Synopsys prolonge son savoir-faire dans la sécurité vers le monde automobile

Synopsys, le numéro un mondial des outils de CAO, poursuit avec méthode le développement et la consolidation de ses activités dans la sécurité logicielle. La preuve en est la récente annonce par la société de la mise à niveau ...de plusieurs de ses outils vis-à-vis des normes de certification logicielle couramment utilisées dans l’automobile. Ainsi l’outil d’analyse statique de code Coverity et le logiciel d’optimisation de test automatisé Test Advisor bénéficient désormais d’une certification ISO 26262 et CEI 61508 délivrée par l’organisme allemand TÜV SÜD pour leur utilisation dans des projets automobiles. Une obligation désormais pour les environnements déployés par les équipes de développement de logiciels embarqués dans des véhicules qui peuvent accueillir jusqu’à 100 millions de lignes de code pour les modèles haut de gamme... avec une connectivité vers le monde extérieur de plus en plus prégnante. D’où l’impératif de traiter sérieusement les problèmes de cybersécurité qui en découlent.

Pour rappel, l’ISO 26262, basé sur la norme plus générique CEI 61508, ciblent les problèmes de sûreté de fonctionnement d’un logiciel, et donc par ricochet la sécurité, en éliminant la probabilité d’apparition de bogues aléatoires, responsables de graves dysfonctionnements d’une application pouvant conduire à une mise en danger des personnes.

Au-delà du support de l’ISO 26262 et des recommandations de codage Misra, Synopsys collabore avec des constructeurs automobiles et des équipementiers pour établir de nouvelles normes, cette fois-ci franchement orientées sur les problèmes de cybersécurité. Pour amorcer le débat, l'éditeur américain propose d’ores et déjà un document en ligne qui analyse les exigences incontournables en matière de test logiciel pour assurer la sécurité tout au long du cycle de vie d’un logiciel pour l’automobile.

Parallèlement, Mike Ahmadi, directeur des systèmes de sécurité critiques chez Synopsys, vient de mettre en place avec plusieurs constructeurs automobiles un groupe de travail au sein de la SAE (Society of Automotive Engineers), baptisé Cybersecurity Assurance Testing Task Force (TEVEES18A1 dans la terminologie de la SAE). L’objectif ici est de créer un cadre cohérent au sein duquel tous les systèmes et composants logiciels, tout au long de la chaîne d'approvisionnement automobile, pourront être évalués par rapport à un ensemble de critères communs.

« L'industrie automobile, qui a déjà évolué pour disposer d'un haut niveau d’assurance qualité et de gestion de la supply chain au niveau des composants matériels embarqués dans les voitures (ECU, cartes électroniques…), doit maintenant faire la même chose pour le logiciel embarqué, notamment au niveau de la sécurité », indique Chris Rommel, vice-président exécutif de VDC Research. Un avis partagé par Andreas Kuehlmann, directeur du groupe Intégrité du logiciel de Synopsys : « L'industrie automobile qui se tourne vers la conception de systèmes logiciels complexes et interconnectés doit prendre en compte les risques des pratiques de développement de logiciels à faible niveau de sécurité, et la mauvaise gestion de la chaîne d'approvisionnement des logiciels. Une évolution dans laquelle l'atténuation de ces risques nécessitera à l’avenir une collaboration étroite de l'industrie automobile avec les éditeurs au niveau des méthodes et des outils de test à mettre en œuvre. »