Solutions pour les machines mobiles
Cybersécurité : pourquoi les fabricants d’équipement d’origine doivent agir maintenant ?
Le Cyber Resilience Act (CRA) modifie fondamentalement les exigences de conformité pour les machines mobiles. La troisième partie de notre série de blogs « Sûreté, sécurité et IA » montre comment les fabricants peuvent sécuriser leurs machines mobiles et maîtriser les coûts.
Le défi est réel : à partir du 11 décembre 2027, le Cyber Resilience Act (CRA) sera entièrement obligatoire pour tous les produits comportant des éléments numériques récemment mis sur le marché de l’Union européenne. Dès le 11 juin 2026, les délais d’évaluation de la conformité seront raccourcis et, à partir du 11 septembre 2026, il en sera de même pour les obligations de signalement des incidents de sécurité. Les fabricants de machines hors route doivent assurer la cybersécurité tout au long du cycle de vie d’un produit, du développement et de l’exploitation à la mise hors service. À cette fin, les fabricants d’équipement d’origine (ci-après « OEM ») associent la cybersécurité et la sécurité fonctionnelle, mais ils doivent également convertir tous les systèmes existants qui sont encore produits en série. La troisième partie de notre série de blogs « Sûreté, sécurité et IA » se concentre sur la cybersécurité et sur la façon dont les OEM peuvent transformer les exigences de conformité en avantages concurrentiels.
Quel est l’impact du CRA pour les machines mobiles ?
Selon les exigences du CRA, la cybersécurité doit être considérée dans une approche « security by design » dès le début du développement et tout au long du cycle de vie du produit. Cela comprend :
- Des analyses des risques et des évaluations des menaces (TARA)
- Une preuve des mesures de sécurité
- Une surveillance de la sécurité et une gestion des incidents pendant l’exploitation
Pour les machines mobiles, il s’agit d’une démarche complexe, car celles-ci sont fortement mises en réseau, fonctionnent dans des environnements difficiles et possèdent parfois des architectures ouvertes : autant de facteurs qui augmentent la surface d’attaque. Les entreprises ne respectant pas les exigences du CRA risquent des amendes élevées (jusqu’à 2 % du chiffre d’affaires annuel mondial), des dommages importants en matière d’assurance, de responsabilité et de réputation, ainsi qu’une perte d’accès au marché (par exemple : en raison d’un certificat CE manquant). En clair : seules les machines conformes au CRA peuvent alors être commercialisées au sein du marché intérieur de l’Union européenne. La question centrale est donc la suivante : comment les OEM disposant de ressources limitées peuvent-ils se conformer aux normes de sécurité sans que les coûts explosent ou sans être empêchés de vendre leurs machines dans l’Union européenne ?
Atteindre ensemble la conformité aux normes de sécurité
Avec BODAS, Bosch Rexroth propose un écosystème holistique qui aide les OEM à mettre en œuvre des exigences réglementaires complexes. La base dans ce but : des processus et des technologies de sécurité éprouvés de Bosch dans le secteur automobile, que Bosch Rexroth a transférés aux machines mobiles grâce à sa vaste expérience dans le domaine hors route. Un point essentiel : l’offre complète de solutions modulaires, de produits et d’assistance de BODAS s’appuie sur la norme ISO 21434 et couvre l’ensemble du cycle de vie, de la conception et la mise en œuvre de la sécurité à la mise hors service, en passant par la gestion des vulnérabilités et des incidents.
Cohérence, transparence et pérennité : les solutions et processus éprouvés de Bosch dans le secteur automobile garantissent également la conformité du CRA pour les machines mobiles. (Graphique : Bosch Rexroth AG)
1. Base méthodologique : le processus d’ingénierie de la sécurité
Dans le cadre de leur approche « security by design », les OEM doivent démontrer la cybersécurité tout au long du cycle de vie du produit : de la conception et de la production à l’exploitation (par exemple : pour la certification CE). Sans un processus de sécurité clair, cette mission est difficile à réaliser.
Approche de la solution : avec Bosch Rexroth comme partenaire, les OEM bénéficient d’un processus d’ingénierie de sécurité éprouvé de Bosch dans le secteur automobile, sur lequel l’écosystème BODAS s’appuie également en tant que base solide. Cela comprend des directives claires pour le développement, la production et l’exploitation, la conformité documentée des produits utilisés (unités de contrôle, unités télématiques ou fonctions d’assistance), ainsi que l’intégration de la sûreté et de la sécurité dans un modèle de cycle de vie cohérent.
2. Mise en œuvre du processus : identifier, évaluer et sécuriser les risques
Dans la phase de mise en œuvre, le processus de sécurité défini est mis en pratique. L’évaluation des risques joue un rôle crucial, à la fois dans cette phase et tout au long du cycle de vie du produit. Dans le cadre des analyses des menaces et des évaluations des risques (TARA), les surfaces d’attaque sont systématiquement identifiées et analysées. Par ailleurs, les OEM doivent définir des mesures concrètes pour ramener les risques de sécurité identifiés à un niveau acceptable. En outre, des preuves transparentes pour chaque composant logiciel utilisé sont exigées par le biais d’une nomenclature logicielle (SBOM). Toutes les fonctionnalités de sécurité doivent être à la pointe de la technologie et actualisables afin de pouvoir suivre l’évolution des normes.
