Devez-vous apporter la preuve de la sécurité des informations qui vous sont fournies conformément aux exigences du "VDA Information Security Assessment" (VDA ISA) ? Notre expert en normes, André Saeckel, répond à des questions fréquentes sur TISAX® - la procédure commune de test et d'échange dans l'industrie automobile. Le cercle des entreprises concernées est plus large qu'on ne le pensait au départ. Outre le fournisseur de niveau 1 classique, la certification TISAX® est de plus en plus souvent exigée des fournisseurs d'autres niveaux inférieurs, ainsi que des prestataires de services dans les domaines du traitement des données ou de la publicité, par exemple, c'est-à-dire des entreprises partenaires de l'industrie automobile au sens large.
CONTENU
- Que signifie TISAX® ?
- Quels sont les avantages de TISAX® ?
- Qui surveille TISAX® ?
- Qu'est-ce qu'un niveau d'évaluation ?
- Le site TISAX®est-il également destiné aux entreprises non manufacturières ?
- Certification TISAX® sans exigence du client ?
- Le contenu de TISAX® est-il analogue à celui de la norme ISO 27001 ?
- Est-ce qu'un audit combinaison des audits TISAX® et ISO 27001 est-elle recommandée ?
- Comment définir la portée de l'évaluation TISAX® ?
- Quelle est la durée des évaluations individuelles ?
- Que sont les non-conformités majeures et mineures ?
- TISAX® remplacera-t-il la protection des prototypes VDA ?
- Que peut faire DQS pour moi ?
Que signifie TISAX® ?
TISAX® - Trusted Information Security Assessment eXchange (échange d'évaluations de la sécurité des informations de confiance)
TISAX® est une procédure commune d'évaluation et d'échange pour le secteur automobile. Elle est basée sur un questionnaire de sécurité de l'information (ISA - Information Security Assessment) développé par le groupe de travail "Sécurité de l'information" du VDA, qui a été utilisé pour la première fois par les entreprises membres de l'Association allemande de l'industrie automobile (VDA) pour les audits des fournisseurs et des prestataires de services dans les entreprises desquels des informations sensibles sont traitées. La version 5.0 du questionnaire ISA de la VDA est disponible depuis juillet 2020. Depuis le 1er octobre 2020, cette version est obligatoire pour toutes les nouvelles évaluations TISAX.®-.
En outre, TISAX® est basé sur les exigences essentielles de la norme internationalement reconnue en matière de sécurité de l'information : ISO 27001. Elle est applicable dans tous les secteurs d'activité et définit les exigences, les règles et les méthodes permettant de garantir la sécurité des informations au sein d'une entreprise. Dans ses exigences, la norme va au-delà de la protection des systèmes techniques informatiques et inclut tous les actifs de l'entreprise dignes de protection, par exemple les locaux, les contrôles de sécurité et les archives. En d'autres termes : ISO 27001 assure la protection de toutes les informations qui ont de la valeur pour une organisation.
Quels sont les avantages de TISAX® ?
- TISAX® crée un niveau uniforme de sécurité de l'information dans l'industrie automobile.
- Les résultats de l'évaluation sont reconnus d'une entreprise à l'autre parmi tous les participants à TISAX®, ce qui entraîne une plus grande confiance dans les entreprises auditées
- La reconnaissance mutuelle au sein du réseau TISAX® permet d'éviter les doublons et les audits multiples inutiles.
- L'évaluation pour la certification TISAX® n'a lieu que tous les trois ans, ce qui permet de gagner du temps et de l'argent.
Qui contrôle TISAX® ?
TISAX® est une marque déposée de l'association ENX, basée à Francfort-sur-le-Main et à Paris. En tant qu'organisme neutre, elle est chargée de la mise en œuvre de TISAX®. ENX est l'association des constructeurs et fournisseurs automobiles européens et de quatre associations automobiles nationales, dont la VDA, qui ont fondé ENX en 2000. L'association ENX contrôle la qualité de la mise en œuvre et accorde l'agrément aux prestataires de services d'évaluation selon une procédure stricte. DQS est répertorié auprès d'ENX en tant que prestataire de services d'audit agréé et peut effectuer des évaluations dans le monde entier. Nos experts sont toujours disponibles pour répondre à vos questions.
Afin d'obtenir une reconnaissance mutuelle des évaluations par les participants, ENX conclut des contrats correspondants avec tous les prestataires de services d'audit agréés ainsi qu'avec les participants au réseau TISAX®. Grâce à la normalisation et au contrôle de la qualité, ENX parvient à une reconnaissance commune des résultats d'évaluation parmi tous les participants. Les évaluations doubles et multiples inutiles sont évitées.
Questions et réponses sur TISAX® : Qu'est-ce qu'un niveau d'évaluation ?
