
1.
Marque (raison sociale du constructeur): …
2.
Type et dénomination(s) commerciale(s) générale(s): …
3.
Moyen d’identification du type, s’il est indiqué sur le véhicule: …
4.
Emplacement de cette marque: …
5.
Catégorie(s) du véhicule: …
6.
Nom et adresse du constructeur ou de son représentant: …
7.
Nom(s) et adresse(s) de l’atelier (des ateliers) de montage: …
8.
Photographie(s) ou dessin(s) d’un véhicule type: …
9.
Cybersécurité
9.1.
Caractéristiques générales de conception du type de véhicule, y compris:
a) |
les systèmes du véhicule qui sont pertinents pour la cybersécurité du type de véhicule; |
b) |
les composants de ces systèmes qui sont pertinents pour la cybersécurité; |
c) |
les interactions de ces systèmes avec d’autres systèmes du type de véhicule et les interfaces externes. |
9.2.
Représentation schématique du type de véhicule
9.3.
Numéro du certificat de conformité du CSMS: …
9.4.
Documents relatifs au type de véhicule à homologuer décrivant les résultats de l’appréciation des risques et les risques répertoriés: …
9.5.
Documents relatifs au type de véhicule à homologuer décrivant les mesures d’atténuation qui ont été mises en œuvre sur les systèmes énumérés ou sur le type de véhicule, et la façon dont elles permettent de gérer les risques répertoriés: …
9.6.
Documents relatifs au type de véhicule à homologuer décrivant la protection des environnements prévus pour les logiciels, services, applications ou données du marché secondaire: …
9.7.
Documents relatifs au type de véhicule à homologuer décrivant les essais qui ont été effectués pour vérifier la cybersécurité du type de véhicule et de ses systèmes et les résultats de ces essais: …
9.8.
Description de la prise en compte de la chaîne d’approvisionnement en ce qui concerne la cybersécurité: …
Appendice 1 de l’annexe 1
Modèle de déclaration de conformité du CSMS à établir par le constructeur
Déclaration du constructeur s’agissant de la conformité du système de gestion de la cybersécurité aux prescriptions y relatives
Nom du constructeur: …
Adresse du constructeur: …
… (nom du constructeur) atteste que les processus nécessaires pour satisfaire aux prescriptions relatives au système de gestion de la cybersécurité énoncées au paragraphe 7.2 du règlement ONU no 155 sont en place et qu’ils seront maintenus.………
Fait à: … (lieu)
Le: …
Nom du signataire: …
Fonction du signataire: …
…
(Cachet et signature du représentant du constructeur)
ANNEXE 2
Fiche de communication
[Format maximal: A4 (210 × 297 mm)]
(1) |
Émanant de: |
Nom de l’administration: … … … |
concernant (2) |
Délivrance d’une homologation Extension d’homologation Retrait d’homologation avec effet au jj/mm/aaaa Refus d’homologation Arrêt définitif de la production |
d’un type de véhicule, conformément au règlement ONU no 155.
No d’homologation: …
No d’extension: …
Motif de l’extension: …
1.
Marque (raison sociale du constructeur): …
2.
Type et dénomination(s) commerciale(s) générale(s): …
3.
Moyen d’identification du type, s’il est indiqué sur le véhicule: …
3.1.
Emplacement de cette marque: …
4.
Catégorie(s) du véhicule: …
5.
Nom et adresse du constructeur ou de son représentant: …
6.
Nom(s) et adresse(s) de l’atelier (des ateliers) de montage: …
7.
Numéro du certificat de conformité du système de gestion de la cybersécurité: …
8.
Service technique chargé des essais: …
9.
Date du procès-verbal d’essai: …
10.
Numéro du procès-verbal d’essai: …
11.
Remarques (le cas échéant): …
12.
Lieu: …
13.
Date: …
14.
Signature: …
15.
On trouvera en annexe la liste des documents du dossier d’homologation déposé auprès de l’autorité d’homologation, qui peut être obtenu sur demande.
(1) Numéro distinctif du pays qui a accordé/étendu/refusé/retiré l’homologation (voir les dispositions du présent règlement relatives à l’homologation).
(2) Biffer la mention inutile.:
ANNEXE 3
Exemple de marque d’homologation
MODÈLE A
(Voir le paragraphe 4.2 du présent règlement)
a = 8 mm min.
La marque d’homologation ci-dessus, apposée sur un véhicule, indique que le type de ce véhicule a été homologué aux Pays-Bas (E 4), en application du règlement no 155, sous le numéro d’homologation 001234. Les deux premiers chiffres du numéro d’homologation (00) signifient que l’homologation a été délivrée conformément aux prescriptions dudit règlement sous sa forme originale.
