Nouveau catalogue ISA 6.0 valable à partir du 1er avril 2024.

CONTENU

Les menaces croissantes nécessitent des ajustements au catalogue ISA

Étiquette "Disponibilité" : extension aux installations de production

Étiquette "Confidentialité" : protection des informations sensibles

Quelles implications pour un futur audit TISAX® ?

ISO 27001 et IEC 62443 : une base solide

Changements du catalogue ISA 6.0 en 2024 : Conclusion

TISAX 6.0 - Contexte

Les menaces croissantes nécessitent des ajustements au catalogue ISA

Compte tenu de l'importance et de la complexité des chaînes d'approvisionnement, la sécurité de l'information et la cybersécurité de bout en bout jouent un rôle clé dans l'industrie automobile. En effet, les fournisseurs sont étroitement impliqués dans les processus de développement et de production. Cela signifie qu'ils ont souvent accès à des informations hautement sensibles et doivent faire preuve d'une grande résilience. Les tensions géopolitiques ainsi que la numérisation et l'interconnexion croissantes des chaînes d'approvisionnement augmentent les risques liés à la sécurité de l'information.

En conséquence de ces dynamiques, le catalogue VDA ISA existant, version 5.1, a été mis à jour. La version 6.0 a été publiée en anglais le 16 octobre 2023 et mise à disposition en téléchargement.

Le nouveau catalogue de questions ISA 6.0 représente une étape importante pour TISAX®. Cela entraîne des ajustements dans les exigences pour les fournisseurs d'audit définies dans les réglementations TISAX® ACAR 2.2. Le passage à l'anglais comme langue principale du catalogue ISA 6.0 souligne la perspective mondiale et les efforts communs pour continuer à développer le catalogue des exigences au sein de groupes de travail internationaux.

De nouvelles étiquettes remplacent l'étiquette familière de "sécurité de l'information"

Les principaux changements dans le catalogue 6.0 de l’Information Security Assessment (ISA) concernent le module "Sécurité de l’information" et le système d’étiquetage associé à TISAX®. À l’avenir, l’étiquette familière "Sécurité de l’information" sera entièrement remplacée par deux nouvelles étiquettes : "Disponibilité" et "Confidentialité".

L’étiquette "Disponibilité" dans le catalogue ISA 6.0 : extension aux installations de production

Dans le nouveau catalogue ISA, les étiquettes "Disponibilité élevée" et "Disponibilité très élevée" ont été précisées. Par conséquent, les systèmes OT (Operational Technology) seront davantage mis en avant lors des futurs audits.

L’interconnexion croissante des environnements de production, c’est-à-dire les systèmes de contrôle de l’automatisation industrielle (IACS) et leurs réseaux, entraîne de nouveaux défis pour la sécurité de l’information. Les installations de production couvrent des réseaux extrêmement vastes, intégrant une multitude de technologies et de protocoles spécialisés.

Sur de nombreux aspects, ces environnements diffèrent fondamentalement des systèmes informatiques (IT) : les environnements de production sont généralement conçus pour fonctionner pendant de nombreuses années, et une fois qu’ils sont opérationnels, ils sont laissés aussi intacts que possible, à l’exception des travaux de maintenance et de réparation réguliers. Cela signifie que des systèmes d’exploitation obsolètes, des protocoles de communication ou des algorithmes de chiffrement dépassés continuent d’être utilisés sur de nombreux composants.

Pendant longtemps, les processus automatiques de mise à jour et de correctifs étaient jugés indésirables ou, à tout le moins, considérés avec prudence. La crainte était trop grande qu’un processus de production complexe puisse être désynchronisé, entraînant ainsi des pertes économiques considérables. Les systèmes et réseaux de communication distribués à grande échelle, auxquels de nombreux employés peuvent accéder, présentent également de multiples points d’attaque physiques.

La fiabilité et la disponibilité des systèmes de production automatisés sont non seulement cruciales d’un point de vue économique, mais également parce que des écarts dans le processus peuvent causer des dommages considérables et des pertes financières importantes.

Afin d’intégrer tous ces aspects spécifiques à l’OT dans le catalogue ISA 6.0, ENX et VDA se sont orientés vers la série de normes internationalement reconnue IEC 62443, et en particulier vers la sous-section 2-1.

Étiquette "Confidentialité" : Protection des informations sensibles

Lorsqu'une entreprise est en charge d'informations sensibles, elle doit démontrer qu'elle est capable de les protéger de manière appropriée. Les étiquettes "Confidentialité élevée" ou "Confidentialité stricte" servent à sélectionner les exigences du catalogue ISA 6.0 qui contribuent à cet objectif de protection.

Que signifie cela pour un futur audit TISAX® ?

