Norme d'évaluation de la cybersécurité des infrastructures de recharge de véhicules électriques

CSA Group
Organisme d'élaboration de normes:
Canadian Standards Association (operating as CSA Group)
Programme de travail:
View the CSA work program
Numéro de référence:
CSA V807
Catégorie de norme:
Norme nationale du Canada - Norme canadienne
Type d’activité d’élaboration de normes:
Nouvelle norme
Code ICS:
35.030
Statut:
Période de commentaires des OEN en cours
Date de début de la période de commentaires OEN:
Date de fin de la période de commentaires des OEN:
Affiché le:

Porté:

Cette norme définit un cadre d'évaluation de la résilience en matière de cybersécurité des systèmes de recharge pour véhicules électriques (VE) et de leur écosystème. Elle s'applique à tous les types d'équipements de recharge pour VE : résidentiels (niveau 1), commerciaux (niveau 2), bornes de recharge rapide CC et unités bidirectionnelles/V2G, ainsi qu'aux logiciels, micrologiciels et services réseau qui permettent leur fonctionnement.

Les principaux aspects incluent :

  • Cycle de vie de l'évaluation : Guide pour l'évaluation de la sécurité, de la conception et de l'approvisionnement initiaux à l'installation, la mise en service, l'exploitation, la maintenance et la mise hors service en fin de vie.
  • Domaines techniques : Examen de l'intégrité matérielle, des plateformes cloud, des micrologiciels embarqués, des protocoles de communication (par exemple, OCPP, ISO 15118), des mécanismes d'authentification et d'autorisation, du chiffrement des données en transit et au repos, et de leurs processus de mise à jour.
  • Contexte réseau et système : Critères de segmentation du réseau, de pare-feu, d’accès non autorisé, d’interception de données, de logiciels malveillants, d’attaques par déni de service (DoS) et de falsification physique, détection des intrusions, gestion des vulnérabilités et intégration aux systèmes de contrôle du réseau électrique.
  • Pratiques opérationnelles : Évaluation de la gestion des correctifs, des procédures de détection et de réponse aux incidents, des politiques de contrôle d’accès, des programmes de sensibilisation et de formation des utilisateurs et de l’assurance de la sécurité des fournisseurs.
  • Protection des données et de la confidentialité : Examen du traitement des données personnelles et de facturation, conformité aux réglementations sur la protection des données (LPRPDE, RGPD, etc.) et capacités de journalisation et d’audit sécurisées.
  • Méthodologie basée sur les risques : Une approche d’évaluation des risques à plusieurs niveaux hiérarchise les actifs critiques et les surfaces d’attaque, s’aligne sur les cadres établis (CSA 62443, NIST CSF, UL2900, CSA ISO/IEC 27001) et facilite la communication claire des résultats et des recommandations de correction.
  • Interopérabilité : Interopérabilité transfrontalière et interfournisseurs pour éviter la fragmentation des approches de sécurité.

Raison d’être du projet

Les cyberincidents ciblant les véhicules électriques peuvent exposer les systèmes de facturation, les données des utilisateurs et la stabilité du réseau à des acteurs malveillants. La fragmentation des pratiques de sécurité et l'absence de norme d'évaluation dédiée ont entraîné des évaluations incohérentes, des retards dans la correction et des vulnérabilités susceptibles de provoquer des perturbations du réseau ou des violations de données à grande échelle. Cette norme vise donc à établir une norme unifiée, fondée sur les risques, pour évaluer la cybersécurité de l'ensemble des infrastructures de recharge de véhicules électriques, contribuant ainsi à renforcer la confiance dans les systèmes déployés.

 

Les utilisateurs visés sont les fabricants de bornes de recharge pour véhicules électriques, les opérateurs de réseaux, les services publics, les gestionnaires de flottes, les laboratoires d'essais et les organismes de réglementation.

Note : L’information ci-dessus a été recueillie et est diffusée par le Conseil canadien des normes (CCN) pour les besoins de son système de notification centralisé et transparent pour l’élaboration de nouvelles normes. Le système permet aux organismes d’élaboration de normes (OEN) accrédités par le CCN et aux membres du public d’être informés des nouveaux travaux d’élaboration de normes au Canada. Il donne aussi aux OEN accrédités la possibilité de repérer et de résoudre les cas de doubles emplois éventuels dans les normes et les travaux de normalisation.

Les OEN sont eux-mêmes responsables du contenu et de l’exactitude de l’information présentée ici. Cette information n’existe que dans la langue dans laquelle elle a été fournie au CCN.