TISAX (Trusted Information Security Assessment Exchange) est une norme de sécurité de l'information développée par l'association allemande de l'industrie automobile (VDA) et gérée par l'association ENX. Depuis son introduction en 2017, les constructeurs automobiles, les équipementiers et les fournisseurs de toute l'Europe - et de plus en plus du monde entier - ont largement adopté TISAX pour garantir un niveau uniforme de sécurité de l'information au sein de l'industrie.
Étant donné que TISAX exige un examen complet des contrôles de sécurité de l'information, les constructeurs automobiles et les fournisseurs de pièces détachées devraient élaborer une stratégie d'évaluation des risques et de surveillance continue qui s'aligne sur ses exigences afin de permettre une plus grande résilience cyber dans les chaînes d'approvisionnement mondiales de l'industrie automobile.
Ce billet examine les défis en matière de sécurité de l'information dans l'industrie automobile, les contrôles de sécurité de l'information TISAX et les exigences de conformité, ainsi que les meilleures pratiques pour simplifier la conformité à TISAX.
TISAX a été développé pour répondre aux défis et aux besoins spécifiques de l'industrie automobile en matière de sécurité de l'information.
En règle générale, chaque constructeur automobile élabore ses propres normes de sécurité de l'information et applique ces exigences à ses fournisseurs. Cette approche oblige les fournisseurs à se conformer à de multiples critères de sécurité, parfois contradictoires.
En l'absence d'une norme commune, les fournisseurs étaient soumis à de multiples audits par différents fabricants, chacun évaluant la sécurité de l'information sur la base de ses propres critères. Ces audits étaient non seulement répétitifs, mais ils demandaient aussi beaucoup de ressources aux fournisseurs.
L'industrie automobile se caractérise par des chaînes d'approvisionnement complexes et mondiales impliquant de nombreux partenaires et fournisseurs dans différentes régions. Il était de plus en plus difficile et risqué de gérer la sécurité de l'information de manière uniforme dans un réseau aussi vaste, sans norme commune.
À mesure que l'industrie adoptait davantage de technologies numériques et de systèmes connectés, le risque de menaces sur le site cyber augmentait. Le besoin d'une approche normalisée pour protéger efficacement les systèmes, les informations sensibles et la propriété intellectuelle s'est clairement fait sentir. Récemment, des constructeurs automobiles tels que Toyota ont été touchés par d'importantes attaques cyber contre des fournisseurs.
Avec des réglementations telles que le Règlement général sur la protection des données (RGPD) de l'UE, il y avait un besoin croissant de pratiques normalisées qui aident les entreprises à se conformer aux exigences légales en matière de protection des données et de la vie privée.
TISAX vise à harmoniser les évaluations de la sécurité de l'information, à réduire la charge d'audit pesant sur les fournisseurs et à garantir que tous les participants à la chaîne d'approvisionnement automobile adhèrent à un niveau de sécurité élevé.
Actuellement dans sa version 6.0.2, l'évaluation de la sécurité de l'information de TISAX (ISA) évalue près de 80 contrôles de sécurité de l'information, de protection des prototypes et de protection des données dans les neuf (9) familles de contrôle suivantes :
Une ISA complète présente les résultats de l'évaluation dans un diagramme en toile d'araignée, en notant le niveau de maturité de chaque sous-famille de contrôle de 0 (faible) à 5 (élevé). Chaque contrôle est également mis en correspondance avec les contrôles équivalents dans les normes industrielles telles que ISO 27001, NIST 800-53, BSI et autres.
Comme il s'agit d'une démarche volontaire, TISAX n'impose pas de sanctions en cas de non-conformité au sens traditionnel des amendes réglementaires. Toutefois, la non-conformité à TISAX peut avoir plusieurs répercussions importantes pour les entreprises de l'industrie automobile, notamment en ce qui concerne leurs relations d'affaires et leur réputation.
Pour de nombreux acteurs de l'industrie automobile, la conformité à TISAX est synonyme de résultats financiers. Les entreprises qui parviennent à la conformité TISAX démontrent leur engagement à protéger les informations sensibles, renforçant ainsi la confiance entre les partenaires commerciaux, atténuant les risques associés aux menaces cyber et à la non-conformité aux réglementations, et augmentant les revenus, l'acquisition de nouveaux clients et la fidélisation des clients existants. L'industrie automobile encourage fortement TISAX, ce qui le rend presque essentiel pour les entreprises qui veulent rester compétitives et sûres dans ce secteur.
