Cybersécurité des systèmes automobiles

Entente sur le commerce : Accord sur le commerce intérieur (ACI)
Processus de demande des soumissions : Le soumissionnaire doit fournir des biens et/ou des services canadiens
Stratégie d'approvisionnement concurrentielle : 
Entente sur les revendications territoriales globales : Non
Nature des besoins : 

TITRE : CYBERSÉCURITÉ DES SYSTÈMES AUTOMOBILES

1 Objectif

Dans les véhicules automobiles, comme les voitures et les camions, l’informatique est omniprésente. Une voiture fabriquée en 2014 peut contenir jusqu’à 100 ordinateurs (modules de commande électronique [MCE]) qui exécutent 60 millions de lignes de codes et gèrent 145 actionneurs et 75 capteurs. Ces MCE échangent jusqu’à 25 Go de données par heure sur le bus de communications internes du véhicule, en général le bus CAN




 (ControllerArea Network). De plus, les véhicules automobiles sont interreliés plus que jamais auparavant au moyen de nombreuses in
terfaces de communications câblées et sans fil avec des éléments externes. Au cours des trois dernières années, la communauté des pi
rates informatiques a montré à plusieurs reprises qu’il est possible de 
co




mpromettre la cybersécurité des voitures. Des cyberattaques visant 
des technologies de l’information comme les ordinateurs personnels et les serveurs entraînent en général surtout des dommages immatériels comme la perte, la modification ou le vol d’information ou d’argent, ainsi que la perturbation des activités. Dans le cas des systèmes des véhicules, les cyberattaques sont plus préoccupantes, car la sécurité des passagers oud’autres usagers de la route pourrait être compromise.

La sécurité des véhicules automobiles doit être étudiée, et inclure la compréhension des vulnérabilités et l’examen des mesures d’atténuation possibles. Le premier besoin, la compréhensiondu problème, nécessite des outils e
t des méthodologies appropriées. Le second besoin, l’étude des mesures d’atténuation, implique la mise à l’essai des technologies existantes et
 l’étude des règlements et des directives à venir.

Les travaux exploiteront et pousseront plus loin un logiciel développé par RDDC Valcartier. Ce logiciel, appelé CANpy, utilise le logiciel en source ouverte SocketCAN (voir AD1 ci-dessous pour en savoir plus). CANpy est développé en langage Python et fonctionne sur Linux. Iloffre les fonctionnalités su



ivantes : enregistrement chronologique de données, interaction avec le bus (envoi de messages CAN 2.0A et 2.0B, réaction à un message), découverte des MCE et visualisation de messages (base). De plus, les messages CANpeuvent êtrefiltrés, et de nombreuses interfaces de connexion CAN peuvent être ouvertes en même temps. Par ailleurs, les éléments suivants sont pris en charge : le format des messages conformes 




aux protocoles ISO 14229, ISO TP/ISO 15765 et J1939, le message d’annonce général  et le module de connexion J1939. CANpy utilise en outre des dispositifs USB2CAN pour la connexion au bus CAN, et il peut fonctionner sur des dispositifs BeagleBone.

Le présent énoncé des travaux décrit les travaux à réaliser dans le cadre de cette étude.

Les travaux incluent une portion ferme et une portion à être réalisée sur demande, au moyen d'une autorisation de tâches (AT).

Partie ferme des travaux, Évaluer la cybersécurité des véhicules automobiles :L’entrepreneurdoit évaluer la cybersécurité des véhicu
les automobiles en mettant l’accent sur les éléments de communications intravéhiculaires. La portion ferme des travaux est divisée comme suit :
- Ca




ractériser un véhicule automobile
- Trouver des vulnérabilités etdes mesures de sécurité (option 1 de 2)
- Développer et démontrer des attaques (option 2 de 2)

Portion des travaux à être réalisée sur demande, au moyen d'une autorisation de tâches (AT) :
- Tâche 1, Caractériser un véhicule automobile 
- Tâche 2,Trouver des vulnérabilités et des mesures de sécurité 
- Tâche 3, Mettre au point et démontrer des attaques 
- Tâche 4, Effectuer des synthèses 
- Tâche 5, Déterminer des mesures d’atténuation possibles qui peuvent prévenirles attaques des vulnérabilités du véhicule 
- Tâche 6, Mettre à l’essai les mesures d’atténuation 
- Tâche 7, Développer un banc d’essai de certaines fonctions véhiculaires aux fins d’étude en laboratoire 
- Tâche 8, Élaborer des procédures d’essai et réaliser des essais sur le ter




rain 
- Tâche 9, Évaluer les normes et les protocoles de sécurité des véhicules 
- Tâche 10, Élaborer des procédures d’essais normalisés pour la cybersécurité 

2 Informations additionnelles :

L’organisation pour laquelle ces services sont rendus est Recherche et Développement pour la Défence Canada, Valcartier (RDDC Valcartier).