Les nouveaux labels permettent un audit en fonction des rôles possibles qu'un fournisseur joue dans la chaîne d'approvisionnement. Si un fournisseur a été identifié comme particulièrement important pour la chaîne d'approvisionnement, il peut utiliser le label "Disponibilité" pour prouver sa fiabilité. Si un fournisseur est chargé d'informations particulièrement sensibles, il peut utiliser le label "Confidentialité" pour prouver qu'il a pris les précautions appropriées pour protéger ces informations. Si un fournisseur assume la responsabilité des deux rôles, il peut être audité pour les deux labels.

Le même ensemble d'exigences de base doit être respecté pour les deux labels. De plus, il existe des exigences spécifiques pour des besoins de protection élevés et très élevés pour chaque label. Cela signifie que l'audit est réalisé en fonction du label.

Une transition du système de labels sera également effectuée dans la base de données TISAX®. À l'avenir, le label "Sécurité de l'information élevée" sera remplacé par les deux labels combinés "Disponibilité élevée" et "Confidentialité élevée". Il en va de même pour le label "Sécurité de l'information très élevée", qui sera remplacé par les labels "Disponibilité très élevée" et "Confidentialité stricte" à l'avenir. Cela se fera automatiquement pour tous les participants qui possèdent déjà un label "sécurité de l'information" sur la plateforme TISAX®.

L'objectif principal des audits sélectifs décrits ci-dessus est de s'assurer que les entreprises n'ont à satisfaire que les exigences du questionnaire ISA 6.0 qui leur sont pertinentes. En même temps, de nouveaux défis apparaissent pour les entreprises de fabrication, car les systèmes OT doivent désormais être gérés de manière similaire à ce qui est déjà généralement requis pour les systèmes IT TISAX®.

En fonction du cas particulier, les entreprises doivent donc s'attendre à des exigences supplémentaires qui devront être renforcées dans le système de management de la sécurité de l'information (SGSI) et qui peuvent entraîner des coûts supplémentaires.

Nouvelles exigences dans la version 6.0

• Sécurité et continuité des opérations : L'OT joue un rôle crucial dans les installations de production où les systèmes automatisés tels que les IACS sont d'une importance centrale. Assurer la disponibilité de ces systèmes ne concerne pas seulement la productivité, mais aussi la sécurité. Les employés travaillent souvent à proximité de ces systèmes automatisés, et toute défaillance pourrait représenter un risque important pour la sécurité. Par exemple, des capteurs ou des contrôles OT mal calibrés peuvent mettre en danger les personnes et les équipements précieux.
• Gestion des risques : Avec l'inclusion de l'OT dans le périmètre, les entreprises doivent prendre en compte les risques spécifiques associés à ces systèmes. Les systèmes OT doivent être régulés, classés et surveillés de manière à pouvoir contrer efficacement les risques émergents. Des responsables doivent être nommés pour ces tâches.
• Contrôle d'accès : L'accès des prestataires de services aux réseaux OT à des fins de maintenance est un enjeu critique. Des contrôles d'accès appropriés et des protocoles détaillés sont essentiels pour maintenir la sécurité et l'intégrité des systèmes OT
• Compétence du personnel : Le personnel responsable de l'exploitation des systèmes OT doit être adéquatement formé, compétent et conscient des risques potentiels liés à l'exploitation. Les considérations concernant le personnel, y compris les vérifications de leurs antécédents pour les postes sensibles, sont cruciales en raison de la criticité de ces systèmes.
• Gestion du cycle de vie : La gestion efficace des systèmes OT tout au long de leur cycle de vie, y compris la réparation, le transport et l'élimination, est essentielle pour minimiser les risques liés aux données des appareils locaux et à l'accès.
• Mesures de sécurité : L'OT doit être protégé contre les attaques potentielles par des solutions de sécurité robustes, telles que des logiciels antivirus, des pare-feu ou la réduction des interfaces et services ouverts.
• Audits et évaluation des vulnérabilités : Des audits techniques réguliers des systèmes sont nécessaires pour vérifier le durcissement des systèmes OT conformément aux spécifications du fabricant et identifier les vulnérabilités connues.
• Segmentation du réseau : Les réseaux doivent être correctement segmentés en fonction de l'objectif et du risque, afin de protéger les environnements IT et OT les uns des autres.
• Sauvegarde et récupération : Des plans complets de sauvegarde et de récupération sont essentiels pour assurer la continuité des affaires dans les systèmes OT.
• Niveaux de service et surveillance : Des niveaux de service appropriés et des définitions de disponibilité doivent être en place et surveillés en continu pour les services du réseau OT.
• Prestataires externes : Si des prestataires externes utilisent des dispositifs OT, le niveau de sécurité de l'information concernant l'accès et autres informations stockées sur le dispositif doit être régulé pour le prestataire externe.

ISO 27001 et IEC 62443 comme fondation solide

Un système de management de la sécurité de l'information (SGSI) conforme à la norme ISO 27001 est déjà une exigence légale dans certaines industries réglementées. Dans de nombreuses industries, c'est également un critère de conformité de base, officiellement ou officieusement, pour la conclusion de contrats de services ou d'accords similaires.