Pour se conformer à TISAX, les organisations de l'industrie automobile doivent répondre à plusieurs exigences, qui sont basées sur le catalogue VDA ISA (Information Security Assessment). Ce catalogue adapte la norme ISO/IEC 27001 aux besoins spécifiques de l'industrie automobile.
Les principales exigences et étapes de la mise en conformité avec TISAX sont les suivantes.
Ces étapes garantissent qu'une entreprise respecte les normes TISAX pendant l'audit et qu'elle s'engage en permanence à maintenir ces normes.
L'identification des exigences de conformité, la collecte et l'analyse des données requises, ainsi que les mesures à prendre pour éviter un constat de conformité négatif, peuvent s'avérer complexes et prendre beaucoup de temps. Suivez ces cinq bonnes pratiques pour simplifier le processus.
Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité. Recherchez des experts qui peuvent collaborer avec votre organisation sur les points suivants :
Créez un inventaire centralisé des fournisseurs en les important à l'aide d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement ou de chaîne logistique existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et des tâches de flux de travail associées. Tout le monde devrait pouvoir y accéder par le biais d'une invitation par courrier électronique, sans avoir besoin d'une formation ou d'une expertise en matière de solutions.
Lorsque tous les fournisseurs sont examinés, les équipes doivent créer des profils de fournisseurs complets qui contiennent toutes les preuves documentaires liées à l'évaluation TISAX, ainsi que des informations sur les caractéristiques démographiques du fournisseur, ses scores ESG, ses activités récentes et sa réputation, l'historique des violations de données et ses récentes performances financières. Cela ajoutera le contexte nécessaire aux processus d'audit.
Une partie du processus de profilage consiste à identifier les fournisseurs de quatrième et de Nième partie dans votre écosystème de fournisseurs, car les dépendances critiques peuvent avoir un impact sur les décisions d'échelonnement. Effectuez une évaluation de vos fournisseurs au moyen d'un questionnaire ou analysez passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte doit décrire les dépendances étendues qui pourraient exposer votre organisation à des risques.
Enfin, il convient de quantifier les risques inhérents à tous les fournisseurs afin de les classer efficacement, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations continues. Les critères utilisés pour calculer les risques inhérents à la hiérarchisation des fournisseurs peuvent être les suivants :
Exploiter l'évaluation des risques TISAX d'un fournisseur, ISO 27001, NIST 800-53, ou toute autre évaluation standard de l'industrie qui peut être facilement mise en correspondance avec les exigences de TISAX. Incorporer l'évaluation dans une plateforme centrale de gestion des risques fournisseurs et utiliser des automatisations de flux de travail, la gestion des tâches et des capacités d'examen automatisé des preuves pour évaluer les scores de maturité des fournisseurs. En outre, les résultats de l'évaluation doivent être présentés dans un registre central des risques qui vous permet de visualiser, de trier et d'identifier rapidement les risques les plus importants.
Il est important de suggérer des mesures correctives pour les contrôles des fournisseurs à faible maturité qui dépassent l'appétit pour le risque de l'organisation. Les solutions de TPRM devraient inclure des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos fournisseurs traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.
Suivre et analyser en permanence les menaces externes qui pèsent sur les fournisseurs. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Les sources de surveillance sont généralement les suivantes
Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.
Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, il convient d'appliquer une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, de sorte que vous puissiez facilement voir les risques ayant l'impact le plus élevé et prioriser les efforts de remédiation sur ceux-ci. Attribuez des responsables et assurez le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise.
La plateforme de gestion des risques des tiersPrevalent offre une solution centrale et automatisée pour développer la gestion des risques des tiers et la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité, de concert avec votre programme plus large de cybersécurité et de gestion des risques de l'entreprise. Avec Prevalent, votre équipe peut :
Contactez Prevalent dès aujourd'hui pour une évaluation gratuite de la maturité pour déterminer comment vos politiques TPRM se situent par rapport aux exigences de TISAX avant une pré-évaluation des fournisseurs, ou pour planifier une démonstration.
Découvrez les principaux changements apportés au questionnaire standard de collecte d'informations (SIG) pour 2025 et apprenez ce qu'ils...
12/16/2024
Tirez parti de ces bonnes pratiques pour répondre aux exigences du NIS2 en matière de gestion des risques pour les tiers.
12/03/2024
Interrogez vos vendeurs et fournisseurs sur leurs processus de gestion des risques de cybersécurité, de gouvernance et de divulgation des...
10/24/2024