TISAX et Cybersécurité Gestion des risques de la chaîne d'approvisionnement

TISAX (Trusted Information Security Assessment Exchange) est une norme de sécurité de l'information développée par l'association allemande de l'industrie automobile (VDA) et gérée par l'association ENX. Depuis son introduction en 2017, les constructeurs automobiles, les équipementiers et les fournisseurs de toute l'Europe - et de plus en plus du monde entier - ont largement adopté TISAX pour garantir un niveau uniforme de sécurité de l'information au sein de l'industrie.

Étant donné que TISAX exige un examen complet des contrôles de sécurité de l'information, les constructeurs automobiles et les fournisseurs de pièces détachées devraient élaborer une stratégie d'évaluation des risques et de surveillance continue qui s'aligne sur ses exigences afin de permettre une plus grande résilience cyber dans les chaînes d'approvisionnement mondiales de l'industrie automobile.

Ce billet examine les défis en matière de sécurité de l'information dans l'industrie automobile, les contrôles de sécurité de l'information TISAX et les exigences de conformité, ainsi que les meilleures pratiques pour simplifier la conformité à TISAX.

Défis en matière de sécurité de l'information dans l'industrie automobile

TISAX a été développé pour répondre aux défis et aux besoins spécifiques de l'industrie automobile en matière de sécurité de l'information.

Des exigences de sécurité variées

En règle générale, chaque constructeur automobile élabore ses propres normes de sécurité de l'information et applique ces exigences à ses fournisseurs. Cette approche oblige les fournisseurs à se conformer à de multiples critères de sécurité, parfois contradictoires.

Fatigue de l'audit

En l'absence d'une norme commune, les fournisseurs étaient soumis à de multiples audits par différents fabricants, chacun évaluant la sécurité de l'information sur la base de ses propres critères. Ces audits étaient non seulement répétitifs, mais ils demandaient aussi beaucoup de ressources aux fournisseurs.

Chaînes d'approvisionnement mondiales

L'industrie automobile se caractérise par des chaînes d'approvisionnement complexes et mondiales impliquant de nombreux partenaires et fournisseurs dans différentes régions. Il était de plus en plus difficile et risqué de gérer la sécurité de l'information de manière uniforme dans un réseau aussi vaste, sans norme commune.

Menaces croissantes Cyber

À mesure que l'industrie adoptait davantage de technologies numériques et de systèmes connectés, le risque de menaces sur le site cyber augmentait. Le besoin d'une approche normalisée pour protéger efficacement les systèmes, les informations sensibles et la propriété intellectuelle s'est clairement fait sentir. Récemment, des constructeurs automobiles tels que Toyota ont été touchés par d'importantes attaques cyber contre des fournisseurs.

Conformité réglementaire

Avec des réglementations telles que le Règlement général sur la protection des données (RGPD) de l'UE, il y avait un besoin croissant de pratiques normalisées qui aident les entreprises à se conformer aux exigences légales en matière de protection des données et de la vie privée.

TISAX vise à harmoniser les évaluations de la sécurité de l'information, à réduire la charge d'audit pesant sur les fournisseurs et à garantir que tous les participants à la chaîne d'approvisionnement automobile adhèrent à un niveau de sécurité élevé.

Contrôles et rapports de sécurité de l'information de TISAX

Actuellement dans sa version 6.0.2, l'évaluation de la sécurité de l'information de TISAX (ISA) évalue près de 80 contrôles de sécurité de l'information, de protection des prototypes et de protection des données dans les neuf (9) familles de contrôle suivantes :

• Politiques et organisation de l'Infosec
• Gestion de l'identité et de l'accès
• Conformité
• Ressources humaines
• Sécurité informatique/Cybersécurité
• Protection des prototypes
• Sécurité physique
• Relations avec les fournisseurs
• Protection des données

Une ISA complète présente les résultats de l'évaluation dans un diagramme en toile d'araignée, en notant le niveau de maturité de chaque sous-famille de contrôle de 0 (faible) à 5 (élevé). Chaque contrôle est également mis en correspondance avec les contrôles équivalents dans les normes industrielles telles que ISO 27001, NIST 800-53, BSI et autres.