Étant donné que le questionnaire ISA 6.0 est également basé sur cette norme, un SGSI certifié constitue déjà une bonne base pour un audit TISAX®. Cependant, TISAX® exige une mise en œuvre spécifique du SGSI avec des exigences détaillées de type "doit" et "devrait", ainsi que des exigences supplémentaires pour un niveau de protection élevé ou très élevé.

En plus du SGSI, la norme IEC 62443 et les nouvelles exigences qui en résultent dans le catalogue ISA fournissent une base robuste. La section 2 de la norme décrit la structure d'un système de management de la cybersécurité industrielle. La section 2-1 couvre, entre autres, l'établissement d'un programme de sécurité pour les systèmes d'automatisation et de contrôle industriel.

Lors de l'élaboration de ces domaines, la Commission électrotechnique internationale (CEI) s'est de nouveau inspirée de la norme ISO 27001, dont de nombreux processus et mécanismes peuvent également être appliqués aux systèmes de contrôle. Cela signifie que les réseaux de communication industriels et les systèmes d'automatisation et de contrôle industriel (IACS) sont inclus dans l'audit.

Catalogue ISA 6.0 : Quels délais s'appliquent aux utilisateurs ?

Le passage au catalogue d'audit ISA 6.0 aura lieu le 1er avril 2024. Toute personne qui commande une évaluation TISAX® jusqu'au 31 mars inclus pourra encore être audité selon l'ancien catalogue ISA 5.1. Les évaluations commandées à partir du 1er avril de l'année prochaine devront obligatoirement être réalisées conformément à la nouvelle version 6.0 du catalogue ISA.

D'une part, cela signifie que l'évaluation sera plus complexe à partir d'avril 2024, mais d'autre part, le niveau de sécurité accru sera avantageux pour votre entreprise. Il est important de vous préparer dès maintenant aux nouvelles exigences et de les mettre en œuvre de manière consciencieuse afin de bénéficier de la confiance accrue envers le nouveau label TISAX®.

Toutes les activités d'audit qui dépendent d'évaluations existantes, telles que les évaluations de plans d'action correctifs, les suivis, les évaluations d'extension de périmètre ou les évaluations de groupe simplifiées, continueront à être réalisées conformément à la version ISA selon laquelle l'évaluation initiale a été effectuée.

Changements du catalogue ISA 6.0 en 2024 : Conclusion

La publication du Catalogue ISA 6.0 constitue un événement majeur dans le monde en constante évolution des normes automobiles et de la conformité. Cette mise à jour reflète un engagement continu envers l'excellence, la précision et l'importance croissante de la sécurité de l'information dans l'industrie automobile. Avec l'introduction des nouvelles étiquettes de confidentialité et de disponibilité, ainsi qu'un périmètre élargi couvrant les systèmes de Technologie Opérationnelle (OT), le secteur automobile continue d'évoluer vers des normes plus élevées en matière de qualité et de sécurité.

DQS est agréé par ENX en tant que fournisseur de services d'évaluation et peut donc réaliser des évaluations TISAX® dans le monde entier. Nous disposons d'auditeurs TISAX® qui sont également agréés pour la norme internationale ISO 27001 sur la sécurité de l'information. Cela signifie que les deux normes peuvent être évaluées par DQS simultanément et avec moins d'efforts supplémentaires. Nous sommes impatients de discuter avec vous.

Note : L'accès à TISAX® se fait via l'inscription des participants, qui doit être réalisée en ligne sur le portail ENX. Il s'agit de la condition préalable pour pouvoir confier une mission à un fournisseur de services d'évaluation agréé tel que DQ

TISAX® 6.0 - background information

TISAX® est basé sur le catalogue VDA ISA développé par l'Association allemande de l'industrie automobile (VDA), un questionnaire complet qui repose essentiellement sur les "contrôles", les mesures de référence de l'Annexe A de la norme de sécurité de l'information ISO 27001, et qui a été adapté aux exigences spécifiques du secteur automobile.

La norme de sécurité de l'information a depuis été révisée et publiée sous la nouvelle version ISO/IEC 27001:2022 le 25 octobre 2022. L'Annexe A en particulier a été modifiée par cette révision. Une adaptation correspondante aux nouveaux contrôles a également été effectuée avec la version 6.0 de l'ISA.

TISAX® s'adresse principalement aux entreprises qui souhaitent ou doivent démontrer un certain niveau de sécurité de l'information et de disponibilité pour une collaboration avec un (ou plusieurs) constructeur automobile (partenaire). L'Association ENX, basée à Francfort-sur-le-Main et à Paris, est responsable de la mise en œuvre et du suivi de la procédure. ENX est une association de fabricants automobiles européens, de fournisseurs et de quatre associations nationales du secteur automobile, dont le VDA, fondateur de l'ENX en Allemagne.

Confiance et expertise

Nos textes et brochures sont rédigés exclusivement par nos experts en normes ou nos auditeurs de longue date. Si vous avez des questions sur le contenu des textes ou sur nos services, veuillez nous contacter.