La période du contrat est de la date du contrat jusqu’au 31 mars 2020, inclusivement.
Pour la portion ferme des travaux: 
- Tous lesbiens livrables des travaux décrits à la section 5.1.1 de l’Énoncé des travaux doivent être reçus au plus tard le 31 mars 2016.
- Tous les biens livrables des travaux optionnels décrits aux sections 5.1.2 et 5.1.3 de l’Énoncé des travaux doivent reçus au plus tard 3 mois a




près l’exercice de chacune des options.


Les travaux sont divisés en deux portions, soit une portion ferme et 
une portion qui sera réalisée selon la demande, au moyen 
d’autorisations de tâches (AT).   

Le montant estimatif de financement disponible pour la portion ferme 
des travaux est $205,000.00, taxes applicables en sus. Le montant estimatif de financement disponible pour la portion des travaux ré
alisée selon la demande, au moyen d’AT est $620,000.00, ta
xesapplicables en sus.

Lecontrat ne comprend aucune obligation du Canada à faire exécuter la portion AT des travaux.

Le contrat avec autorisations de tâches (AT) est une méthode d'approvisionnement de services selon laquelle l'ensemble ou une po
rtion des travaux sont réalisés selon la demande. Dans le cadre de contrats avec AT, le travail à réaliser peut être défini, mais la na
ture et les échéances précises des services, des activités et des produits livrables requis ne sont connuesqu'au momentoù le service es
t demandé pendant la durée du contrat. L'AT est un outil administratif structuré grâce auquel la Couronne autorise un entrepreneur à effectuer les trav
au



x « selon la demande », conformément aux modalités du contrat. Les AT 
nesont pas des contrats individuels.

Le Canada a déterminé que tout droit de propriété intellectuelle découlant de l'exécution des travaux prévus par le contrat subséquent appartiendra au Canada.

Les travaux doivent être réalisés à Recherche et développement pour la défense Canada, Centre de recherches de Valcartier (2459, route de la Bravoure, Québec (Québec)  G3J 1X5, CANADA), car le ou les véhicules automobiles à étudier se trouvent à RDDC et ils sont nécessaires pour effectuer la plupart des travaux. Le véhicule doit resterà RDDC en raison des conditions de prêt à RDDC et du besoin des employés de RDDC d’accéder au véhicule de temps à autre. L’entrepreneur peut effectuer à l’endroit de s




on choix les tâches portant sur lalecture de documents, la rédaction 
de rapports, l’analyse de données ou l’évaluation des vulnérabilités 
sur les MCE individuels à réaliser à l’extérieur du véhicule et pour lesquelles il n’a pas besoin du véhicule ni de marchandises contrôlées.

Ce besoin comporte des exigences relatives à la sécurité.  Pour de plus 




amples renseignements, consulter la Partie 6, Exigences relatives à la sécurité, exigences financières et autres exigences, et la Partie 7, Clauses du contrat subséquent.  Les soumissionnaires devraient cons
ulter le document«Exigences de sécurité dans les demandes de soum
issions de TPSGC - Instructions pour les soumissionnaires » (http://www.tpsgc-pwgsc.gc.ca/app-acq/lc-pl/lc-pl-fra.html#a31) sur le site Web Documents uniformisés d'approvisionnement ministériels.

Les soumissionnaires doivent fournir une liste de noms ou tout autre documentation connexe, selon les besoins, conformément à l’article 01 des instructions uniformisées 2003. 

Pour les besoins de services, les soumissionnaires qui touchentune pension ou quiont reçu un paiement forfaitaire, doivent fournir les renseignements demandés, tel que décrit à l’article 3 de la Partie 2 de la deman
de

 de 

soumissions.

Ce besoin est assujetti aux dispositions de l'Accord sur le commerce intérieur (ACI).

Cebesoin est limité aux produits et(ou) services canadiens. 

Ce besoin est assujetti au Programme des marchandises contrôlées.
Date de livraison : Indiquée ci-dessus

L'État se réserve le droit de négocier les conditions de tout marché avec les fournisseurs.

Les documents peuvent être présentés dans l'une ou l'autre des langues officielles du Canada.