TISAX® distingue trois niveaux d'évaluation (exigences de protection), en fonction de la protection requise : normal (niveau 1), élevé (niveau 2) et très élevé (niveau 3). La méthode d'audit et l'effort d'audit en dépendent.
Niveau 1 : Auto-évaluation sans contrôle de plausibilité, généralement à des fins internes uniquement. Ces résultats d'évaluation n'ont qu'une signification limitée et ne sont pas utilisés dans TISAX®.
Niveau 2 : Contrôle de plausibilité de votre auto-évaluation par un prestataire de services d'audit tel que DQS. Ces audits de sécurité de l'information sont généralement réalisés sous la forme d'une conférence téléphonique, et non d'un audit sur site - sauf si l'un des objectifs de l'audit de protection du prototype s'applique ou si vous le demandez explicitement.
Niveau 3 : Vérification de la plausibilité de votre auto-évaluation par un prestataire de services d'audit au moyen d'un audit sur site approfondi et complet.
L'introduction de TISAX® est-elle également une nécessité pour les entreprises non manufacturières ?
La réponse à cette question dépend du contexte de votre entreprise : La nécessité ou non de mettre en œuvre TISAX® dépend de votre OEM (fabricant d'équipements originaux), ou du fait qu'il vous demande de fournir cette preuve de sécurité de l'information. À moins que le constructeur automobile ne vous contacte spécifiquement, ou que vous ne constatiez un changement dans les CGU, il est recommandé d'attendre et de voir. Dans le passé, les entreprises étaient contactées par le constructeur automobile au sujet des exigences pour une coopération plus poussée si nécessaire. Cependant, c'est bien sûr à vous de vous renseigner de manière proactive auprès de vos partenaires de l'industrie automobile.
Est-il judicieux de viser la certification TISAX® même sans exigence du client ?
Adopter une approche proactive en matière de sécurité de l'information est généralement très judicieux de nos jours, et pas seulement pour les fournisseurs de l'industrie automobile. Si votre équipementier ne précise pas (encore) quel label TISAX® est attendu de vous, il est judicieux de démontrer le niveau 3 (niveau d'évaluation 3 : sécurité de l'information très élevée). De cette façon, vous êtes préparé à toutes les exigences futures sans avoir à refaire le travail. Par ailleurs, la norme ISO/IEC 27001, reconnue mondialement, constitue une bonne introduction à la sécurité de l'information pour tous les secteurs d'activité.
ISO 27001 - Système de management de la sécurité de l'information
Système de gestion holistique selon la norme ISO ★ Mise en œuvre efficace d'un processus de gestion des risques ★ Amélioration continue du niveau de sécurité
Le contenu de TISAX® est-il analogue à celui de la norme ISO 27001 ?
Le catalogue d'évaluation TISAX® est dérivé de la norme internationale ISO 27001 et s'appuie sur les "contrôles" (mesures) qui y sont définis. Ils décrivent comment les exigences respectives (doit, devrait) peuvent être mises en œuvre, comment les processus doivent être assurés et quels outils peuvent être utilisés. Une différence essentielle entre les deux normes est que TISAX® exige un certain niveau de maturité pour être atteint.
Un audit combiné de TISAX® et d'ISO 27001 est-il recommandé ?
Un audit combiné est tout à fait possible et peut être réalisé par DQS à tout moment. Tous les auditeurs TISAX® de DQS sont également des auditeurs autorisés pour l'ISO 27001, ce qui signifie que les deux évaluations de la sécurité de l'information peuvent être effectuées en même temps avec peu d'efforts supplémentaires.
"Le système TISAX® est le premier à offrir la possibilité d'assurer un niveau uniforme de sécurité de l'information dans l'ensemble de l'industrie automobile, en s'appuyant sur la base solide du questionnaire VDA et des principes ISO 27001."
Dois-je être certifié ISO 27001 avant d'utiliser TISAX® ?
La réponse à cette question est : Non. En effet, il n'est pas nécessaire qu'il existe déjà un système de gestion de la sécurité de l'information certifié conforme à la norme ISO 27001. Pour l'évaluation TISAX®, vous devez seulement prouver que vous travaillez selon un système de gestion de la sécurité de l'information et que les processus et procédures correspondants sont mis en œuvre de manière stable dans l'entreprise. Cette évaluation est effectuée par l'auditeur, qui utilise également les documents pour attribuer un niveau de maturité.
Quels sont les avantages de posséder déjà une certification ISO 27001 ?
Si vous pouvez déjà fournir la preuve d'une certification ISO 27001, c'est bien sûr toujours un avantage. En effet, pour TISAX®, vousdevez prouver que vous avez mis en œuvre une gestion de la sécurité de l'information et les deux ensembles de règles ont une couverture similaire.
