Categories:

TISAX, Trusted Information Security Assessment Exchange, est la certification standard de l’industrie automobile qui comprend trois niveaux. Dans l’article suivant, vous apprendrez ce qu’est Tisax, pourquoi vous devriez obtenir la certification, à qui s’applique TISAX, le processus, les niveaux et une approche de la sécurité centrée sur les données en identifiant et en minimisant les risques de cybersécurité sur les informations.

L’industrie automobile est un secteur hautement compétitif et collaboratif où des informations confidentielles sont continuellement échangées entre les clients et les fournisseurs appartenant à la chaîne d’approvisionnement. L’Association automobile allemande (VDA) a entrepris de normaliser les exigences en matière de sécurité de l’information dans l’environnement d’automatisation entre différents partenaires par le biais d’un questionnaire de sécurité (ISA) qui a finalement débouché sur TISAX®. Dans les sections suivantes, nous décrivons comment une approche de la sécurité centrée sur les données peut contribuer à renforcer la sécurité dans l’échange d’informations sensibles dans ce secteur et à obtenir des niveaux plus élevés d’évaluation TISAX®.

TABLE DES MATIÈRES

 

QU’EST CE QUE TISAX®?

Le secteur automobile est particulièrement actif en Europe en ce qui concerne la création de partenariats dans le but, entre autres, d’affiner et de définir des normes adaptées à ses besoins spécifiques. L’un d’entre eux est l’association allemande de l’industrie automobile (VDA). TISAX® (Trusted Information Security Assessment Exchange) est une norme de sécurité de l’information développée spécifiquement pour le secteur automobile et les exigences de cette indus.

TISAX® permet de réduire efficacement les efforts pour établir et contrôler les exigences de sécurité de l’information dans le domaine de l’échange d’informations sensibles entre les entreprises clientes et les fournisseurs de l’industrie automobile. TISAX® est une marque déposée de l’association ENX, composée de fabricants et de fournisseurs du secteur automobile européen. ENX agit en tant qu’organisation de gouvernance dans le cadre de TISAX® : approuve les fournisseurs d’audits et supervise la qualité de la mise en œuvre ainsi que les résultats des évaluations. TISAX® est basé sur le questionnaire ISA (Information Security Assessment) de la VDA.

POURQUOI TISAX®?

Imaginez deux entreprises du secteur automobile qui coopèrent l’une avec l’autre en tant que client et fournisseur. Ces entreprises échangent des informations confidentielles et veulent s’assurer que ces informations sont protégées de manière adéquate. Comment peuvent-elles savoir que, outre la signature de certains accords de confidentialité (NDA : Non-Disclosure Agreements), leur documentation est gérée en toute sécurité?. In this case, the questions arise: What is secure? How to demonstrate that the information is managed securely? Dans ce cas, les questions se posent : Qu’est-ce qui est sécurisé ? Comment démontrer que les informations sont gérées de manière sécurisée ? Certaines entreprises, pour évaluer la maturité de la gestion de la sécurité de l’information, ont demandé des questionnaires d’évaluation à leurs fournisseurs, d’autres des audits sur site.

Les entreprises du VDA appliquaient différentes normes de sécurité et avaient des avis divergents sur leur interprétation. Au lieu de créer des processus et des solutions individuelles à ce problème, l’ISA a proposé la création d’une norme qui, bien qu’elle implique un effort supplémentaire, apporte une efficacité face à une réutilisation ultérieure par des entreprises ayant le même problème. De cette façon, le rapport d’un auditeur pourrait être réutilisé pour différents partenaires commerciaux. La réponse à la question de savoir ce qui est sûr et comment démontrer que les informations sont gérées en toute sécurité dans le secteur automobile est donnée par TISAX®.

À QUI S’APPLIQUE TISAX®?

TISAX® s’applique aux entreprises qui souhaitent opérer avec succès dans l’industrie automobile en tant que partenaire ou fournisseur des constructeurs automobiles. Être certifié en TISAX® n’est pas quelque chose d’obligatoire dans le domaine juridique, mais la vérité est que sans démontrer sa conformité en TISAX®, il est pratiquement impossible de travailler avec l’un des principaux constructeurs. Par exemple, un client peut déterminer qu’un fournisseur est « pertinent pour TISAX® » lorsqu’il travaille avec ses données sensibles, ou a accès à ses systèmes d’information, ou reçoit des dessins avec de la propriété intellectuelle, etc.

Un autre fournisseur peut être pertinent pour TISAX® de la part du client s’il travaille avec des prototypes ou avec des données personnelles du client en question. TISAX® ® peut avoir un double aspect pour une entreprise. En tant que fabricant, demander une évaluation TISAX® à ses fournisseurs. Ou en tant que fournisseur, pour partager son niveau de conformité avec un client pour lequel il travaille.