Exigences de conformité TISAX

Comme il s'agit d'une démarche volontaire, TISAX n'impose pas de sanctions en cas de non-conformité au sens traditionnel des amendes réglementaires. Toutefois, la non-conformité à TISAX peut avoir plusieurs répercussions importantes pour les entreprises de l'industrie automobile, notamment en ce qui concerne leurs relations d'affaires et leur réputation.

Pour de nombreux acteurs de l'industrie automobile, la conformité à TISAX est synonyme de résultats financiers. Les entreprises qui parviennent à la conformité TISAX démontrent leur engagement à protéger les informations sensibles, renforçant ainsi la confiance entre les partenaires commerciaux, atténuant les risques associés aux menaces cyber et à la non-conformité aux réglementations, et augmentant les revenus, l'acquisition de nouveaux clients et la fidélisation des clients existants. L'industrie automobile encourage fortement TISAX, ce qui le rend presque essentiel pour les entreprises qui veulent rester compétitives et sûres dans ce secteur.

Pour se conformer à TISAX, les organisations de l'industrie automobile doivent répondre à plusieurs exigences, qui sont basées sur le catalogue VDA ISA (Information Security Assessment). Ce catalogue adapte la norme ISO/IEC 27001 aux besoins spécifiques de l'industrie automobile.

Les principales exigences et étapes de la mise en conformité avec TISAX sont les suivantes.

• Définir la portée de l'évaluation, en identifiant les parties de l'organisation et les processus qui doivent être évalués sur la base des normes TISAX.
• Effectuer une auto-évaluation à l'aide du questionnaire VDA ISA. Cette étape consiste à évaluer les pratiques et politiques actuelles par rapport aux normes TISAX afin d'identifier les lacunes.
• Mettre en œuvre les contrôles nécessaires pour combler les lacunes et respecter les normes requises. Il peut s'agir de renforcer les mesures de sécurité informatique, de mettre à jour les politiques et de garantir des pratiques adéquates de traitement des données.
• Engager un auditeur accrédité ENX pour réaliser l'audit officiel et une visite sur site afin de vérifier que toutes les exigences de TISAX sont respectées. Il s'agit notamment d'examiner la documentation, d'interroger le personnel et d'inspecter les mesures de sécurité physique et informatique.
• Prendre des mesures correctives si l'audit met en évidence des domaines de non-conformité. Une fois les mesures correctives prises, un audit de suivi peut s'avérer nécessaire pour confirmer la conformité.
• Recevez un label TISAX après une évaluation réussie. Le label est valable trois ans et est enregistré sur le portail ENX TISAX. Il peut être partagé avec les clients et les partenaires pour prouver la conformité.
• Examiner et mettre à jour régulièrement les pratiques de sécurité et se soumettre à une réévaluation tous les trois ans ou plus tôt si des changements importants interviennent dans leur entreprise ou leur environnement informatique.

Ces étapes garantissent qu'une entreprise respecte les normes TISAX pendant l'audit et qu'elle s'engage en permanence à maintenir ces normes.

Cinq bonnes pratiques pour simplifier la conformité à TISAX

L'identification des exigences de conformité, la collecte et l'analyse des données requises, ainsi que les mesures à prendre pour éviter un constat de conformité négatif, peuvent s'avérer complexes et prendre beaucoup de temps. Suivez ces cinq bonnes pratiques pour simplifier le processus.

1. Définir les processus de gestion des risques organisationnels

Élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM) en accord avec vos programmes plus larges de sécurité de l'information et de gouvernance, de gestion des risques de l'entreprise et de conformité. Recherchez des experts qui peuvent collaborer avec votre organisation sur les points suivants :

• Définir les processus et les solutions TPRM et C-SCRM
• Choisir des questionnaires et des cadres d'évaluation des risques pour comparer les résultats (par exemple, une évaluation spécifique de TISAX ou une évaluation plus générale de la norme ISO 27001).
• Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.
• Établir des rôles et des responsabilités clairs (par exemple, RACI) dans l'ensemble de l'organisation.
• Mise en place d'un système d'évaluation des risques et de seuils basés sur la tolérance au risque de votre organisation

2. Profil et classement de tous les fournisseurs

Créez un inventaire centralisé des fournisseurs en les important à l'aide d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement ou de chaîne logistique existante. Les équipes de toute l'entreprise doivent être en mesure de renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et des tâches de flux de travail associées. Tout le monde devrait pouvoir y accéder par le biais d'une invitation par courrier électronique, sans avoir besoin d'une formation ou d'une expertise en matière de solutions.

