TISAX® – Sécurité de l’information dans le secteur automobile

Dans un environnement extrêmement innovant dont la réussite dépend de multiples acteurs, l’échange sécurisé d’informations est essentiel. L’industrie automobile exige une approche « écosystémique » de la sécurité des informations au sein de ses chaînes d’approvisionnement longues et complexes.

À l’ère du numérique, les besoins en matière de sécurité de l’information ne se limitent pas aux fournisseurs automobiles, mais s’étendent aux sociétés de marketing et aux autres parties concernées. Le besoin principal est de protéger :

• les projets ou les informations de conception, les prototypes ou les plans secrets d’investissement,
• les big data et les données de processus, liées aux nouveaux concepts de numérisation, au développement des voitures autonomes,
• les interconnexions au sein du réseau de la chaîne d’approvisionnement,
• et les données personnelles des clients.

Qu’est-ce que TISAX

TISAX (Trusted Information Security Assessment eXchange) est une norme mondiale de sécurité de l’information pour l’industrie automobile. Il s’agit d’une approche de l’évaluation de la sécurité de l’information basée sur la maturité, qui répond aux besoins de l’industrie automobile.  Principalement applicable aux fournisseurs de premier et deuxième rangs, mais extensible à des chaînes d’approvisionnement plus complexes, l’évaluation est une exigence de certains OEM.

L’objectif de ce système est de :

• établir un niveau commun de sécurité pour l’industrie automobile
• assurer une reconnaissance commune des évaluations afin de réduire les coûts, les efforts et la complexité pour les constructeurs et les fournisseurs
• assurer la comparabilité et la qualité des évaluations
• échanger les meilleures pratiques et les leçons apprises
• laisser chaque participant décider à qui les résultats seront révélés et quel sera le degré de détail.

TISAX combine les anciennes règles de sécurité de l’information (ISA) du Verband der Automobilindustrie (VDA) allemand avec l’annexe A (contrôles techniques) d’ISO/IEC 27001 ainsi que certaines exigences en matière de confidentialité.

TISAX® vs ISO/IEC 27001

TISAX s’appuie sur les éléments clés de la norme ISO/IEC 27001 relative aux systèmes de gestion de la sécurité de l’information, en se concentrant sur les éléments spécifiquement adaptés au contexte de l’industrie automobile.

Les principales différences sont les suivantes :

ISO/IEC 27001	TISAX
Norme de système de management	Couvre les processus et les éléments de sécurité de l’information pertinents pour les partenaires de l’industrie automobile.
Méthodologie On/Off	Méthodologie par niveau de maturité
Champ d’application défini avant la certification	Le champ d’application est fixe
Analyse des risques au niveau de l’entreprise	Analyse des risques basée sur le groupe de travail VDA-ISA
L’organisme de certification délivre un certificat	TISAX délivre un label et un enregistrement d’échange
Audit périodique et re-certification après 3 ans	Validité de 3 ans, pas d’audits périodiques

Avantages des évaluations

Au-delà d’une exigence de passeport commercial de la part de certains fabricants, les évaluations TISAX contribuent à renforcer la confiance dans la chaîne d’approvisionnement. Les fournisseurs participants peuvent bénéficier des avantages suivants :

• Être reconnus par les constructeurs automobiles ;
• Prévenir les violations de la sécurité de l’information et les cyber-attaques ;
• Gagner la confiance des clients ;
• Identifier et traiter les risques ;
• Obtenir la reconnaissance de leurs processus de sécurité de l’information ;
• Partager les résultats de l’évaluation via l’échange ENX.

Pour commencer

Les entreprises qui participent au programme doivent s’inscrire auprès d’ENX en tant que participant.

Le processus se déroule par étapes :

• Attention

Apprenez à connaître les exigences TISAX.

• Préparation

Inscrivez-vous sur le portail TISAX, sélectionnez votre organisme d’audit accrédité et préparez-vous à l’audit. Cela inclut une auto-évaluation pour mesurer votre conformité et votre état de préparation.

• Évaluation

La façon dont l’audit est réalisé dépend de votre qualification pour un audit à distance (niveau 2) ou physique (niveau 3). L’audit proprement dit consiste en des entretiens, un examen des documents, une clarification des résultats éventuels et des prochaines étapes.

• Plan d’action correctif et suivi

Préparez un plan d’action correctif (PAC) pour combler les lacunes constatées et soumettez-le au fournisseur de l’audit. Le PAC est évalué par un suivi (ou plus, si nécessaire) et complète le rapport TISAX.

• Échange des résultats

Le prestataire d’audit télécharge le rapport TISAX sur la plateforme. L’entreprise auditée décide avec qui les résultats doivent être partagés. ENX délivre les étiquettes TISAX à l’entreprise auditée.

DNV est un prestataire d’assurance approuvé par l’Association ENX. Grâce à notre réseau de bureaux et d’auditeurs locaux, nous pouvons fournir des évaluations TISAX à l’échelle mondiale.

ENX maintient les critères du fournisseur d’audit et les exigences d’évaluation (TISAX ACAR). Il approuve les prestataires d’audit et contrôle la qualité de la mise en œuvre ainsi que les résultats des évaluations. ENX est soutenu par le comité TISAX, composé de représentants de fabricants, de fournisseurs et d’associations.