ANNEXE 4
Modèle de certificat de conformité du CSMS
Certificat de conformité du système de gestion de la cybersécurité
avec le règlement ONU no 155
Numéro de certificat [numéro de référence]
[……. autorité d’homologation]
Certifie que
Nom du constructeur: …
Adresse du constructeur: …
est en conformité avec les dispositions du paragraphe 7.2 du règlement no 155.
Des contrôles ont été effectués le: …
par (nom et adresse de l’autorité d’homologation ou du service technique): …
Numéro du procès-verbal: …
Le présent certificat est valable jusqu’au: [… date]
Fait à: […………………………………………………lieu]
Le: [……………………………………………date]
[…………………………………………………signature]
Pièces jointes: description du système de gestion de la cybersécurité établie par le constructeur.
ANNEXE 5
Liste des menaces et des mesures d’atténuation correspondantes
1.
La présente annexe se compose de trois parties. La partie A décrit l’état de référence des menaces, vulnérabilités et méthodes d’attaque. La partie B décrit les mesures d’atténuation des menaces visant les types de véhicule. La partie C décrit les mesures d’atténuation des menaces visant les zones situées en dehors des véhicules, par exemple les systèmes dorsaux.
2.
Les parties A, B et C doivent être prises en compte dans le cadre de l’appréciation des risques et des mesures d’atténuation que les constructeurs de véhicules doivent mettre en œuvre.
3.
La vulnérabilité de haut niveau et les exemples correspondants ont été indexés dans la partie A. La même indexation a été référencée dans les tableaux des parties B et C pour établir un lien entre chaque attaque ou vulnérabilité et les mesures d’atténuation correspondantes.
4.
L’analyse des menaces doit également inclure un examen des éventuelles conséquences d’une attaque. Cet examen peut contribuer à déterminer le degré de risque et à déceler d’autres risques. Une attaque peut:
a) |
compromettre la sécurité d’utilisation du véhicule; |
b) |
interrompre certaines fonctions du véhicule; |
c) |
modifier des logiciels et altérer les performances; |
d) |
modifier des logiciels sans avoir d’effet sur le fonctionnement; |
e) |
compromettre l’intégrité des données; |
f) |
compromettre la confidentialité des données; |
g) |
interdire l’accès aux données; |
h) |
avoir d’autres conséquences, par exemple d’ordre criminel. |
Partie A — Vulnérabilités ou méthodes d’attaque liées aux menaces
1. |
Des descriptions de haut niveau des menaces et des vulnérabilités ou des méthodes d’attaque correspondantes sont présentées dans le tableau A1.
Tableau A1 Liste de vulnérabilités ou de méthodes d’attaque liées aux menaces
|
Partie B — Mesures d’atténuation des menaces visant les véhicules
1. |
Mesures d’atténuation — «Voies de communication des véhicules»
Les mesures d’atténuation des menaces liées aux voies de communication des véhicules sont indiquées dans le tableau B1. Tableau B1 Mesures d’atténuation des menaces liées aux voies de communication des véhicules
|
2. |
Mesures d’atténuation — «Processus de mise à jour»
Les mesures d’atténuation des menaces liées au processus de mise à jour sont indiquées dans le tableau B2. Tableau B2 Mesures d’atténuation des menaces liées au processus de mise à jour
|
3. |
Mesures d’atténuation — «Actions humaines non intentionnelles qui facilitent les cyberattaques»
Les mesures d’atténuation des menaces liées aux actions humaines non intentionnelles qui facilitent les cyberattaques sont indiquées dans le tableau B3. Tableau B3 Mesures d’atténuation des menaces liées aux actions humaines non intentionnelles qui facilitent les cyberattaques
|
4. |
Mesures d’atténuation — «Connectivité et connexions externes»
Les mesures d’atténuation des menaces liées à la connectivité et aux connexions externes sont indiquées dans le tableau B4. Tableau B4 Mesures d’atténuation des menaces liées à la connectivité et aux connexions externes
|
5. |
Mesures d’atténuation — «Cibles ou motivations potentielles d’une attaque»
Les mesures d’atténuation des menaces liées aux cibles ou motivations potentielles d’une attaque sont indiquées dans le tableau B5. Tableau B5 Mesures d’atténuation des menaces liées aux cibles ou motivations potentielles d’une attaque
|
6. |
Mesures d’atténuation — «Vulnérabilités potentielles susceptibles d’être exploitées si elles ne sont pas suffisamment protégées ou réduites»
