La certification de sécurité de l'information TISAX est discutée par un homme et une femme dans une salle de contrôle.

Certification TISAX

Votre demande


TISAX® Assessment - Sécurité de l'information dans l'industrie automobile

Vous êtes un fournisseur ou un prestataire de services de l'industrie automobile ? À l'avenir, vous ne devrez fournir la preuve de la sécurité des informations sensibles que vous fournissent vos clients qu'une fois tous les trois ans, en tant que participant à la procédure TISAX® par le biais d'une évaluation correspondante. La procédure est applicable à tous les secteurs d'activité et définit les exigences en matière de sécurité de l'information dans votre entreprise.

Reconnaissance mutuelle entre tous les participants à TISAX®.

Les fournisseurs et prestataires de services ont davantage confiance en votre entreprise auditée.

L'évaluation pour la certification TISAX® n'a lieu que tous les trois ans.

Gagner du temps et de l'argent en participant au réseau TISAX®.

Informations de base sur l'évaluation TISAX

TISAX® est une procédure commune d'évaluation et d'échange pour le secteur automobile. Elle est basée sur le questionnaire (ISA - Information Security Assessment) élaboré par le groupe de travail "Sécurité de l'information" de la VDA, lui-même basé sur les aspects essentiels de la norme internationale ISO/IEC 27001 et étendu à un modèle de maturité.

ISA se réfère également à la norme ISO/SAE 62443-2-1 pour les systèmes de contrôle industriel destinés à l'automatisation et à la surveillance des installations de production industrielle (IACS) et des technologies opérationnelles (OT).

En outre, les organes responsables de l'Association allemande de l'industrie automobile (VDA) ont créé les conditions nécessaires à l'établissement du mécanisme d'évaluation et d'échange commun sous le nom de TISAX® (Trusted Information Security Assessment eXchange). TISAX® est une marque déposée de l'association ENX. L'association des constructeurs, fournisseurs et associations automobiles européens surveille la qualité des évaluations TISAX® et contrôle l'approbation des prestataires de services d'audit TISAX®.

Plus de 10 000 sites ont été évalués conformément à TISAX®, ce qui fait de cette norme le deuxième ensemble de règles de sécurité de l'information le plus largement mis en œuvre dans le monde, après la norme ISO 27001. VDA et ENX ont formé des groupes de travail internationaux pour TISAX® et le catalogue ISA afin de poursuivre le développement de la norme. En même temps, cela favorise une coopération plus étroite avec l'industrie automobile mondiale. Avec TISAX 6.0, la forme actualisée de la procédure d'évaluation et d'échange a été publiée à l'automne 2023.

Afficher plus
Montrer moins

TISAX® 2.2 - Obligatoire à partir du 1er avril 2024 - Notes de transition

Les évaluations TISAX® qui ont été commandées avant le 31 mars 2024 peuvent être effectuées selon l'ancienne version 5.1 de l'ISA. Les évaluations initiales ou de recertification commandées à partir du 1er avril 2024 seront effectuées exclusivement selon la nouvelle procédure TISAX® conformément au catalogue ISA 6.0. Les activités d'audit qui dépendent d'audits existants, telles que les évaluations de plans d'actions correctives, les évaluations de suivi, les évaluations d'extension du champ d'application ou les évaluations continues de groupes simplifiés, continueront d'être réalisées conformément à la version en vertu de laquelle l'audit initial a été effectué.

Des informations sur les principaux changements apportés par la nouvelle norme ISA 6.0 sont disponibles dans notre blog "New ISA Catalog 6.0".  
 

Le nouveau catalogue ISA 6.0 est une étape importante pour TISAX®. Le catalogue d'évaluation conduit à des ajustements des exigences pour les prestataires d'audit, qui ont été définies dans les réglementations TISAX® ACAR 2.2. Le changement de la langue principale en anglais souligne la perspective globale et les efforts conjoints pour un développement mondial. D'autres traductions de TISAX VDA 6.0 sont prévues.

Les changements les plus importants du nouveau catalogue ISA 6.0 sont les suivants

Changements dans les labels de sécurité:

  • Le label Sécurité de l'information est remplacé par les labels Disponibilité et Confidentialité. En fonction de votre rôle dans la chaîne d'approvisionnement, la disponibilité ou la confidentialité, ou les deux, peuvent vous concerner. 
  • Une étiquette "Sécurité de l'information élevée" existante sera remplacée par les étiquettes combinées "Disponibilité élevée" et "Confidentiel". Il en va de même pour un label "Sécurité de l'information très élevée" existant. Il sera remplacé par "Disponibilité très élevée" et "Strictement confidentiel".
  • Les deux labels doivent répondre aux mêmes exigences de base. En outre, chaque label comporte des exigences spécifiques pour les besoins de protection élevés et très élevés. Le processus d'évaluation est déterminé par les labels, en tenant compte de votre rôle dans la chaîne d'approvisionnement. Il est donc utile de vérifier auprès de vos clients quels sont les labels qui correspondent à votre rôle. 

