Audit TISAX® de niveau 2 : pourquoi l'option la moins chère n'est pas toujours la plus rentable

L'idée reçue concernant l'audit niveau 2

Lorsque les équipementiers automobiles explorent pour la première fois les options d'audits TISAX®, le niveau 2 d’audit (AL2) apparaît souvent comme le point de départ logique. Les frais d'audit externe sont inférieurs à ceux des niveaux supérieurs. L’audit se déroule à distance, ce qui évite les déplacements, et, sur le papier, le parcours menant à l’obtention du label TISAX® semble plus court et moins coûteux.

Cependant, les organisations qui planifient leur parcours TISAX® en se basant uniquement sur les frais d’audit se heurtent souvent à une réalité plus complexe. Le travail global nécessaire pour obtenir et conserver un label TISAX® dépend de facteurs qui vont bien au-delà de ce qui figure sur la facture de l’auditeur.

Il est essentiel que les équipementiers automobiles aient une vision globale de la situation avant de s’engager sur un niveau d’évaluation.

Ce qu’exige réellement l'audit niveau 2

L'audit de niveau 2 TISAX® est une évaluation de plausibilité. La tâche de l’auditeur consiste à déterminer si l’auto-évaluation de l’organisation décrit de manière plausible un système de management de la sécurité de l’information (SMSI) opérationnel et conforme aux exigences du catalogue ISA.

Contrairement au niveau 3 d’audit, le niveau AL2 ne comprend pas de vérification sur site des contrôles mis en œuvre. L’évaluation est principalement menée sur la base de l’auto-évaluation écrite de l’organisation et des documents justificatifs.

Cela a une implication cruciale : la qualité de l’auto-évaluation détermine la réussite du processus.

Pour le niveau 2 d’évaluation (AL2), l'auditeur doit être en mesure de comprendre comment chaque objectif de contrôle est atteint en se fondant uniquement sur la description écrite figurant dans le catalogue ISA. Les pièces justificatives servent à étayer ces explications — elles ne les remplacent pas. Si le texte de l’auto-évaluation est imprécis, incohérent ou insuffisamment détaillé, aucune documentation supplémentaire ne pourra y remédier. Dans de tels cas, des révisions et des cycles d’examen supplémentaires deviennent nécessaires, ce qui allonge à la fois les délais et le travail interne.

Pourquoi l'investissement interne est-il souvent sous-estimé ?

Les frais d’évaluation sont visibles. L’effort interne ne l’est pas — et c’est là que de nombreuses organisations sont prises au dépourvu.

La préparation d’une auto-évaluation plausible nécessite une compréhension détaillée et documentée du fonctionnement des contrôles de sécurité de l’information à l’échelle de l’organisation. Cela implique généralement la contribution des services suivants :

• des services de sécurité de l’information et informatiques
• des ressources humaines et de la gestion des installations
• Les services chargés de la conformité et des affaires juridiques
• La direction générale

Le temps nécessaire dépend fortement de l’expertise et de la rigueur de la personne chargée de documenter les contrôles dans le catalogue ISA. Les organisations disposant d’un SMSI bien établi et d’un personnel familiarisé avec les exigences TISAX® parviennent souvent à mener à bien ce processus de manière efficace. En revanche, les organisations dont le SMSI est moins mature doivent généralement fournir un effort nettement plus important pour rassembler les informations nécessaires et décrire les processus et contrôles sous-jacents de manière claire et compréhensible. D’après notre expérience en matière d’évaluation, les organisations bien préparées consacrent généralement environ 24 heures à la préparation d’une auto-évaluation plausible. Les organisations moins bien préparées peuvent avoir besoin de 48 heures, voire plus — et les itérations de révision supplémentaires demandées lors du contrôle de plausibilité peuvent encore allonger ce délai.

AL2 contre AL2.5 : un regard plus équilibré sur l’effort total

L’hypothèse selon laquelle un niveau d’évaluation inférieur implique automatiquement un investissement total moindre ne se vérifie pas toujours.

Lorsque l’on compare les niveaux AL2 et AL2.5 en termes d’effort total — incluant à la fois la préparation interne de l’organisation et le travail d’examen de l’évaluateur —, le tableau est différent de ce que suggèrent les seuls honoraires d’évaluation :

Le niveau AL2.5 implique une évaluation plus approfondie et un rôle plus actif de l’auditeur, ce qui entraîne des coûts externes plus élevés. Cependant, la réduction de la charge de travail interne liée à la préparation peut faire du niveau AL2.5 une option véritablement plus efficace pour les organisations qui ne disposent pas de la rigueur nécessaire en matière de documentation ou des ressources humaines suffisantes pour mener à bien une auto-évaluation de niveau AL2 de haute qualité.

Aucune des deux options n’est intrinsèquement préférable. Le choix approprié dépend de la situation spécifique de l’organisation, plutôt que de l’option qui semble la moins coûteuse dans la proposition d’évaluation.

Le risque lié à l’évolution des exigences

De nombreuses organisations entament leur parcours TISAX® avec une exigence claire et spécifique émanant d’un seul client : obtenir un label au niveau d’évaluation 2. À ce moment-là, le niveau AL2 semble être le seul choix raisonnable.

