Retour d’expérience : Sécuriser les véhicules autonomes - Partie 2
Avec l’évolution des réglementations UNR ECE 155 et UNR ECE 156, la cybersécurité est devenue un prérequis incontournable pour l’homologation des véhicules autonomes. Ces normes imposent aux constructeurs automobiles une gestion rigoureuse des risques cybernétiques, couvrant aussi bien la détection des menaces que la résilience des systèmes embarqués et des infrastructures connexes.
Dans ce cadre, nous avons été missionnés pour concevoir et déployer un pôle cyberdéfense au sein d’un constructeur de véhicules autonomes. L’objectif était double : établir une architecture de sécurité robuste et garantir la conformité réglementaire tout en intégrant des principes d’approche Zero Trust et de Security by Design dans l’ensemble du cycle de vie du véhicule.
Ce deuxième article d’une série de trois explore les défis rencontrés, notre méthodologie d’implémentation et les solutions techniques adoptées pour répondre aux exigences de sécurité et de résilience imposées par l’UNR ECE 155 et 156.
Dans ce cadre, nous avons été missionnés pour concevoir et déployer un pôle cyberdéfense au sein d’un constructeur de véhicules autonomes. L’objectif était double : établir une architecture de sécurité robuste et garantir la conformité réglementaire tout en intégrant des principes d’approche Zero Trust et de Security by Design dans l’ensemble du cycle de vie du véhicule.
Ce deuxième article d’une série de trois explore les défis rencontrés, notre méthodologie d’implémentation et les solutions techniques adoptées pour répondre aux exigences de sécurité et de résilience imposées par l’UNR ECE 155 et 156.
Après avoir posé lesbasesd’une cybersécurité robuste, il était temps de structurer l’effort collectif et d’organiser le déploiement de nos initiatives. Un projet de cette ampleur ne peut réussir sans une approche méthodique et une équipe parfaitement coordonnée. Voici comment nous avons relevé ce défi.
Troisième étape : Organiserl'effortcollectif
La complexité du projet nécessitait une organisation rigoureuse mais adaptable. Dans un domaine où les technologies et les menaces évoluent en permanence, la flexibilité est clé. Nous avons donc opté pour une méthodologie Agile, qui nous permettait d’adapter nos priorités en temps réel et de réagir rapidement aux imprévus..
Avec des sprints de 3 semaines, nous avons prévu un rythme soutenu, favorisant l'itération rapide et l'amélioration continue. Cette cadence permet de livrer rapidement de la valeur tout en s'adaptant aux retours d'expérience et aux évolutions réglementaires.
Notre équipe pluridisciplinaire était composée de profils stratégiques soigneusement sélectionnés :
Avec des sprints de 3 semaines, nous avons prévu un rythme soutenu, favorisant l'itération rapide et l'amélioration continue. Cette cadence permet de livrer rapidement de la valeur tout en s'adaptant aux retours d'expérience et aux évolutions réglementaires.
Notre équipe pluridisciplinaire était composée de profils stratégiques soigneusement sélectionnés :
- Account Manager : Assurant l'interface stratégique avec le client et veillant à l'alignement des objectifs
- Product Owner : Priorisant le backlog et maximisant la valeur métier des fonctionnalités développées
- Scrum Master : Facilitant le processus Agile et éliminant les obstacles
- Architecte Cyber et Infrastructure : Concevant les solutions techniques sécurisées et évolutives
- DevSecOps : Intégrant la sécurité dans les pipelines de développement et de déploiement
- Ingénieur Sécurité Réseau : Implémentant les contrôles de sécurité réseau et surveillant les anomalies
Cette équipe pluridisciplinaire travaille main dans la main, avec un seul objectif : garantir la réussite du projet. Des réunions quotidiennes permettaient de synchroniser les efforts et d'identifier rapidement les blocages, tandis que des revues de sprint bimensuelles offrent l'occasion d'ajuster la stratégie.
Quatrième étape : Planifieretbudgétiser avec précision
Un projet d’une telle ampleur ne s’improvise pas. Il nous fallait une vision claire des ressources nécessaires, une feuille de route réaliste et surtout, une stratégie budgétaire bien maîtrisée.
Pour évaluer l'ampleur de l'effort, nous avons utilisé une approche de chiffrage « Top Down », en décomposant le projet en étapes clés. Cette méthodologie nous a permis d'établir des estimations réalistes basées sur l'expérience de projets similaires, tout en tenant compte des spécificités du contexte.
Cette méthode nous apermisde :
Éviter les sous-estimations en nous basant sur l’expérience de projets similaires
Prendre en compte les spécificités du contexte et des exigences réglementaires
Allouer les ressources de manière optimale, en hiérarchisant les priorités
Un Roadmap pensé pourmaximiserl’impact
Le roadmap 2024-2025 a été conçu comme une suite d'itérations continues, démarrant en septembre 2024 avec un Sprint 0 pour structurer le backlog. Cette phase initiale, souvent négligée, a été cruciale pour :
- Affiner la compréhension des besoins en consilidant
- Prioriser les initiatives selon leur impact sur la sécurité
- Établir les métriques de suivi
- Préparer l'environnement technique
Suite à ce Sprint 0, nous avons planifié 12 sprints où chaque initiative est déployée, testée et optimisée. Le séquencement des initiatives a été pensé pour maximiser la valeur apportée rapidement, tout en posant les fondations nécessaires aux développements ultérieurs. Par exemple, la mise en place du SDLC sécurisé et la sensibilisation des équipes ont été priorisées car elles conditionnaient l'efficacité des autres initiatives.
Le plus grand défi était de tenir les délais imposés par les processus d’homologation, sans compromettre la qualité ni la sécurité. Grâce à notre approche itérative et à notre capacité d’adaptation, nous avons su réagir aux ajustements réglementaires tout en respectant notre planning initial. Cette planification minutieuse nous a permis de respecter les délais critiques liés aux processus d'homologation, tout en maintenant la flexibilité nécessaire pour s'adapter aux imprévus.
Le plus grand défi était de tenir les délais imposés par les processus d’homologation, sans compromettre la qualité ni la sécurité. Grâce à notre approche itérative et à notre capacité d’adaptation, nous avons su réagir aux ajustements réglementaires tout en respectant notre planning initial. Cette planification minutieuse nous a permis de respecter les délais critiques liés aux processus d'homologation, tout en maintenant la flexibilité nécessaire pour s'adapter aux imprévus.