Une attention accrue à la sécurité de l'information et aux systèmes informatiques dans la chaîne d'approvisionnement

  • Les entreprises concernées de la chaîne d'approvisionnement doivent répondre à des exigences de "haute disponibilité" ou de "très haute disponibilité". 
  • L'évaluation TISAX® met l'accent sur les systèmes de technologie opérationnelle (OT) dans la production et dans d'autres domaines. 
  • Les références à la norme CEI 62443-2-1 et les nouvelles exigences du catalogue ISA mettent l'accent sur la technologie opérationnelle. 
  • Inclusion des systèmes de communication et de contrôle industriels (IACS).
  • Les entreprises de cette catégorie doivent démontrer qu'elles protègent de manière adéquate les données sensibles dans le cadre du développement et de la production. 
  • De nombreuses exigences se recoupent avec celles des catégories "Haute sensibilité" ou "Très haute sensibilité".
  • Les entreprises de la chaîne d'approvisionnement qui ne sont pas très importantes mais à qui l'on confie des informations sensibles doivent démontrer que ces informations peuvent être protégées de manière adéquate. 
  • Les labels "Confidentiel" ou "Strictement confidentiel" sont utilisés pour sélectionner les exigences TISAX® qui contribuent à cet objectif de protection.
  • L'objectif principal de l'évaluation sélective décrite ci-dessus est de s'assurer que les entreprises ne doivent satisfaire qu'aux exigences du catalogue ISA qui sont pertinentes pour leur rôle. 

Nouveaux défis pour les entreprises manufacturières

  • Les systèmes OT doivent faire l'objet d'une gestion similaire à celle généralement requise pour les systèmes informatiques TISAX®. 
  • En conséquence, l'OT dans la gestion des actifs est identifié avec ses risques spécifiques, analysé pour les vulnérabilités potentielles, géré par des employés compétents, soumis à des processus conformes à l'ISMS pour la maintenance à distance et d'autres meilleures pratiques de gestion.
Afficher plus
Montrer moins

Pourquoi une évaluation TISAX® est-elle utile pour mon entreprise ?

En tant que prestataire de services ou fournisseur dans l'industrie automobile, vous devez prouver à vos clients que vous vous conformez aux exigences en matière de sécurité de l'information. Jusqu'à présent, ces évaluations étaient principalement réalisées par les constructeurs eux-mêmes. Les participants inscrits au réseau TISAX® peuvent désormais sélectionner un prestataire de services d'audit via une plateforme en ligne commune et demander une évaluation. Les avantages pour les entreprises l'emportent sur les inconvénients :

  • Les évaluations multiples et en double par différents clients peuvent être évitées.
  • Reconnaissance interentreprises des évaluations de la sécurité de l'information pour les participants à TISAX®.
  • Fiabilité des résultats grâce au catalogue de tests harmonisé de la VDA ISA.
  • Renforcement de la confiance dans les entreprises auditées avec le label TISAX®.

Après une évaluation réussie, vous recevrez un label TISAX® sur la plateforme en ligne TISAX®. Ce label est comparable à un certificat et sert à renforcer la confiance dans votre entreprise et à confirmer vos efforts en matière de sécurité de l'information.

Afficher plus
Montrer moins

Comment fonctionne TISAX® ?

Dans TISAX® , les participants peuvent jouer deux rôles différents : le "consommateur d'informations" (passif), par exemple un fabricant qui souhaite recevoir des informations sur un fournisseur, et le "fournisseur d'informations" (actif), par exemple un fabricant qui souhaite recevoir des informations sur un fournisseur (actif), par exemple un fournisseur de pièces détachées ou un prestataire de services qui souhaite faire l'objet d'un audit d'adéquation afin de recevoir des commandes de fabricants.

Une entreprise peut également assumer les deux rôles de participant. Toute personne souhaitant participer à TISAX® en tant que fournisseur d'informations doit suivre les quatre étapes principales suivantes :

  • 1. S'inscrire en ligne à l'adresse www.enx.com/TISAX
  • 2. Choisir un fournisseur de services d'audit approuvé par ENX, tel que DQS
  • 3. Se soumettre à une évaluation TISAX
  • 4. Échanger les résultats de l'audit sur la plateforme en ligne TISAX®.

Si une entreprise est intéressée par vos résultats TISAX®, elle peut s'inscrire auprès d'ENX en tant que "consommateur d'informations". Vous pouvez décider pour chaque consommateur d'informations si vous souhaitez partager votre statut TISAX® actuel avec eux.