"La numérisation de l'industrie automobile : Le nombre d'applications et de données dans les véhicules explose, et avec lui, les surfaces d'attaque et le potentiel de dommages en matière de sécurité de l'information augmentent également."
Mais attention : la définition du champ d'audit TISAX® peut différer de la définition requise pour la certification ISO 27001. Les concepts sous-jacents ne sont pas identiques. Pour les grandes organisations, l'enregistrement de plusieurs périmètres d'audit peut également être envisagé.
La "définition du processus" de l'ISO 9001 est-elle analogue à TISAX® ?
La réponse à cette question est "oui". En principe, la définition et la structure des processus dans les ensembles de règles correspondants sont toujours les mêmes. Le catalogue d'évaluation TISAX® indique en outre très précisément à partir de quels contrôles les KPI doivent être déterminés et à partir de quels contrôles ils ne doivent pas l'être. La création des KPI est étayée par des exemples pour assurer la sécurité de l'information dans l'industrie automobile. Un regard sur le questionnaire VDA ISA permet donc d'avoir une première vue d'ensemble.
Un responsable de la sécurité informatique est-il recommandé pour la mise en œuvre de TISAX® ?
Il n'est pas obligatoire que la personne responsable de l'introduction de TISAX® provienne du département informatique. Cependant, comme il s'agit de processus soutenus par l'informatique, des connaissances en informatique sont certainement un avantage.
Comment puis-je définir la portée de l'évaluation TISAX® ?
ENX propose un champ d'application standard qui est adopté par 90 % de tous les participants à TISAX®. Le périmètre par défaut est prédéfini et ne peut être modifié. Si vous constatez au cours de la préparation de votre évaluation que le champ d'application standard ne convient pas, vous pouvez ajuster le champ d'application de votre examen dans certaines circonstances. Dans certains cas particuliers, les équipementiers peuvent exiger une portée élargie. Toutefois, ces cas particuliers sont rares et seront discutés en détail avec vous par l'OEM concerné. Normalement, l'étendue standard est suffisante. Il constitue la base d'une évaluation TISAX® et est accepté par tous les participants.
Un seul champ d'évaluation suffit-il pour tous les sites ?
Un champ d'évaluation unique qui inclut tous les sites présente des avantages mais aussi des inconvénients.
Avantages
- Un seul résultat d'inspection, un seul rapport d'inspection, une seule date d'expiration
- Réduction des coûts, car les processus, procédures et ressources centrales ne doivent être évalués qu'une seule fois.
Inconvénients
- Le résultat de l'audit n'est disponible qu'après l'évaluation de tous les sites.
- Le résultat de l'audit dépend de la réussite de tous les sites, c'est-à-dire que si un seul site échoue à l'audit, vous ne recevrez pas de résultat positif.
La portée de l'évaluation peut-elle être isolée, par exemple aux "employés critiques pour la sécurité" ?
ENX répond sans ambiguïté à cette question concernant TISAX® : Tous les employés qui sont en contact avec des informations sensibles de l'industrie automobile doivent être inclus dans le champ d'application. Il peut également s'agir, par exemple, d'un opérateur de machine qui travaille avec le plan de construction d'un client. Votre entreprise doit définir elle-même quels employés sont impliqués dans les processus pertinents pour la sécurité de l'information.
Est-il vrai qu'avec ENX, la demande d'un audit TISAX® doit d'abord être soumise et que ce n'est qu'ensuite que le fournisseur d'audit peut être sélectionné ?
Oui, c'est exact. Après votre inscription en ligne sur www.enx.com/tisax/ et l'approbation de la portée de l'évaluation par ENX, vous recevrez une liste de tous les prestataires de services d'évaluation approuvés. Toutefois, vous pouvez également consulter cette liste à l'avance sur le site d'ENX. DQS est répertorié comme prestataire de services à ENX et peut effectuer des évaluations dans le monde entier. Pour toute question ou réponse concernant la sécurité de l'information dans l'industrie automobile, n'hésitez pas à contacter nos experts.
Une enquête a-t-elle un sens si le niveau de maturité est trop faible ?
Si vous déterminez dans une auto-évaluation que votre entreprise a encore du retard à rattraper en matière de sécurité de l'information, une demande d'évaluation n'a pas de sens pour le moment. Il est recommandé de combler d'abord les lacunes identifiées et d'envisager ensuite un audit.
Combien de temps durent les évaluations individuelles ?
La réponse à la question de la durée des évaluations individuelles dépend de la taille de votre entreprise et des déplacements qu'implique l'audit de vos sites. Pour une entreprise de taille moyenne, 2 à 3 jours sur site sont suffisants pour le processus d'évaluation.
Combien de temps faut-il pour qu'une entreprise soit considérée comme certifiée ?
L'ensemble du processus d'audit TISAX® peut prendre un maximum de neuf mois. Il commence par l'audit initial et se termine par le dernier audit de suivi. Si le processus d'évaluation ne peut être achevé dans le délai imparti, vous ne recevrez pas de label TISAX®.