L’écosystème automobile est toutefois dynamique. De nouvelles relations clients, l’élargissement de la portée d’un projet ou la modification des classifications d’informations peuvent rendre nécessaires des niveaux d’évaluation plus élevés — parfois au cours de la même période de validité. Parmi les scénarios qui se présentent fréquemment, on peut citer :

• Traitement d’informations strictement confidentielles
• Exigences impliquant une très haute disponibilité
• L’élargissement du périmètre couvrant la protection des prototypes
• Exigences supplémentaires spécifiques aux équipementiers

Aucune organisation ne peut prédire avec certitude toutes les exigences futures. Mais prendre en compte les évolutions commerciales potentielles dès la phase de planification — plutôt que d’y réagir a posteriori — peut aider à éviter une duplication inutile des efforts.

Comprendre le coût réel de la mise à niveau depuis AL2

Pour les organisations qui commencent au niveau AL2 et qui ont ensuite besoin du niveau AL3, le parcours de mise à niveau n’est pas aussi simple qu’il n’y paraît.

Comme l’AL2 met l’accent sur la plausibilité plutôt que sur la vérification des contrôles sur site, le chevauchement méthodologique entre l’AL2 et l’AL3 est limité. Une mise à niveau de l’AL2 vers l’AL3 représente généralement un effort comparable à celui nécessaire pour mener une évaluation AL3 initiale en partant de zéro. Pour un site unique, cela peut représenter environ 24 heures de travail d’évaluation — ce qui revient essentiellement à tout recommencer à zéro.

En revanche, les organisations qui commencent au niveau AL2.5 peuvent bénéficier d’une évaluation différentielle lors du passage à l’AL3. En fonction de la portée et des labels, cela peut réduire considérablement l’effort d’évaluation nécessaire à la mise à niveau.

Cela ne signifie pas que le niveau AL2 soit un mauvais point de départ. Mais pour les organisations ayant une probabilité réaliste de devoir passer au niveau AL3 à l’avenir, les aspects économiques liés au fait de commencer à un niveau plus élevé méritent d’être soigneusement pris en compte.

Quand le niveau AL2 est le bon choix

Malgré les facteurs évoqués ci-dessus, le niveau d’évaluation 2 constitue un choix approprié et efficace pour de nombreuses organisations. Il peut s’avérer particulièrement adapté lorsque :

• L’organisation dispose déjà d’un SMSI bien documenté
• Le personnel concerné possède une solide expérience des exigences et de la terminologie TISAX®
• Une auto-évaluation de haute qualité peut être préparée avec un minimum d’itérations
• Il n’y a pas d’exigence prévisible de passer au niveau AL3 au cours du cycle d’évaluation actuel

Dans ces conditions, le niveau d’évaluation 2 (AL2) peut constituer une voie sûre vers l’obtention du label TISAX® tout en limitant les coûts liés à l’évaluation externe.

Questions clés pour vous aider à choisir votre niveau d’évaluation

Plutôt que de se baser uniquement sur les frais d’évaluation, les organisations ont tout intérêt à examiner les points suivants :

1. Quel est le degré de maturité de notre documentation SMSI existante ? Peut-on facilement dégager des descriptions claires et compréhensibles des contrôles à partir des processus documentés ?
2. Disposons-nous des ressources internes nécessaires pour mener à bien un processus d’auto-évaluation approfondi sans créer de goulots d’étranglement ?
3. Quels labels nos clients actuels exigent-ils ? Certains d’entre eux sont-ils déjà au niveau AL3 ou pourraient-ils l’être dans un avenir proche ?
4. Sommes-nous en train de développer de nouvelles relations clients susceptibles d’avoir des attentes TISAX® différentes ou plus élevées ?
5. Quel est notre parcours de mise à niveau réaliste ? Si le niveau AL3 s’avère nécessaire, quel serait le coût de cette transition à partir de chaque point de départ ?

Répondre à ces questions concernant les niveaux d’évaluation TISAX® en s’appuyant sur les contributions des équipes chargées de la sécurité de l’information, de l’informatique et des activités commerciales offre une base bien plus fiable pour la prise de décision que la simple comparaison des frais d’évaluation.

Au-delà des frais d’évaluation

Le niveau d’évaluation 2 est souvent considéré comme la voie la plus économique pour obtenir le label TISAX®. Pour les organisations disposant de solides pratiques de documentation et n’ayant pas de besoin prévisible de niveaux d’évaluation supérieurs, cette hypothèse peut très bien être correcte.

Pour d’autres, cependant, les coûts réels du niveau d’évaluation 2 — mesurés en termes d’efforts de préparation en interne, d’itérations de révision et de dépenses potentielles liées à la mise à niveau — peuvent dépasser les économies apparentes réalisées sur les frais d’évaluation.

Le niveau d’évaluation le plus rentable n’est pas nécessairement celui dont le prix d’entrée est le plus bas. C’est celui qui offre le juste équilibre entre effort, assurance et flexibilité pour la situation spécifique de votre organisation.