SNV
Histoire 9

Histoire SNV#9 : CertX

N’ayez pas peur des organismes de certification

Chez CertX, le maître-mot est la sécurité. Premier organisme de certification suisse en sécurité fonctionnelle et cybersécurité, CertX livre une contribution majeure à la fiabilité des produits et processus. Des normes de toutes sortes constituent le fondement de son travail et de la certification auprès de ses clients. Membre de la SNV, CertX s’engage avec détermination dans le développement des normes et il n’est donc pas étonnant que le travail de normalisation soit ancré dans les descriptions de poste des collaborateurs et constitue une exigence contraignante pour les cadres.

Automatisation, robotique, drones, véhicules autonomes : les sujets de discussion avec l’organisme de certification CertX à Fribourg ne manquaient pas. Avec le CEO Jens Henkner, nous avons choisi les thèmes de la cybersécurité opérationnelle, de la conduite autonome et électrique, de l’intelligence artificielle et, bien sûr, des normes.

Attaque de pirate sur une voiture ou un respirateur ?
La cybersécurité ne concerne pas seulement les attaques de pirates sur un système de messagerie, un serveur d’entreprises ou une base de données clients. Virtuellement tout ce qui est mis en réseau peut être piraté : des appareils médicaux au réseau électrique, en passant par des systèmes d’alarme domestiques et les réseaux de gaz. On parle dans ces cas de « cybersécurité opérationnelle ». Par exemple, une voiture achetée après 2017 est équipée par défaut d’une carte SIM, qui déclenche un appel automatique en cas d’urgence. C’est là une fonction modeste qui connecte le véhicule avec d’autres systèmes et la rend ainsi intéressante pour des pirates. En 2015, certains sont même parvenus à prendre à distance le contrôle d’une Chrysler Jeep Cherokee : le tout sans câble, à grande distance et avec un simple ordinateur portable. Le conducteur n’avait plus de contrôle sur le moteur, la direction ni les freins. Conséquence : des recours collectifs, des procès, des modifications de logiciels et le rappel de 1,4 million de Jeep Cherokee.

Un exemple récent est le piratage du plus grand oléoduc des États-Unis, lors duquel Colonial Pipeline a fini par payer des millions aux pirates – en dollars et en bitcoins – pour reprendre le contrôle de l’approvisionnement en essence. En vue d’éviter autant que possible de telles failles en matière de sécurité, les processus et les produits sont contrôlés et certifiés. « Il est judicieux de recourir à un organisme de certification à un stade précoce du développement d’un produit ou d’un service, car ce processus est un élément essentiel de la certification qui ne peut être corrigé a posteriori », explique Jens Henkner.

Pirater avec des intentions louables ?
Pour rendre la tâche aussi difficile que possible aux pirates aux sinistres intentions, les fabricants, les utilisateurs industriels et les consommateurs finaux doivent être conscients des failles de sécurité et respecter scrupuleusement les mesures de précaution. L’attaque ayant touché Chrysler était en réalité sciemment orchestrée par des pirates afin de souligner les failles patentes en matière de sécurité. Dans leur temps libre, les collaborateurs de CertX participent à ce que l’on appelle du « piratage éthique », afin de prévenir des dommages importants pour les consommateurs et les entreprises. Et Jens Henkner d’ajouter : « Une sécurité maximale est possible uniquement si tout le monde, des développeurs aux utilisateurs, conçoit et manipule correctement des appareils en réseau. La cybersécurité est nécessaire pour que les produits restent sûrs une fois sortis d’usine. Malheureusement, de nombreux acteurs s’en remettent encore au principe de Saint-Florian, à savoir ne pas résoudre la situation à risque, mais attendre que quelque chose se passe. »

Les erreurs sont-elles source d’enseignement ou bien des points noirs ?
« Dans l’aviation, les gens ont depuis longtemps l’habitude de partager leurs erreurs et d’en tirer des leçons ensemble ». La plupart des secteurs sont encore loin d’incarner sans réserve cette culture. Des discussions ouvertes sur les erreurs comme le pratique Boeing par exemple sont difficilement concevables dans le secteur automobile. Mais dans cette branche aussi, l’attitude vis-à-vis de la culture de l’erreur évolue. Jens Henkner est persuadé que les normes peuvent jouer un rôle décisif dans ce secteur. Il développe : « Les normes sont des expériences gravées dans le marbre, et en tant qu’ingénieur, je considère comme absurde d’inventer la roue une seconde fois ». CertX suit également ce principe. Dans sa collaboration quotidienne avec ses clients, l’entreprise se considère ainsi comme un partenaire compétent et non comme un organisme de contrôle caractérisé par une lourdeur bureaucratique. « Nous sommes le co-pilote. Nous passons en revue la liste de contrôle et posons les bonnes questions pour que les clients puissent trouver en autonomie les bonnes solutions. »

Impressions du CertX:

Véhicule test SwissMoves sur le site de blueFACTORY à Fribourg

Impressions du CertX:

Stand SwissMoves pour le contrôle à distance lors de la Journée de la mobilité de la Haute école d’ingénierie et d’architecture de Fribourg (HEIA-FR)

Impressions du Certx:

La navette autonome des TPF sur le site du Marly Innovation Center devant le bureau de CertX