Lorsque tous les fournisseurs sont examinés, les équipes doivent créer des profils de fournisseurs complets qui contiennent toutes les preuves documentaires liées à l'évaluation TISAX, ainsi que des informations sur les caractéristiques démographiques du fournisseur, ses scores ESG, ses activités récentes et sa réputation, l'historique des violations de données et ses récentes performances financières. Cela ajoutera le contexte nécessaire aux processus d'audit.

Une partie du processus de profilage consiste à identifier les fournisseurs de quatrième et de Nième partie dans votre écosystème de fournisseurs, car les dépendances critiques peuvent avoir un impact sur les décisions d'échelonnement. Effectuez une évaluation de vos fournisseurs au moyen d'un questionnaire ou analysez passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte doit décrire les dépendances étendues qui pourraient exposer votre organisation à des risques.

Enfin, il convient de quantifier les risques inhérents à tous les fournisseurs afin de les classer efficacement, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations continues. Les critères utilisés pour calculer les risques inhérents à la hiérarchisation des fournisseurs peuvent être les suivants :

• Criticité pour les performances et les opérations de l'entreprise
• Lieu(x) et considérations juridiques ou réglementaires connexes (par exemple, GDPR)
• Interaction avec les données protégées

3. Évaluer les fournisseurs par rapport aux exigences de TISAX

Exploiter l'évaluation des risques TISAX d'un fournisseur, ISO 27001, NIST 800-53, ou toute autre évaluation standard de l'industrie qui peut être facilement mise en correspondance avec les exigences de TISAX. Incorporer l'évaluation dans une plateforme centrale de gestion des risques fournisseurs et utiliser des automatisations de flux de travail, la gestion des tâches et des capacités d'examen automatisé des preuves pour évaluer les scores de maturité des fournisseurs. En outre, les résultats de l'évaluation doivent être présentés dans un registre central des risques qui vous permet de visualiser, de trier et d'identifier rapidement les risques les plus importants.

4. Remédier aux constatations

Il est important de suggérer des mesures correctives pour les contrôles des fournisseurs à faible maturité qui dépassent l'appétit pour le risque de l'organisation. Les solutions de TPRM devraient inclure des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos fournisseurs traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

5. Surveiller en permanence les menaces qui pèsent sur les fournisseurs

Suivre et analyser en permanence les menaces externes qui pèsent sur les fournisseurs. Dans ce cadre, surveillez l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur le site cyber . Les sources de surveillance sont généralement les suivantes

• Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
• Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde entier

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, il convient d'appliquer une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle doit encadrer les risques dans une matrice, de sorte que vous puissiez facilement voir les risques ayant l'impact le plus élevé et prioriser les efforts de remédiation sur ceux-ci. Attribuez des responsables et assurez le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise.

Prochaines étapes de la mise en conformité avec TISAX

La plateforme de gestion des risques des tiersPrevalent offre une solution centrale et automatisée pour développer la gestion des risques des tiers et la gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité, de concert avec votre programme plus large de cybersécurité et de gestion des risques de l'entreprise. Avec Prevalent, votre équipe peut :

• Créer un inventaire centralisé des fournisseurs avec des profils de risque complets accessibles à plusieurs équipes dans l'entreprise.
• Évaluer le risque inhérent afin d'établir le profil, l'échelonnement et la catégorisation des fournisseurs - et déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
• Automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des tiers
• Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'Internet et le dark web à la recherche de menaces et de vulnérabilités sur le site cyber .

Contactez Prevalent dès aujourd'hui pour une évaluation gratuite de la maturité pour déterminer comment vos politiques TPRM se situent par rapport aux exigences de TISAX avant une pré-évaluation des fournisseurs, ou pour planifier une démonstration.