TISAX (Trusted Information Security Assessment Exchange) est une norme de sécurité de l'information développée par l'association allemande de l'industrie automobile (VDA) et gérée par l'association ENX. Depuis son introduction en 2017, les constructeurs automobiles, les équipementiers et les fournisseurs à travers l'Europe - et de plus en plus dans le monde - ont largement adopté TISAX pour garantir un niveau uniforme de sécurité de l'information au sein de l'industrie.
Actuellement dans sa version 6.0.2, l'évaluation de la sécurité de l'information (ISA) de TISAX évalue près de 80 contrôles de sécurité de l'information, de protection des prototypes et de protection des données dans neuf (9) familles de contrôles.
Étant donné que TISAX exige un examen complet des contrôles de sécurité de l'information, les constructeurs automobiles et les fournisseurs de pièces détachées devraient élaborer une stratégie d'évaluation des risques et de surveillance continue qui s'aligne sur ses exigences afin de permettre une plus grande résilience cyber dans les chaînes d'approvisionnement mondiales.
Les 5 meilleures pratiques en matière de conformité TISAX
Conformité au système TISAX (Trusted Information Security Assessment Exchange) : Cybersecurity Supply Chain Risk Management for the Automotive Industry (Gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité pour l'industrie automobile), fournit des informations clés pour répondre aux exigences de TISAX.
Définir le champ d'application de l'évaluation TISAX, en identifiant les parties de l'organisation et les processus qui doivent être évalués.
Mettre en œuvre les contrôles nécessaires pour combler les lacunes et respecter les normes requises.
Prendre des mesures correctives si l'audit met en évidence des domaines de non-conformité.
Réaliser une auto-évaluation à l'aide du questionnaire ISA de TISAX, en évaluant les pratiques et politiques actuelles par rapport aux normes TISAX.
Engager un auditeur accrédité ENX pour effectuer l'audit officiel et une visite sur site
Examiner et mettre à jour régulièrement les pratiques en matière de sécurité et se soumettre à une réévaluation tous les trois ans.
Associez-vous aux experts de Prevalent pour élaborer un programme complet de gestion des risques des tiers (TPRM) ou de gestion des risques de la chaîne d'approvisionnement en matière de cybersécurité (C-SCRM), en accord avec vos programmes plus larges de sécurité et de gouvernance de l'information, de gestion des risques de l'entreprise et de conformité.
Prevalent aide les équipes à créer un inventaire centralisé des fournisseurs en les important via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement ou de chaîne logistique existante.
Lorsque tous les fournisseurs sont examinés, la plateforme crée des profils de fournisseurs complets qui contiennent toutes les preuves documentaires liées à l'évaluation TISAX, ainsi que des informations sur les données démographiques du fournisseur, les scores ESG, les récentes informations commerciales et de réputation, l'historique des violations de données et les récentes performances financières.
Prevalent quantifie les risques inhérents à tous les fournisseurs afin de les classer efficacement, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer la portée des évaluations continues.
Avec Prevalent, vous pouvez identifier les fournisseurs de quatrième et de Nième partie dans votre écosystème de fournisseurs grâce à une évaluation basée sur un questionnaire de vos fournisseurs ou en analysant passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues qui pourraient exposer votre organisation à des risques.
La plate-forme comprend une évaluation des risques qui correspond aux exigences de TISAX et d'ISO 27001 et qui tire parti de l'automatisation des flux de travail, de la gestion des tâches et des capacités d'examen automatisé des preuves pour évaluer les scores de maturité des fournisseurs. En outre, la solution Prevalent présente les résultats de l'évaluation dans un registre central des risques qui vous permet de visualiser, de trier et d'identifier rapidement les risques les plus importants.
Prevalent suit et analyse en permanence les menaces externes qui pèsent sur les fournisseurs. Les solutions surveillent l'Internet et le dark web pour détecter les menaces et les vulnérabilités sur cyber . Les sources de surveillance comprennent :
- les forums criminels, les pages en oignon, les forums d'accès spécial du dark web, les flux de menaces et les sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités
- les bases de données contenant plusieurs années d'historique de violations de données pour des milliers d'entreprises dans le monde
Toutes les données de surveillance sont mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre de risques unifié pour chaque fournisseur, ce qui rationalise l'examen des risques, les rapports, les mesures correctives et les initiatives de réponse.
La plateforme Prevalent comprend des recommandations intégrées de remédiation basées sur les résultats de l'évaluation des risques afin de garantir que vos fournisseurs traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.
Une fois que toutes les données d'évaluation et de surveillance sont corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques en fonction d'un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci. Attribuez des responsables et assurez le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise.
Suivez ces cinq bonnes pratiques pour simplifier la mise en conformité avec TISAX.
Révéler les exigences du TPRM dans 13 règlements et acquérir les meilleures pratiques pour simplifier la conformité.
Un programme C-SCRM efficace peut aider votre organisation à prendre des décisions éclairées et à sélectionner des fournisseurs qui prennent...