L'accès aux informations sur les véhicules relatives à la sécurité et au vol ainsi qu'au RMI (informations sur la réparation et la maintenance des véhicules) doit être garanti pour les ateliers de réparation automobile indépendants. SERMA crée la condition préalable, les mesures de cybersécurité viennent s'y ajouter.
En matière d’infrastructure informatique des entreprises, l'administrateur système se réserve les "droits maîtres" et les mécanismes de protection correspondants. Aucun autre collaborateur ne peut ajouter un nouveau matériel, accéder à des données sensibles, installer un logiciel ou effectuer une mise à jour. Il y a de bonnes raisons à cela. Le réseau, tout ordinateur, doivent être protégés contre les logiciels malveillants, contre les dysfonctionnements ou même contre les attaques de tiers non autorisées. Les véhicules automobiles actuels disposent également d'innombrables petits ordinateurs, comme les calculateurs, qui remplissent des tâches individuelles, parfois très complexes. Et en plus ils sont en réseau, ils communiquent entre eux, les véhicules collectent des données sensibles. Or, les ateliers de réparation automobile indépendants ont besoin d'informations techniques de base et de droits d'accès pour pouvoir exercer leur activité.
Un professionnel de la maintenance automobile en atelier peut tout à fait être comparé à un administrateur système. S'il s'agit au quotidien de problèmes mécaniques, de transmission, d'embrayage, de freins, qui sont résolus par des mécatronicien(ne)s qualifié(e)s, l'"initialisation" ou la "réinitialisation" du matériel, des logiciels en général ainsi que la protection d'accès occupent de plus en plus le devant de la scène. En principe, selon le règlement UE 2018/858, les constructeurs automobiles doivent permettre aux ateliers de réparation automobile indépendants d'accéder à toutes les données et fonctions pertinentes afin de pouvoir assurer la maintenance et la réparation d’un véhicule de manière appropriée. Les mises à jour logicielles en font partie. Il ne doit pas y avoir de désavantage concurrentiel entre les ateliers indépendants et les concessionnaires.
Toutefois, afin que seules les personnes autorisées et qualifiées aient un accès protégé aux données correspondantes relatives à la sécurité et au vol, l'accès aux informations sur la réparation et la maintenance (RMI, Repair and Maintenance-Information) via les portails des constructeurs est bloqué depuis le 01.04.2024. Afin d'avoir tout de même accès aux données correspondantes après s’être connecté, il faut en plus avoir un certificat électronique SERMA personnalisé. Les moyens de parvenir à une solution d'accès standardisée ont été discutés pendant très longtemps. SERMA offre désormais une telle solution.
En Suède, le règlement est déjà en vigueur depuis le 1er octobre 2023. Et au Danemark, en Finlande et en Norvège depuis le 1er février 2024. La date de lancement pour la Belgique, l'Allemagne, le Luxembourg, les Pays-Bas, l'Autriche, le Portugal et l'Espagne a eu lieu le 1er avril. D'autres pays de l'UE n'ont pas entamé la procédure SERMI avant le 1er juin 2024 ou le 1er août 2024.
SERMA (Secure Repair and Maintenance Authorization) est l'organisme d'évaluation de la conformité. Il s'agit d'un système d'accréditation harmonisé à l'échelle européenne, aidant les acteurs indépendants du marché à entretenir et à réparer les véhicules en toute sécurité. Il en va de même si les caractéristiques de sécurité du véhicule sont impactées (par exemple par des mises à jour logicielles). Le SERMI (Secure Repair and Maintenance Information) est en quelque sorte l'institution paneuropéenne qui a été créée pour poursuivre le développement, l'exploitation et la maintenance du système et du processus. Les deux acronymes SERMA et SERMI sont généralement utilisées comme synonymes.
SERMA concerne les ateliers de réparation automobile indépendants travaillant avec le diagnostic d'origine du constructeur, les entreprises offrant un service de télédiagnostic (Remote Service) et les ateliers agréés réparant d'autres marques de véhicules. Mais SERMA présente également un intérêt et une importance pour les fabricants ou les revendeurs d'équipements d'atelier, d'outils ou de pièces de rechange, pour les éditeurs d'informations techniques ou de services de dépannage, pour les fournisseurs de services d'inspection et d'essai, ainsi que pour les établissements de formation de base et de formation complémentaire. À propos : les entreprises procédant à des réglages (tuning), tels que des modifications de la puissance nominale du moteur ou du comportement en matière d'émissions, ne reçoivent pas l'agrément SERMA conformément à la réglementation de l'UE.
