Comprendre le référentiel TISAX
Renforcez la sécurité de l’information dans l’industrie automobile
TISAX représente un référentiel pour la sécurité de l’information dans l‘industrie automobile. Il offre une méthode d’évaluation de la sécurité de l’information basée sur la maturité, spécifiquement conçue pour répondre aux exigences du secteur automobile.
Pour obtenir le label TISAX, vous devez répondre aux exigences sur la sécurité de l’information en plus d’intégrer les contrôles opérationnels sur la gestion des prototypes et la protection des données.
Qu’est-ce que le référentiel TISAX ?
Principe du référentiel TISAX
Le TISAX (Trusted Information Security Assessment Exchange) forme un cadre d’évaluation de la sécurité de l’information spécifique à l’industrie automobile.
Les principes clés du label TISAX sont les suivants :
Uniformisation
TISAX vise à standardiser les évaluations de la sécurité de l’information au sein de l’industrie automobile. Cela permet aux entreprises de partager facilement les résultats des évaluations avec leurs partenaires commerciaux tout en maintenant des normes élevées de sécurité de l’information. TISAX fournit un cadre de référence standardisé pour évaluer et certifier la sécurité de l’information des fournisseurs et des partenaires de l’industrie automobile. Cela permet de créer un niveau de confiance accru entre les différentes parties prenantes et facilite les collaborations commerciales.
Points communs avec l'ISO 27001
Le référentiel d’exigences TISAX (VDA) s’appuie sur des mesures de la certifications ISO 27001, spécifiant donc les exigences pour un Système de Management de la Sécurité de l’Information (SMSI). TISAX est étroitement aligné sur des normes et réglementations de sécurité de l’information bien établies telles que l’ISO/IEC 27001. En se conformant à TISAX, les entreprises de l’industrie automobile peuvent démontrer leur conformité aux exigences légales et réglementaires en matière de sécurité de l’information.
Confidentialité des informations
Les résultats des évaluations TISAX sont confidentiels et ne peuvent être partagés qu’avec les parties prenantes autorisées. Cela garantit que les informations sensibles des organisations ne sont pas exposées de manière inappropriée. TISAX vise à renforcer la sécurité de l’information dans la chaîne d’approvisionnement automobile. En définissant des exigences en matière de sécurité, TISAX favorise la mise en œuvre de mesures de protection efficaces contre les risques de cyberattaques et de violations de données.
Partage sécurisé des résultats
Le système TISAX permet aux entreprises d’échanger des résultats d’évaluation de la sécurité de l’information de manière sécurisée sur la plateforme ENX. Les organisations peuvent autoriser d’autres parties à accéder aux résultats de leur évaluation sans compromettre la sécurité des données. TISAX facilite l’échange sécurisé d’informations sensibles entre les différents acteurs de l’industrie automobile. Cela peut inclure des informations sur les processus de production, les technologies, les spécifications de conception et autres données confidentielles qui nécessitent une protection renforcée.
Renforcement de la confiance
Le label TISAX permet aux entreprises de prouver à leurs partenaires commerciaux la conformité aux normes élevées de l’industrie automobile. Cela renforce la confiance et la sécurité au sein de la chaîne d’approvisionnement automobile.
Mise à jour régulière
Le cadre TISAX est continuellement mis à jour pour refléter les évolutions de la sécurité de l’information et les nouvelles menaces potentielles. Cela garantit que les évaluations restent pertinentes et à jour au fil du temps.
Réduire les coûts et redondances
Plutôt que de procéder à des évaluations de sécurité distinctes pour chaque fournisseur, TISAX offre un processus d’évaluation unique qui peut être partagé et reconnu par plusieurs acteurs de l’industrie. Cela permet de réduire les coûts et d’éviter des efforts redondants en matière d’audit.
En résumé, le label TISAX vise à standardiser les évaluations de la sécurité de l’information dans l’industrie automobile, tout en permettant aux entreprises de partager de manière sécurisée leurs résultats d’évaluation avec d’autres participants TISAX via la plateforme ENX pour renforcer la confiance et la sécurité au sein de la chaîne d’approvisionnement automobile.
Périmètres du Label TISAX
1) Sécurité de l’information
Ce périmètre est obligatoire pour obtenir le label TISAX et défini pour englober tous les aspects critiques liés à la sécurité de l’information majoritairement basé sur l’ISO 27001 et son Annexe A. Voici les chapitres clés de ce périmètre :
- Politiques de sécurité de l’information et organisation : Mise en place de règles et de procédures pour protéger les informations sensibles de l’organisation et désignation de responsables de la sécurité.
- Sécurité des informations du pôle des Ressources humaines : Protection des données personnelles des employés, telles que les informations d’embauche, de paie et d’évaluation des performances.
- Sécurité physique et continuité de business : Sécurisation des locaux, des équipements et des actifs physiques de l’organisation, ainsi que la mise en place de plans de continuité d’activité en cas d’incident.
- Gestion des identités et des accès : Contrôle de l’accès aux informations et aux systèmes de l’organisation, attribuant des droits d’accès appropriés à chaque utilisateur.
- Sécurité IT et cybersécurité : Protection des systèmes informatiques et des réseaux contre les cybermenaces, telles que les virus, les attaques et les tentatives de piratage.
- Relations avec les fournisseurs : Sécurité de l’information liée aux relations avec les fournisseurs et les partenaires de l’organisation, en s’assurant qu’ils respectent également des normes de sécurité élevées.
- Conformité aux exigences demandées : Respect des exigences de sécurité établies par les partenaires ou les réglementations en vigueur, incluant la documentation et la préparation aux audits de conformité.
2) Gestion des Prototypes
Le processus de gestion des prototypes s’applique aux entreprises qui fabriquent, stockent ou utilisent des composants, pièces ou véhicules fournis par les clients et classés comme devant être protégés.