Les mesures d’atténuation des menaces liées aux vulnérabilités potentielles susceptibles d’être exploitées si elles ne sont pas suffisamment protégées ou réduites sont indiquées dans le tableau B6. Tableau B6 Mesures d’atténuation des menaces liées aux vulnérabilités potentielles susceptibles d’être exploitées si elles ne sont pas suffisamment protégées ou réduites
|
7. |
Mesures d’atténuation — «Perte de données/violation des données du véhicule»
Les mesures d’atténuation des menaces liées à la perte de données ou à la violation des données du véhicule sont indiquées dans le tableau B7. Tableau B7 Mesures d’atténuation des menaces liées à la perte de données ou à la violation des données du véhicule
|
8. |
Mesures d’atténuation — «Manipulation physique des systèmes en vue de permettre une attaque»
Les mesures d’atténuation des menaces liées à la manipulation physique des systèmes en vue de permettre une attaque sont indiquées dans le tableau B8. Tableau B8 Mesures d’atténuation des menaces liées à la manipulation physique des systèmes en vue de permettre une attaque
|
Partie C — Mesures d’atténuation des menaces visant les zones situées en dehors des véhicules
1. |
Mesures d’atténuation — «Serveurs dorsaux»
Les mesures d’atténuation des menaces liées aux serveurs dorsaux sont indiquées dans le tableau C1. |
Tableau C1
Mesures d’atténuation des menaces liées aux serveurs dorsaux
Référence du tableau A1 |
Menace liée aux serveurs dorsaux |
Réf. |
Mesure d’atténuation |
1.1 et 3.1 |
Abus de privilèges de la part du personnel (attaque d’initié) |
M1 |
Des contrôles de sécurité doivent être réalisés sur les systèmes dorsaux afin que le risque d’attaques d’initié soit réduit au minimum. |
1.2 et 3.3 |
Accès Internet non autorisé au serveur (activé par exemple par des portes dérobées, des vulnérabilités logicielles système non corrigées, des attaques SQL ou d’autres moyens) |
M2 |
Des contrôles de sécurité doivent être réalisés sur les systèmes dorsaux afin que les accès non autorisés soient réduits au minimum. Pour des exemples de contrôles de sécurité, voir OWASP. |
1.3 et 3.4 |
Accès physique non autorisé au serveur (au moyen, par exemple, de clefs USB ou d’autres supports connectés au serveur) |
M8 |
La conception du système et le contrôle de l’accès devraient empêcher que des personnes non autorisées puissent accéder à des données personnelles ou des données critiques du système. |
2.1 |
Attaque d’un serveur dorsal bloquant son fonctionnement, par exemple en l’empêchant d’interagir avec les véhicules et de fournir les services dont ils ont besoin |
M3 |
Des contrôles de sécurité doivent être réalisés sur les systèmes dorsaux. Lorsque les serveurs dorsaux sont essentiels à la prestation des services, des mesures de rétablissement doivent être disponibles en cas de panne du système. Pour des exemples de contrôles de sécurité, voir OWASP. |
3.2 |
Perte d’informations dans le «nuage». Des données sensibles peuvent être perdues en raison d’attaques ou d’accidents lorsque les données sont stockées par des fournisseurs de services en nuage tiers |
M4 |
Des contrôles de sécurité doivent être réalisés pour que les risques associés à l’informatique en nuage soient réduits au minimum. Pour des exemples de contrôles de sécurité, voir OWASP et les orientations NCSC sur l’informatique en nuage. |
3.5 |
Atteinte à la sécurité de l’information due au partage involontaire de données (par exemple, erreurs administratives, stockage des données sur des serveurs situés dans des garages) |
M5 |
Des contrôles de sécurité visant à éviter les atteintes à la sécurité des données doivent être réalisés sur les systèmes dorsaux. Pour des exemples de contrôles de sécurité, voir OWASP. |
2. |
Mesures d’atténuation — «Actions humaines non intentionnelles»
Les mesures d’atténuation des menaces liées aux actions humaines non intentionnelles sont indiquées dans le tableau C2. Tableau C2 Mesures d’atténuation des menaces liées aux actions humaines non intentionnelles
|
3. |
Mesures d’atténuation — «Perte physique de données»
Les mesures d’atténuation des menaces liées à la perte physique de données sont indiquées dans le tableau C3. Tableau C3 Mesures d’atténuation des menaces liées à la perte physique de données
|