Atténuer les risques liés aux tiers dans la chaîne d'approvisionnement automobile

Avec une moyenne de 30 000 pièces différentes nécessaires à la construction d'un seul véhicule, vous pouvez imaginer les processus complexes et la coordination de la chaîne d'approvisionnement nécessaires à la fabrication d'automobiles à l'échelle mondiale. Ces chaînes d'approvisionnement, avec d'innombrables fabricants et prestataires de services tiers, constituent une source de risque importante pour les constructeurs automobiles. Et les vulnérabilités du secteur ne feront que croître avec l'intégration croissante de la technologie dans les véhicules.

Les constructeurs et fabricants automobiles tout au long de la chaîne d'approvisionnement automobile doivent donc être vigilants face à l'augmentation du nombre de sites cyber et des risques commerciaux. En utilisant le cadre TISAX (Trusted Information Security Assessment Exchange), ainsi que d'autres suggestions de Prevalent, les entreprises peuvent être mieux positionnées pour atténuer les vulnérabilités présentes dans la chaîne d'approvisionnement automobile. Dans ce blog, je vais passer en revue les risques spécifiques de la chaîne d'approvisionnement automobile, identifier comment TISAX peut aider à fournir un cadre pour faire face à ces risques, et ensuite discuter comment Prevalent peut aider.

La chaîne d'approvisionnement automobile

La chaîne d'approvisionnement automobile, qui comprend la production et le transport de différentes pièces et composants automobiles, est nécessaire pour des raisons tant financières que réglementaires. La production de tous les composants nécessaires à une automobile serait trop coûteuse pour une seule entreprise. Sur le plan réglementaire, il existe plusieurs lois (par exemple, le Michigan House Bill 5606 (2014)) qui empêchent les constructeurs automobiles de vendre directement aux consommateurs.

Les récentes perturbations technologiques ont conduit les constructeurs automobiles à repenser et à restructurer la chaîne d'approvisionnement. Par exemple, l'optimisation des véhicules a conduit les constructeurs à utiliser les données recueillies par les dispositifs de suivi pour optimiser les performances. Les modifications apportées aux véhicules qui en résultent nécessitent souvent des changements dans la chaîne d'approvisionnement, ce qui accroît la dépendance à l'égard des systèmes non OEM (fabricant d'équipements d'origine) et ouvre davantage de possibilités de risques potentiels.

Cyber Vulnérabilités

Comme toutes les industries modernes, l'industrie automobile n'est pas à l'abri des menaces de sécurité cyber . Selon une étude récente menée par Synopsys et SAE International, 30 % des organisations de l'industrie automobile ne disposent pas d'une équipe de sécurité établie cyber , et seulement 63 % testent la technologie qu'elles produisent pour détecter les failles de sécurité. En juillet 2018, une violation de données a frappé plusieurs constructeurs automobiles, dont General Motors, Tesla, Toyota et Ford. Plus de 47 000 fichiers ont été volés lors de cette violation, notamment des plans, des accords de non-divulgation et d'autres secrets commerciaux sensibles. La violation s'est produite via un fournisseur tiers, Level One Robotics, une entreprise spécialisée dans le processus d'automatisation pour les fournisseurs et les fabricants automobiles.

TISAX

L'un des moyens d'atténuer les risques dans la chaîne d'approvisionnement automobile est le système TISAX (Trusted Information Security Assessment Exchange). TISAX, initialement développé par l'Association allemande de l'industrie automobile (Verband der Automobilindustrie), permet de réaliser des audits de sécurité de l'information sur les fabricants et les fournisseurs de l'industrie automobile. TISAX fournit aux fabricants les informations nécessaires pour prendre des décisions éclairées dans le processus de fabrication et de distribution tout en gérant les risques en conséquence. TISAX continue de construire sa "communauté" au sein de la chaîne d'approvisionnement automobile dans l'espoir de permettre à tous les membres de la communauté de travailler en toute transparence et en toute confiance. Avoir la certification TISAX comme exigence s'est avéré efficace dans la gestion des risques depuis sa mise en œuvre en Allemagne en 2018.

Comment Prevalent peut-il vous aider ?

En raison de la complexité et des changements constants de la chaîne d'approvisionnement automobile, la surveillance continue des différents fabricants impliqués est essentielle pour gérer et atténuer les risques. Après tout, un défaut dans la chaîne d'approvisionnement peut entraîner un risque de marque, financier, réglementaire et/ou cyber . L'atténuation des risques de la chaîne d'approvisionnement doit comprendre les étapes suivantes :

1. Standardisation d'une évaluation basée sur un questionnaire avec un cadre commun de preuves fournies par le fournisseur et de diligence raisonnable.
2. Recueillir les réponses et les preuves des fournisseurs sur une plateforme centrale qui permet aux fabricants d'identifier rapidement les risques dans l'ensemble de leur écosystème de fournisseurs ou au niveau du fournisseur.
3. Exploitation d'un réseau partagé de questionnaires fournisseurs standardisés et validés pour accélérer le processus d'identification et d'atténuation des risques.
4. Surveiller en permanence l'état de santé des réseaux des fournisseurs (cyber ) du point de vue d'un pirate informatique, afin de fournir une visibilité et des conseils pour remédier aux lacunes susceptibles d'entraîner un accès non désiré, et de superposer les résultats de l'évaluation par questionnaire pour obtenir une image plus complète des risques pour les fournisseurs.
5. Intégration de renseignements sur les risques commerciaux - tels que les données financières des fournisseurs (lorsqu'elles sont disponibles), les principaux événements d'actualité, les poursuites judiciaires ou les rappels - qui peuvent donner un aperçu des risques potentiels futurs de cyber .
6. Permettre la remédiation avec des conseils spécifiques pour atténuer les risques.
7. Reporting par cadre réglementaire ou de conformité (tel que ISO 27001, etc.) à partager de manière transparente avec les membres de la chaîne d'approvisionnement.

Prevalent offre une plateforme unifiée conçue dès le départ pour évaluer et surveiller les tiers et fournir des conseils pour réduire les risques. En travaillant avec des audits tels que TISAX, Prevalent peut fournir une vue globale du risque lié aux tiers dans l'industrie automobile. Pour plus d'informations sur la façon dont Prevalent peut vous aider, contactez-nous pour une démonstration dès aujourd'hui.