Le certificat électronique peut être obtenu par les entreprises du secteur automobile/des véhicules utilitaires ou par les mécatronicien(ne)s automobiles après avoir introduit une demande en ligne, par exemple via le portail de demande de SERMA (https://register.serma.eu). Il existe également d'autres prestataires de services certifiés, tels que KIWA ou le Global Network Group TIC, par le biais desquels une demande peut être faite. Dans tous les cas, un extrait du registre du commerce, une preuve de l'assurance responsabilité civile de l'entreprise et les certificats de bonne vie et mœurs en vigueur de chaque employé(e) sont nécessaires. L'organisme d'évaluation de la conformité SERMA a alors pour mission d'examiner la demande d'agrément et d'autorisation de vos collaborateurs/collaboratrices.
Si le résultat du contrôle est positif, SERMA accorde l'autorisation d'accès à ces informations de réparation et de maintenance (RMI) relatives au vol et à la sécurité. Les collaborateurs/collaboratrices autorisé(e)s reçoivent un certificat électronique personnalisé directement sur leur smartphone via une appli (application Digidentity-Wallet-App). Le certificat est valable cinq ans. La procédure de contrôle est conforme au schéma SERMI à l'échelle de l'UE et au règlement (UE) 2018/858 relatif à la réception par type.
À partir de juillet 2024, la directive de l’Union européenne ECE R155 (cybersécurité) s'appliquera également à tous les véhicules nouvellement produits. Les constructeurs sont ainsi tenus de protéger leurs véhicules contre les risques de sécurité tout au long de leur cycle de vie par le biais d’un système de gestion de la cybersécurité (CSMS). Les passerelles de cybersécurité des constructeurs, qui bloquent tout accès généralisé de l'extérieur aux calculateurs, garantissent notamment cette protection.
Avec le certificat SERMA en poche, l’atelier a l'autorisation d'accéder aux données relatives à la sécurité et au vol via le portail du constructeur. Est-ce que cela règle aussi la question de la passerelle de cybersécurité ? Non, selon les experts de Hella Gutmann. Les deux barrières de sécurité doivent être considérées séparément. C'est pourquoi la fonction "Gestion de la cybersécurité" (CSM), gratuite pour les ateliers, a été spécialement intégrée dans le logiciel des testeurs de diagnostic de la série mega macs. Cette fonction permet aussi de communiquer avec des véhicules sécurisés via une passerelle de sécurité. Pour les éventuels cas de déblocage de composants, Hella Gutmann tient à disposition ce que l'on appelle le "Remote Service » (service à distance). Si l'on veut, on dispose donc, pour ainsi dire. de tous les droits d'administrateur avec le certificat SERMA et la fonction CSM.
La transparence et la sécurité sont au cœur des préoccupations, notamment parce que de nombreux constructeurs automobiles proposent également des mises à jour "over the air" ou l'activation en ligne de fonctions supplémentaires (ou en ont fait leur modèle commercial). Les ateliers de réparation automobile effectuent eux aussi de plus en plus souvent des mises à jour ou des mises à niveau de cette manière pour leur clientèle.
La transmission des données se fait par le réseau de téléphonie mobile ou par le réseau WLAN. Les deux ne sont pas toujours disponibles de manière stable, il arrive que les mises à jour soient interrompues. Pour éviter les erreurs, l'intégrité des données doit donc être garantie. C'est ce qu'indique la directive UE R156 (mises à jour logicielles), qui s'appliquera également à tous les véhicules neufs vendus à partir de juillet 2024. Selon la directive, le constructeur automobile doit en tout état de cause veiller à ce que l'installation du logiciel soit sûre et à empêcher toute manipulation et tout accès non autorisés. De plus, tout utilisateur d’un véhicule doit être clairement informé à l'avance. La règle d’or : seules les mises à jour autorisées peuvent être installées !