Évaluation TISAX
Nous serions également heureux de répondre à vos questions lors d'un entretien personnel.
Sans obligation et gratuitement.
Si votre entreprise répond à tous les critères ou ne présente que des non-conformités mineures, le rapport d'évaluation est soumis à ENX. Dès que celui-ci est accepté, vous recevez votre label TISAX® (temporaire). S'il y a des non-conformités majeures qui doivent d'abord être rectifiées, le label est valable à partir du jour où la non-conformité est considérée comme rectifiée.
Questions et réponses sur TISAX® : Que sont les labels TISAX® ?
Les labels sont le résultat du processus d'évaluation et résument votre résultat. Ils sont liés hiérarchiquement les uns aux autres. C'est-à-dire que si vous recevez un certain label, vous recevez automatiquement les "labels inférieurs". Les labels ne peuvent être consultés que sur le portail ENX. Leur durée de validité est généralement de trois ans.
Que sont les non-conformités majeures et mineures ?
On parle de non-conformité majeure lorsque la non-conformité soulève des doutes quant à l'efficacité globale de votre système de gestion de la sécurité de l'information ou lorsqu'elle entraîne des risques importants pour la sécurité de l'information. C'est le cas, par exemple, si une identification à deux facteurs est requise et que celle-ci n'a pas encore été mise en œuvre.
Une non-conformité mineure existe, par exemple, si la non-conformité ne remet pas en cause l'efficacité globale de votre système de gestion de la sécurité de l'information et ne présente pas de risque significatif pour la sécurité de l'information dans l'industrie automobile. Par exemple, des erreurs isolées ou sporadiques et des déficiences de mise en œuvre.
Dois-je également fournir des preuves de l'efficacité des mesures individuelles ?
La réponse est "oui". Après avoir créé votre catalogue de mesures et les avoir mises en œuvre, leur efficacité sera vérifiée. C'est pourquoi le processus de certification prévoit également une période de neuf mois.
Comment puis-je déterminer le nombre de salariés "à l'avance" ?
Plus précisément : Comment puis-je déterminer le nombre exact d'employés à l'avance si des employés supplémentaires ne peuvent être embauchés qu'après la signature du contrat avec notre client ?
La fourchette dans laquelle les employés sont classés pour TISAX® est beaucoup plus large que pour la norme internationale ISO 27001. TISAX® classe le nombre d'employés, par exemple, en 0-50, 51-150, etc. Ainsi, si vous savez approximativement combien de nouveaux employés seront embauchés, vous pouvez vous placer dans une fourchette appropriée.
Combien de documents doivent être disponibles pour être en conformité avec TISAX® ?
Il n'est pas possible de faire une déclaration générale ici. Cela dépend toujours de la taille et de l'activité de votre entreprise. Théoriquement, vous pouvez tout couvrir dans un seul document, à condition d'avoir une vue d'ensemble claire. Cependant, il est conseillé de créer plusieurs documents qui couvrent des sujets connexes.
TISAX® remplacera-t-il la protection des prototypes VDA ?
Étant donné que TISAX® comprend un module distinct pour la protection des prototypes, qui détaille beaucoup plus les critères individuels que ce n'était le cas auparavant, on peut supposer qu'à long terme, TISAX® remplacera les précédents ensembles de règles de sécurité de l'information dans l'industrie automobile. Actuellement, cependant, le prototype de protection VDA version 3.0 de 2018 est toujours valable.
Questions et réponses sur TISAX® - Que peut faire DQS pour moi ?
DQS est répertorié auprès d'ENX en tant que prestataire de services d'audit agréé et peut effectuer des évaluations dans le monde entier. Tous nos auditeursTISAX ®sont également des auditeurs agréés pour la norme internationale ISO 27001, ce qui signifie que les deux normes peuvent être évaluées par DQS en même temps et avec peu d'efforts supplémentaires. Nos experts se feront un plaisir de répondre à vos questions sur la sécurité de l'information dans l'industrie automobile. Nous nous réjouissons d'en discuter avec vous.
Vous avez des questions ?
Contactez nous !
Sans engagement et gratuitement.
Expertise et confiance
Nos articles techniques sont rédigés exclusivement par nos experts internes en normes et nos auditeurs de longue date. Si vous avez des questions concernant le contenu ou nos auteurs, n'hésitez pas à nous contacter.
Newsletter DQS
Holger Schmeken
Chef de produit et expert en sécurité de l'information et en développement de logiciels. Holger Schmeken apporte également son expertise en tant qu'auditeur pour la norme ISO 27001 avec une compétence en matière de procédure d'audit KRITIS et en tant que directeur de la sécurité de l'information de DQS BIT GmbH.