Conduire ou être conduit, telle est la question.
Le moteur à combustion classique n’est plus le roi de la jungle routière. De plus en plus, les voitures électriques viennent peupler la faune des rues. Des mots-clés comme « conduite autonome » enflamment les débats quant à une conduite sûre. A en croire les visionnaires, le trafic routier va profondément changer ces prochaines années. Le fait est que l’industrie automobile se trouve aujourd’hui face à des défis totalement différents de ceux d’il y a quelques années. Produire des véhicules thermiques ou électriques sont deux disciplines totalement différentes. Si l’on fait par exemple disparaître soudainement l’embrayage et donc la commande manuelle permettant d’interrompre la propulsion, les constructeurs feront face à des contrôles d’un genre nouveau exigeant des commandes fonctionnelles sûres. De nouvelles pièces du puzzle comme les stations de recharge ou des batteries plus performantes font leur apparition au rang des problématiques. Aujourd’hui, par exemple, il y a davantage de véhicules électriques endommagés par un incendie que par des problèmes avec les assistants de conduite. Jens Henkner a une conviction : « Les normes sont également utiles dans un environnement aussi innovant, car elles servent de pratiques d’excellence et de guide dans le développement ». « La sensibilisation et la formation des collaborateurs jouent un rôle essentiel dans cette réussite. Nous sommes donc fiers d’avoir eu, avant la pandémie, le plus grand nombre de collaborateurs dans le monde au sein de la branche automobile formés au domaine de la normalisation. »

Et que pense Jens Henkner de la conduite autonome ? Il y voit un grand potentiel pour la conduite sur autoroute, mais il ne peut pas imaginer la conduite autonome dans le trafic urbain dans un avenir proche en raison de sa complexité. CertX est convaincue que l’avenir appartient au transport multimodal et s’engage donc dans le projet de recherche SwissMoves de la Haute école de gestion de Fribourg, où il apporte ses connaissances en matière de certification dans le domaine de la sécurité fonctionnelle et de la cybersécurité.

Quid de l’intelligence artificielle ?
De nos jours, de nombreuses applications s’appuient sur l’intelligence artificielle, notamment dans la reconnaissance d’images dans divers secteurs de l’automatisation. La difficulté est qu’après leur développement, les réseaux neuronaux se muent en zones d’ombre dont la vérification est complexe. Dans ce cas, il est d’autant plus important de procéder en fonction du processus et d’effectuer la certification en conséquence. Si par exemple les conducteurs commettent des erreurs, celles-ci seront toujours attribuées à la personne en tant que défaillance humaine et non pas considérées comme une erreur commise par le système. L’intelligence artificielle doit désormais prouver qu’elle fonctionne de manière plus sûre que l’être humain, qu’elle ne dépasse pas les taux d’erreurs humaines actuels et qu’aucune erreur systématique ne se produit. Une preuve pratique exige une vaste batterie de tests, ce qui est quasiment irréalisable dans les cycles de développement actuels. De plus, les normes dans ce domaine font encore largement défaut. « Tout l’art ne réside plus dans le résultat final, mais dans la régulation optimale du processus de développement afin d’atteindre ce que l’on nomme un ‹niveau de sécurité équivalent›. Des facteurs comme le principe du double contrôle, une documentation complète, une base de données ordonnée, des tests numérisés, etc. jouent un rôle crucial dans l’évaluation de la sécurité des réseaux neuronaux. La grande difficulté consiste à intégrer des systèmes agiles dans des normes codifiées. Une situation qui crée des frictions entre les acteurs du processus de normalisation, que je considère comme très utiles, car elles conduisent in fine à de bons résultats », souligne Jens Henkner.

L’organisme de certification : rabat-joie ou partenaire ?
La réponse de CertX est plus qu’univoque. En tant que premier organisme de certification suisse en sécurité fonctionnelle et cybersécurité, il se considère clairement comme un partenaire. « Nos connaissances en matière de normalisation aident nos clients à mettre leurs processus sur la voie du plus grand succès possible dès le départ, à éviter les erreurs de développement, à gagner ainsi du temps et à réaliser des économies. Dans la mesure où nous intégrons nos connaissances pratiques au travail de normalisation de la SNV, il en résulte un cycle qui rend les normes pragmatiques et un processus de développement prometteur. N’ayez pas peur des normes, profitez des connaissances que nous avons accumulées dans les règles et nos esprits. »

CertX
CertX a été fondée en 2018 et c’est le premier organisme de certification suisse de sécurité fonctionnelle et de cybersécurité, accrédité par le Service d’accréditation suisse (SAS). Les cinq collaborateurs accordent une importance particulière à un haut niveau d’impartialité, d’objectivité et de crédibilité. Outre l’application des normes actuelles, CertX contribue à la création des futurs standards. L’organisme est le délégué suisse pour la norme ISO 21448 (SOTIF – Safety of the Intended Function pour les véhicules autonomes) et membre du comité technique TC65 « Industrial process measurement, control and automation » pour les normes CEI 61508 et CEI 62443. CertX est intégrée au sein d’un réseau de partenaires dense et innovant.

Dr Jens Henkner
Jens Henkner a étudié l’ingénierie aérospatiale à l’université technique de Munich et a obtenu son doctorat auprès de la chaire de mécanique du vol en 1999. Il a commencé sa carrière professionnelle auprès de Fairchild Dornier en dirigeant l’équipe de développement de la physique du vol de l’appareil Dornier 728. Ingénieur en chef, il s’est vu confier la responsabilité du développement global de cet avion de ligne pouvant accueillir 70 passagers. En 2003, il rejoint Airbus avant de devenir rapidement vice-président et ingénieur en chef de la partie allemande du programme A330/340, dans le cadre duquel il était notamment responsable de la sécurité de la flotte navigante. Il a également travaillé pour Suzlon, un OEM indien spécialisé dans les installations éoliennes, où il était directeur de la filiale allemande Suzlon GmbH. En qualité de directeur technologique, il dirigeait les équipes de développement en Inde, en Allemagne, aux Pays-Bas et au Danemark. En 2018, il fonde CertX et en devient CEO. Jens Henkner a 55 ans, il vit avec sa femme et son fils à Fribourg, et il aime passer son temps libre en montagne.