Les relations d’affaires impliquent la livraison de services et/ou de produits, ainsi que l’échange d’une grande quantité d’informations, ce qui est considéré comme l’élément le plus précieux pour une organisation.
De nos jours, la mondialisation des relations, ainsi que la mise en réseau, ont apporté de grands avantages aux entreprises, tels que l’accès aux marchés internationaux, la réduction des coûts de production, une plus grande compétitivité et une plus grande qualité des services, mais tout cela en assumant des risques, jusqu’ici inconnus, en raison des différents processus technologiques qui le rendent possible.
Pour cette raison, les organisations doivent contrôler les risques auxquels elles sont exposées en établissant des mesures de sécurité de l’information standardisées pour tous les acteurs impliqués, ce qui garantit une protection tout au long de la chaîne de valeur.
À cet égard, l’Association allemande de l’industrie automobile (VDA) a développé une méthodologie d’évaluation uniforme de la sécurité de l’information dans l’industrie automobile, appelée TISAX (Trusted Information Security Assessment Exchange).
Qu’est-ce que TISAX ?
Il s’agit d’une norme de sécurité dont l’objectif est de garantir et d’accréditer la sécurité des informations appliquées, entre autres, aux fournisseurs liés aux principaux constructeurs automobiles allemands.
Il est basé sur une approche axée sur la maturité de la sécurité qui vise à établir des niveaux standardisés de sécurité de l’information dans l’industrie, à réduire les coûts et les efforts entre les fabricants et les fournisseurs, ainsi qu’à permettre une reconnaissance commune des efforts déployés pour la protection de l’information.
Exigences relatives à la conformité TISAX
Les exigences de conformité à la norme TISAX sont développées dans la version actuelle 5.1 du module « Sécurité de l’information » de la VDA, qui contient tous les contrôles de sécurité nécessaires applicables aux entreprises et aux employés de l’industrie automobile.
Les exigences VDA sont divisées en trois blocs de contrôles :
- Sécurité de l’information : 41 questions de sécurité réparties dans les blocs suivants :
- Politiques de sécurité de l’information
- Organisation de la sécurité de l’information
- Gestion d’actifs
- Gestion du risque
- Évaluations
- Gestion des incidents
- Ressources humaines
- Sécurité physique et continuité des activités
- Gestion des identités
- Gestion des accès
- Cryptographie
- Sécurité des opérations
- Approvisionnement, gestion des exigences et développement de systèmes
- Relations avec les fournisseurs
- Conformité
- Prototype Protection : 22 questions réparties dans les blocs suivants :
- Sécurité physique et environnementale
- Exigences organisationnelles
- Manutention de véhicules, de composants et de pièces
- Exigences pour les véhicules d’essai
- Exigences relatives à l’événement et au tournage
- Protection des données : Mise en place d’un bloc unique avec 4 questions sur la protection des données personnelles.
Pour chacune des questions de contrôle, les objectifs à atteindre par les organismes sont établis, en détaillant les objectifs considérés comme obligatoires (doivent), les objectifs à prendre en compte (devraient), ainsi que les exigences pour les besoins de protection élevés et les exigences supplémentaires pour les besoins de protection très élevés.
Le tableau suivant récapitule les objectifs de sécurité que les organisations doivent atteindre :
| Evaluation objective | Applicable requirements |
|---|---|
| High protection information | All requirements of the criteria catalog "Information Security" ("Requirements (must)" and "Requirements (should)") Additionally "Requirements for high protection needs" (if applicable) |
| Very high protection information | All requirements of the "Information Security" criteria catalog ("Requirements (must)" and "Requirements (should)") Additionally "Requirements for high protection needs" and "Requirements for very high protection needs" (if applicable) |
| Protection of parts and components | All requirements applicable to "High Protection Information" plus the requirements of the "Protection of Prototypes" chapter: • Physical and environmental security • Organizational requirements • Handling of vehicles, components and parts |
| Protection of prototype vehicles | All requirements applicable to "High Protection Information" plus the requirements of the "Protection of Prototypes" chapter: • Physical and environmental security • Organizational requirements • Handling of vehicles, components and parts |
| Handling of test vehicles | All requirements applicable to "High Protection Information" plus the requirements of the chapter "Protection of Prototypes": • Organizational requirements • Handling of vehicles, components and parts • Requirements for test vehicles |
| Protection at events and filming | All requirements applicable to "High Protection Information", plus the requirements of the "Protection of Prototypes" chapter: • Organizational requirements • Handling of vehicles, components and parts • Requirements for events and filming |
| Data protection | All requirements applicable to "Highly Protected Information" plus the requirements of the "Data Protection" chapter. |
| Protection special data categories | All requirements applicable to "Very Highly Protected Information" plus the requirements of the "Data Protection" chapter. |
Le formulaire où sont définies les exigences TISAX doit être rempli, selon les critères du tableau ci-dessus, en indiquant le niveau de maturité pour chacune des questions définies, condition fondamentale pour obtenir un score de 3 ou plus, sur la base des 6 niveaux de maturité établis :
- Niveau 0 : Incomplet
- Niveau 1 : Effectué
- Niveau 2 : Géré
- Niveau 3 : Établi
- Niveau 4 : Prévisible
- Niveau 5 : Optimisé
Comment obtenir une certification TISAX ?
La première étape consiste à s’inscrire en ligne auprès d’ENX (European Network Exchange) en collectant des informations essentielles sur l’organisation telles que :
- Nom du participant.
- Contact principal.
- Adresse du participant.
- Portée de l’évaluation.
- Atteignez des emplacements.
La deuxième étape consiste en l’évaluation de la norme, en différenciant 3 niveaux :
- Niveau 1 : Défini pour les prestataires qui doivent uniquement remplir le questionnaire VDA et publier l’auto-évaluation.
- Niveau 2 : établi pour les fournisseurs plus complexes, où l’auto-évaluation VDA doit être effectuée et une vérification aléatoire par un fournisseur d’audit doit être effectuée par vidéoconférence ou par appel téléphonique.
- Niveau 3 : défini pour les fournisseurs qui traitent des données externes hautement sensibles, pour lesquels un audit sur site par un fournisseur d’audit accrédité est requis.
Enfin, une fois l’audit réalisé, un rapport est émis avec les résultats obtenus par l’organisation et si ceux-ci sont satisfaisants, une certification est délivrée qui le prouve. Le certificat TISAX est valable 3 ans et aucun audit de suivi annuel n’est effectué pour vérifier le bon respect de la norme.
Comment pouvons-nous vous aider dans l’adaptation à TISAX ?
La mise en œuvre de TISAX est essentielle pour les fournisseurs liés à l’industrie automobile et qui ont besoin de protéger les informations qu’ils gèrent dans une organisation. À cet égard, GlobalSuite Solutions fournit un soutien essentiel à la mise en œuvre de TISAX et aide les organisations à gérer plus efficacement les contrôles de sécurité en place.
Contactez-nous et découvrez comment nous pouvons aider votre organisation à se conformer aux contrôles en place, à protéger vos renseignements et à améliorer la sécurité des renseignements de l’entreprise !