Afficher plus
Montrer moins
Business28.png

Comment fonctionne une évaluation TISAX® ?

Avant de commencer l'évaluation TISAX®, votre entreprise doit définir clairement son champ d'application. Cela inclut le niveau d'évaluation, qui définit les exigences spécifiques de l'évaluation. Ces exigences peuvent consister à assurer la "disponibilité" des capacités de production, à garantir la "confidentialité" des informations confiées ou à sécuriser les "pièces prototypes" et les "données personnelles". Ces critères de base s'appliquent à tous les sites entrant dans le champ d'application.

L'un des principaux défis consiste à regrouper des sites ayant des exigences similaires en un seul périmètre. Le DQS peut fournir des conseils précieux sur la conception d'un champ d'application unique et complet ou de plusieurs champs d'application. En principe, il y a des avantages à regrouper des sites dans un seul périmètre, sous la forme d'une réduction possible de l'effort d'audit si tous les sites opèrent dans le cadre d'un SMSI centralisé.

En tant que participant à TISAX®, vous devez d'abord vous inscrire en ligne. L'identifiant du périmètre sera ensuite attribué par ENX. Veuillez noter que des frais de service sont associés à ce processus d'enregistrement et qu'ils seront facturés pour chaque site de votre périmètre.

La première étape consiste à sélectionner un prestataire de services d'audit agréé. La deuxième étape comprend le lancement, l'examen des documents (auto-évaluation, pas sur site) et une évaluation ultérieure (niveau 2 : pas sur site, niveau 3 : sur site).

Remarque : il existe une autre méthode d'évaluation au niveau 2. Au lieu d'un contrôle de plausibilité, votre prestataire de services d'audit effectue une évaluation complète à distance. Cette méthode est parfois appelée "niveau d'évaluation 2.5". L'avantage du niveau d'évaluation 2.5 est que l'approche est méthodologiquement compatible avec le niveau d'évaluation 3. Il est donc possible de passer ultérieurement à un examen complet de niveau 3, moyennant un effort raisonnable.

Les résultats de l'audit TISAX® sont consignés dans un rapport intermédiaire. En cas de non-conformité, les mesures à mettre en œuvre sont convenues. Si nécessaire, la mise en œuvre des mesures est déterminée dans un délai convenu. Cette procédure garantit que tous les problèmes identifiés sont traités efficacement et rapidement.

Une fois les non-conformités clôturées, un examen de l'efficacité est effectué pour valider la clôture des non-conformités et évaluer l'efficacité globale des mesures correctives prises.

Le résultat final sera publié en ligne sur le portail ENX®. Votre entreprise sera alors répertoriée comme participant au processus TISAX® avec le label de test correspondant. Contrairement à d'autres certifications, il n'existe pas de certificat TISAX®.

Banking13.png

Quel est le coût de l'évaluation TISAX® ?

Deux facteurs importants influencent la portée de l'ensemble de l'évaluation et donc les coûts. Les évaluations sont possibles sur la base d'une portée étendue, d'une portée standard ou d'une portée restreinte. Votre décision concernant le champ d'application doit être bien préparée et déterminée par les objectifs de protection souhaités, mais aussi par la taille de votre entreprise.

Les objectifs de protection, par exemple, consistent à déterminer si vous souhaitez inclure des sujets tels que la protection des prototypes ou la protection des données dans l'évaluation. Si vous souhaitez vous engager dans la procédure TISAX®, parlez-en le plus tôt possible à DQS, votre prestataire de services d'audit agréé. C'est la seule façon pour nous de déterminer le calcul correct de la portée de l'évaluation et de vous fournir un devis fiable pour le coût de votre certification TISAX®.

Afficher plus
Montrer moins
Business2.png

Ce que vous pouvez attendre de nous

  • DQS est un prestataire de services d'audit agréé par l'association ENX.
  • Des informations à valeur ajoutée sur la sécurité de l'information dans votre organisation
  • Des accréditations pour toutes les réglementations pertinentes dans l'industrie automobile
  • Des auditeurs expérimentés et des experts du secteur
  • Plus de 35 ans d'expérience dans la certification de systèmes et de processus de gestion
  • Certificats acceptés au niveau international
  • Soutien personnel et sans faille de nos spécialistes - au niveau régional, national et international.
  • Des offres individuelles avec des conditions contractuelles flexibles sans coûts cachés
Afficher plus
Montrer moins

Demande de devis

Votre interlocuteur local

Nous serions heureux de vous fournir une offre personnalisée pour le processus TISAX.

Votre demande

Vous avez des questions ?

Nous sommes là pour vous.
Contactez-nous