RAPPORT ENTRE L’ISO 27001 ET L’EU-GDPR

La norme ISO 27001 est une norme internationale publiée par l’Organisation internationale de normalisation (ISO) et décrit comment gérer la sécurité de l’information dans une entreprise. Elle peut être mise en œuvre dans tout type d’organisation, privée ou publique, grande ou petite. TISAX® a été créé sur la base de la norme ISO 27001 et, en ce qui concerne les exigences de sécurité de l’information, elles sont pratiquement identiques.

En outre, TISAX® couvre d’autres domaines tels que la protection des prototypes et la protection des données, cette dernière étant liée au règlement européen sur la protection des données (EU-GDPR), où il existe des exigences dans le domaine de la protection des données personnelles dérivées de l’EU-GDPR. TISAX® est une adaptation de la norme ISO 27001 pour le secteur automobile, et ses exigences coïncident largement avec celles de la norme ISO 27001.

Toutefois, en fonction du niveau TISAX® auquel vous aspirez, il peut être nécessaire de satisfaire à des exigences supplémentaires, par exemple dans le domaine de la protection des prototypes ou de la protection des données. Contrairement à un audit ISO 27001, TISAX® est une auto-évaluation, bien qu’en fonction du niveau à atteindre, il sera nécessaire de faire appel à un auditeur externe accrédité indépendamment par ENX.

LE PROCESSUS TISAX®

En général, le processus commence lorsqu’un client potentiel demande à tester un certain niveau défini de gestion de la sécurité de l’information, selon la VDA-ISA. Pour mener à bien le processus, vous devez suivre les étapes suivantes:

  • 1. Enregistrement dans TISAX®: Donner les informations sur l’entreprise et les données pour l’évaluation.
  • 2. Evaluation: Effectuer l’évaluation ou les évaluations, de manière autonome ou par l’un des prestataires d’audit TISAX® validés par ENX.
  • 3. Échange: Partagez le résultat de l’évaluation avec vos partenaires commerciaux.

CHAMP D’APPLICATION DE L’ÉVALUATION TISAX® ET NIVEAUX

Pour réaliser l’évaluation de la sécurité de l’information, qu’il s’agisse d’une auto-évaluation ou d’une évaluation par un auditeur, vous devez commencer quelque part et finir quelque part. Il s’agit de la portée. Il existe différents types de périmètre : standard et sur mesure (étendu sur mesure, réduit sur mesure). La définition du champ d’application standard est prédéfinie, et vous n’avez pas besoin de penser à une définition propre.

Le champ d’application standard couvre tous les processus et ressources impliqués dans les sièges sociaux (par exemple, bureaux, usines de production, centres de développement, centres de données) soumis à des exigences de sécurité. Les processus et ressources concernés (par exemple, les équipes de travail, les employés, les systèmes informatiques, les services cloud, les plateformes, les sièges physiques, les prestataires concernés, etc.) comprennent la collecte d’informations, le stockage d’informations et le traitement d’informations.

Il y a huit objectifs d’évaluation TISAX® dans le champ d’application et au moins un doit être sélectionné.

Objectifs de TISAX®
1.      Informations nécessitant une protection élevée
2.      Informations nécessitant une très haute protection
3.      Protection des pièces et composants des prototypes
4.      Protection des véhicules prototypes
5.      Manipulation des véhicules d’essai
6.      Protection des prototypes lors d’événements et de tournages ou de séances de photos
7.      Protection des données
8.      Protection des données avec des catégories spéciales de données personnelles

Les objectifs d’évaluation et les « Labels TISAX® » sont à peu près les mêmes. Si l’évaluation de certains objectifs est réussie, les « Labels TISAX® » correspondants sont obtenus. Plus les besoins de protection sont importants, plus le partenaire aura intérêt à s’assurer qu’il est sûr de le laisser manipuler ses informations.

TISAX® distingue trois « niveaux d’évaluation » (AL). Un niveau d’évaluation plus élevé se traduit par une plus grande intensité d’évaluation et l’utilisation des méthodes d’audit nécessaires. Ils reflètent l’un des trois différents niveaux de protection : Niveau 1 (normal), Niveau 2 (élevé) et Niveau 3 (très élevé):

  • Niveau 1 (AL 1): Les évaluations de ce niveau sont principalement destinées à des fins internes. Aucune preuve n’est requise. Elles ont un faible niveau de confiance et ne sont pas utilisées dans TISAX®, mais votre partenaire peut exiger cette évaluation en dehors de TISAX®.
  • Niveau 2 (AL 2): L’auditeur demande des preuves de l’auto-évaluation, en menant des entretiens par vidéoconférence.
  • Niveau 3 (AL 3): Exige des vérifications plus approfondies avec une inspection sur place et des entretiens en personne.

Tags:

Comments are closed