L’évaluation inclut des exigences relatives à la sécurité physique et à la sécurité dans la zone environnante, ainsi que des exigences organisationnelles spécifiques pour le traitement des prototypes.
Pour les entreprises effectuant des tests et essais routiers avec des véhicules fournis par les clients, des exigences spécifiques pour le traitement des prototypes durant les essais routiers sont également incluses.
Après une évaluation réussie, les entreprises reçoivent automatiquement le label TISAX « Protection des pièces et composants de prototypes ».
Les exigences relatives à la sécurité physique et à la sécurité dans la zone environnante ne sont pas nécessairement incluses dans l’évaluation, mais si les sites sont équipés en conséquence, l’objectif d’évaluation « Protection des véhicules prototypes » peut également être sélectionné.
Certaines entreprises peuvent être soumises à des exigences spécifiques supplémentaires pour le traitement des prototypes lors de présentations, événements, films et shootings photo dans des pièces protégées et en public, qui font également partie de l’évaluation.
3) Protection des données : Exigences liées au traitement des données à caractère personnel
Si vous traitez des données à caractère personnel en tant que sous-traitant conformément à l’article 28 du RGPD, vous devrez probablement sélectionner « Protection des données ».
Si vous traitez des catégories spéciales de données à caractère personnel (telles que des données de santé ou sur les croyances religieuses) en tant que sous-traitant conformément à l’article 28 du RGPD, vous devrez probablement sélectionner « Protection des données pour des catégories spéciales de données à caractère personnel ».
Les niveaux d’évaluations TISAX
TISAX distingue trois « niveaux d’évaluation » (AL).
Un niveau d’évaluation plus élevé se traduit par une plus grande intensité d’évaluation. Ils reflètent l’un des trois différents niveaux de protection : Niveau 1 (normal), Niveau 2 (élevé) et Niveau 3 (très élevé) :
Niveau 1 (AL 1)
Les évaluations de ce niveau sont principalement destinées à des fins internes. La VDA assessment checklist doit être remplie par l’entreprise. Elles ont un faible niveau de confiance et nécessite une autoévaluation (auditeur vérifie qu’elle existe mais pas plus)
Niveau 2 (AL 2)
L’auditeur demande des preuves de l’auto-évaluation (audit), en menant des entretiens avec le client pour vérifier la conformité au référentiel TISAX (VDA).
Niveau 3 (AL 3)
Exige des vérifications plus approfondies avec une inspection sur place et des entretiens en personne.
Le Rôle de l’ENX
ENX joue un rôle central et essentiel dans le processus TISAX : c’est l’association à but non lucratif qui gère et supervise le programme TISAX. Voici les rôles clés de la plateforme ENX dans le processus TISAX :
- Gestion du programme TISAX : ENX est responsable de la conception, du développement et de la gestion globale du programme TISAX.
- Agrément des prestataires d’évaluation : ENX sélectionne et agrée les prestataires d’évaluation (Audit Providers) qui sont chargés de réaliser les évaluations de sécurité de l’information selon TISAX.
- Attribution des labels de sécurité : ENX attribue les labels de sécurité TISAX en fonction des résultats des évaluations.
- Gestion de la plateforme : ENX héberge et gère la plateforme TISAX, qui est un environnement sécurisé permettant de partager des informations confidentielles et de suivre le processus d’évaluation de manière transparente et efficace.
Voici comment ça fonctionne :
- L’enregistrement : l’entreprise doit s’enregistrer sur la plateforme ENX pour démarrer le processus TISAX. Il est important de bien définir le périmètre TISAX (Périmètre et niveau d’évaluation, ainsi que les sites et personnel impliquée) avant de mettre votre demande sur la plateforme ENX.
- Sélection d’un prestataire d’évaluation “Audit Provider” : L’entreprise automobile souhaitant se faire évaluer selon le référentiel TISAX sélectionne un prestataire d’évaluation agréé par l’ENX Association, l’organisme en charge de TISAX https://portal.enx.com/en-us/tisax/xap/
- Préparation : Avant le début de l’évaluation, l’entreprise se prépare en rassemblant toutes les informations nécessaires, en mettant en place des processus de sécurité de l’information et en remplissant la checklist VDA Auto-Evaluation (“VDA Self-assessment ») disponible ici.
- Évaluation (durée de 9 mois maximum) :
- Kick-off meeting / Réunion de lancement : le point de départ officiel du processus d’évaluation et donne le ton pour la suite de la démarche de certification TISAX
- Evaluation principale : Le prestataire d’évaluation réalise une évaluation en effectuant des entretiens avec le personnel de l’entreprise, en examinant les documents pertinents et en évaluant les mesures de sécurité en place.
- Rédaction de rapport : Le prestataire d’évaluation rédige un rapport détaillant les résultats de l’évaluation et puis, ENX l’étudie en commission ce rapport pour donner un avis sur label.
- En cas des non-conformités, un ou plusieurs audit(s) complémentaire(s) peut(vent) être réalisé(s)
- Label TISAX : Si l’entreprise répond aux exigences de sécurité de l’information définies par TISAX, elle peut obtenir un label TISAX pour 3 ans sans des audits de surveillance.
- Échange de résultats : Si l’entreprise évaluée le souhaite, elle peut partager leur label TISAX sur la plateforme ENX pour démontrer son engagement.
- Renouvellement : A la fin d’un cycle de trois ans, un audit complet, dit de renouvellement doit être réalisé.
En résumé, en entant dans le processus d’évaluation TISAX, les entreprises de l’industrie automobile démontrent leur engagement envers la sécurité de l’information et la volonté de renforcer la confiance avec leurs partenaires commerciaux en assurant la protection des données sensibles et des actifs critiques.