Approche de la solution : l’effort de mise en œuvre pour les OEM est réduit simplement grâce à la mise en œuvre systématique par Bosch Rexroth des obligations TARA et SBOM pour chaque logiciel BODAS. Cela permet aux OEM de remplir facilement leurs propres obligations de preuve, de dériver et de documenter des mesures efficaces pour la gestion des incidents. Des fonctions de sécurité à la pointe de la technologie telles que le démarrage sécurisé, la connexion sécurisée, le chiffrement ou les signatures numériques sont intégrées par défaut dans l’écosystème BODAS et font l’objet d’un développement continu. En outre, Bosch Rexroth assiste les OEM dans l’obtention de la conformité de sécurité CRA encore plus efficacement en fournissant des API et des chaînes d’outils prêtes à l’emploi, ainsi qu’une assistance à la migration des logiciels CRA.
3. Surveillance de la sécurité – Assurer la sécurité pendant l’exploitation
Mise en œuvre terminée, mission accomplie ? Pas du tout. Même après la livraison, la sécurité reste une mission permanente. Les fabricants sont tenus de surveiller leurs systèmes, de détecter et d’évaluer les incidents de sécurité et de les signaler à leurs clients et aux autorités. Dans le cadre de la surveillance de la sécurité – la phase la plus longue du processus de sécurité tout au long de la durée de vie du produit – les OEM doivent constamment être à l’affût des vulnérabilités potentielles. Celles-ci pouvant survenir à tout moment, une gestion transparente des vulnérabilités est également indispensable. En cas d’incident de sécurité, les failles de sécurité doivent être corrigées rapidement et sans mettre les machines à l’arrêt.
Approche de la solution : même pendant la phase opérationnelle, les OEM peuvent s’appuyer pleinement sur la qualité des produits de l’écosystème BODAS en matière de sécurité. Le système de surveillance des incidents de BOSCH résume l’infrastructure éprouvée avec des processus structurés pour évaluer et signaler les incidents de sécurité et couvre toutes les exigences du CRA dès le départ, y compris la gestion des incidents, le traitement des vulnérabilités et la surveillance 24h/24 et 7j/7. L’équipe d’intervention en cas d’incident de BOSCH surveille en permanence tous les systèmes Rexroth, analyse les alarmes et compare les résultats avec les bases de données publiques sur les vulnérabilités. Grâce aux services OTA (Over-the-Air) de BODAS, les OEM peuvent transférer de manière efficace, sécurisée et traçable les correctifs et les mises à jour vers des machines individuelles et des segments de parc définis lorsque cela est nécessaire. Une valeur ajoutée significative : le système non propriétaire FOTA (Flashing over the Air) fonctionne également avec des fournisseurs de solutions IoT tiers (partenaire OTA BODAS).
Démarrer ensemble : avec efficacité et en toute sécurité
En matière de sécurité, agir rapidement est également payant. Les entreprises établissant et mettant en œuvre correctement la sécurité réglementaire pour l’ensemble de leur parc de véhicules garantissent leur accès au marché intérieur de l’Union européenne et bénéficient ainsi d’un avantage concurrentiel certain. La bonne nouvelle : les OEM n’ont pas à répondre seuls à ces exigences complexes. En collaboration avec Bosch Rexroth, l’écosystème BODAS conforme et les processus éprouvés de Bosch dans le secteur automobile, ils peuvent maîtriser chaque phase du projet du cycle de vie de la sécurité conformément à la norme ISO 21434 avec des efforts considérablement réduits : de l’ingénierie et la mise en œuvre de la sécurité à la surveillance et la gestion des incidents.
Mais ce n’est qu’un aspect parmi d’autres. Car avec Bosch Rexroth et l’écosystème BODAS, les fabricants de machines mobiles jettent les bases d’un parc de véhicules entièrement tourné vers l’avenir. La plateforme BODAS éprouvée et modulaire a beaucoup à offrir : elle est ouverte à l’intégration de nouvelles fonctions selon les besoins, évolutive afin de sécuriser efficacement toutes les séries de machines, et facilement accessible pour obtenir rapidement, efficacement et en toute sécurité des résultats avec des machines innovantes sur le marché.
Considérez-vous également la conformité comme un levier pour la confiance, la position sur le marché et la sécurité future ? Rencontrez les experts et les membres de la communauté myBODAS dès maintenant pour bénéficier de leur savoir-faire ou contactez-nous directement pour obtenir des conseils en matière de sûreté et de sécurité.
» Assistance et conseils premium BODAS
Tous les articles de cette série de blogs « Sûreté, sécurité et IA pour les machines de travail mobiles » :
01. Cybersécurité, sécurité fonctionnelle et IA : ce qui compte aujourd’hui pour les fabricants de machines hors route
02. Sécurité fonctionnelle : comment les OEM maîtrisent-ils les exigences du règlement de l’Union européenne sur les machines, du Cyber Resilience Act (CRA) et de la loi sur l’intelligence artificielle ?
03. Cybersécurité : pourquoi les OEM doivent agir maintenant ?
Yves Dasse est expert en cybersécurité chez Bosch et développeur de logiciels d’excellence au sein de la division Solutions mobiles de Bosch Rexroth. Il dispose d’une vaste expérience dans le développement de systèmes pour les machines hors route et le secteur automobile.
Wanjing Su est responsable du groupe logiciel au sein de la division Solutions mobiles de Bosch Rexroth. Elle possède une vaste expérience en matière de sécurité fonctionnelle, de logiciels embarqués et de développement de logiciels d’outils pour les machines hors route.
Martin Sykora est directeur des ventes pour l’électronique mobile chez Bosch Rexroth. Il travaille au sein du groupe Bosch depuis plus de 22 ans et dans le domaine de l’électronique mobile depuis plus de 19 ans. Dans le cadre de ses fonctions, Martin et son équipe servent de point de contact mondial pour les clients mobiles à la recherche de solutions BODAS pour l’assistance de la transformation numérique des machines de travail mobiles.