Developing effective security standards for cyber-physical systems : managing cyber security risk in the connected and automated vehicle ecosystem
Date
Authors
Contributor(s)
Advisor(s)
Published in
Conference Date
Conference Place
Publisher
Degree Level
Discipline
Affiliation
Keywords
- Cyber security
- Standards
- Normes
- Véhicules connectés et automatisés
- Théorie des systèmes
- Gestion du risque
- Résilience
- Normalisation
- Systèmes cyber-physiques
- Systèmes sociotechniques
- Sûreté
- Connected and automated vehicles
- Systems theory
- Risk management
- Standardization
- Cyber-physical systems
- Sociotechnical systems
- Safety
- Cybersécurité
Funding organization(s)
Abstract
L’évolution rapide des innovations technologiques dans la mobilité du transport routier met en évidence une dualité: d’une part, ces technologies offrent des avantages substantiels pour l’économie, l’environnement et la population, mais d’autre part, elles ouvrent la voie à de nouvelles vulnérabilités. L’écosystème des véhicules connectés et automatisés (VCA) est composé de systèmes critiques qui, s’ils n’étaient pas en mesure de fonctionner dans leurs conditions normales, pourraient avoir un impact significatif sur la sécurité routière. Il se situe à l’intersection des environnements physique et cyber, signifiant qu’un cyber-incident – par exemple une cyberattaque – pourrait entraîner, dans le monde physique, des conséquences aussi tragiques que des lésions corporelles et des pertes de vies humaines. Cela introduit de nouveaux défis devant être abordés par diverses disciplines. Or, la littérature sur la gestion des risques de cybersécurité des VCA est limitée et se concentre souvent sur les aspects techniques, au détriment de la nature sociotechnique de ces systèmes. Les normes sont fréquemment présentées comme des instruments de gouvernance, mais leur rôle dans la gestion des risques de cybersécurité, en particulier dans les contextes cyber-physiques, demeure peu étudié. Cette thèse cherche à comprendre, dans une perspective de théorie des systèmes, comment les normes contribuent à la gestion des risques de cybersécurité au sein de l’écosystème des VCA. Plus précisément, nous en savons encore peu sur leur fonctionnement en pratique et sur comment elles peuvent être mobilisées dans le cadre d’une stratégie de gouvernance de la cybersécurité. Les connaissances demeurent également limitées concernant les experts et praticiens qui les élaborent, ainsi que les dimensions sociales de la normalisation qui font des normes plus que de simples documents statiques. Pour combler ces lacunes, cette recherche offre un accès rare aux réelles pratiques de la normalisation en s’appuyant sur des entretiens qualitatifs menés auprès de 22 experts directement impliqués dans l’élaboration et la mise en œuvre de normes de cybersécurité pour les VCA. Les résultats indiquent que les apports des experts et leur façon de concevoir les normes sont au cœur de la normalisation. Les dynamiques internes telles que la concertation, les frictions, les stratégies d’influence et les jeux politiques entre acteurs dominants influencent le contenu des normes et, par conséquent, la manière dont le risque de cybersécurité est géré dans l’ensemble du secteur automobile. Leur adoption et mise en œuvre par les acteurs industriels sont des processus complexes et multifactoriels, façonnés par des priorités stratégiques et réalités organisationnelles. Enfin, nous constatons que les normes et la réglementation co-évoluent et que les acteurs l’exploitent de manière stratégique pour orienter les exigences techniques et la couverture juridictionnelle vers des régimes de conformité moins contraignants. Les principales contributions de cette thèse sont les suivantes: mettre en dialogue des champs disciplinaires rarement étudiés ensemble; améliorer la compréhension du rôle des normes dans la gestion des risques de cybersécurité des systèmes cyber-physiques; faire progresser la théorie en mobilisant une approche systémique à la normalisation; et montrer que les normes fonctionnent comme des outils sociotechniques qui facilitent et contraignent la gestion des risques dans les VCA. Sur les plans des politiques publiques et de la pratique, elle propose des mesures visant à renforcer les conditions institutionnelles et sociales qui rendent les normes plus efficaces. En somme, cette thèse montre que les normes sont plus que de simples modèles et qu’elles peuvent être utilisées comme des instruments de gouvernance adaptés au contexte, dont la valeur dépend des milieux et des pratiques par lesquels elles sont élaborées et mises en œuvre.
The fast-evolving technology innovations in road transportation mobility bring forth a duality: on the one hand, they enable substantial advantages to the economy, the environment, and the population, but they also open the way to new vulnerabilities. The connected and automated vehicles (CAVs) ecosystem is indeed composed of critical systems that, if they were not able to operate under their normal conditions, could significantly impact road safety. It lies at the intersection of the physical and cyber environments, meaning that a cyber incident – for example, a cyberattack – could lead to consequences as tragic as bodily harm and loss of life, in the physical world. This introduces new challenges that need to be tackled by various disciplines; however, literature on cyber security risk management in CAVs is limited and tends to concentrate solely on technical aspects, neglecting the fact that it is a sociotechnical system. Standards are often recognized as tools of governance, but they remain an understudied dimension of cyber security risk management, especially in cyber-physical settings. This thesis aims to understand, from a systems theoretical perspective, how standards contribute to cyber security risk management within the CAVs ecosystem. Specifically, there is limited knowledge about how they operate in practice and how they can be leveraged as part of a cyber security governance strategy. We also lack significant insight into the experts and practitioners involved in their development, as well as the social dimensions of standardization that transform standards into more than just static documents. To address these gaps, this research offers rare access to actual standardization practices: it is based on qualitative interviews with 22 experts directly involved in the development and implementation of cyber security standards for connected and automated vehicles. The results reveal that experts’ contributions and their understanding of standards are integral to standardization. Internal dynamics such as consensus-building, frictions, influence strategies, and politics among agenda-setting and powerful actors can influence the content of a standard and, consequently, how cyber security risk is managed across the automotive industry. Adoption and implementation of standards by industry stakeholders are layered processes influenced by various strategic priorities and organizational conditions. Lastly, we discover that standards and regulations co-evolve and that actors leverage regulations strategically to steer technical provisions and jurisdictional coverage toward less burdensome compliance. The main contributions of this thesis are: to connect academic fields rarely studied together, to improve understanding of the role of standards in managing cyber security risks in cyber-physical systems, to extend theory by applying a systems approach to standardization, and to show how standards act as sociotechnical tools that both enable and constrain risk management in connected and automated vehicles. At the policy and practice levels, it recommends measures to enhance the institutional and social conditions that make standards more effective. In summary, this thesis demonstrates that standards are more than mere templates, and that they can be utilized as context-specific tools of governance, whose value depends on the settings and practices through which they are developed and put into practice.