Qu’est-ce que la certification TISAX ? Tout ce qu’il faut savoir
Découvrez notre guide pour mieux comprendre en quoi consiste la certification TISAX et son rôle clé pour le secteur de l’automobile
Mis à jour le 2 août 2024À la sortie du model S de Tesla en 2015, Elon Musk a déclaré qu’il considérait son véhicule comme « un ordinateur à roues extrêmement sophistiqué ». Aujourd’hui, l’électronique a pris le dessus sur la mécanique dans les composants automobiles, et les fabricants commencent à se comporter comme de véritables fournisseurs de logiciels. Cette transition se manifeste de façon évidente avec la volonté des fabricants automobiles de sécuriser les grandes quantités de données personnelles et confidentielles qui transitent désormais par leurs systèmes.
En 2017, la nécessité de réguler la façon dont les fabricants automobiles manipulent les données a motivé un groupement d’entreprises européennes du secteur à créer le référentiel TISAX (Trusted Information Security Assessment Exchange). Ce standard est devenu un référentiel stratégique pour garantir l’intégrité des systèmes de sécurité de l’information dans le secteur automobile.
Dans ce guide, nous vous expliquerons étape par étape tout ce que vous devez savoir pour atteindre la conformité TISAX et la maintenir. Notre objectif consiste à proposer des informations exploitables et des conseils pratiques pour aider votre organisation à bien comprendre les exigences du label TISAX et à maîtriser le pilotage de votre conformité.
La labellisation TISAX s’appuie sur un référentiel d’évaluation et de certification normalisé conçu spécifiquement pour l’industrie automobile. Elle se base sur le questionnaire Information Security Assessment (ISA) de l’association allemande de l’industrie automobile (VDA), et s’aligne en grande partie sur la norme internationale ISO/IEC 27001.
Le référentiel sur lequel s’appuie la labellisation TISAX® permet aux fabricants automobiles d’évaluer et de prouver leur adhésion à des exigences strictes de protection des données et de sécurité de l’information. Les entreprises conformes TISAX peuvent partager une évaluation normalisée de l’état de la sécurité de l’information au sein de leur écosystème en vue d’établir un lien de confiance avec leurs partenaires, leurs clients et les autorités réglementaires du secteur automobile.
Le programme TISAX est régi par l’association ENX, qui définit les différents niveaux de certification et le champ d’action des évaluations applicables.
Les entreprises enregistrées peuvent utiliser la plateforme ENX TISAX pour :
s’assurer que leurs fournisseurs et prestataires de services remplissent certains critères de sécurité clés ;
gagner du temps et réduire les coûts en évitant d’avoir à mener plusieurs audits sur la sécurité des informations de l’entreprise. L’entreprise auditée décide si elle souhaite partager ses résultats et avec qui.
améliorer la sensibilisation de leurs personnels à la sécurité ;
jeter les bases d’un système intégré de gestion de la sécurité de l’information (Information Security Management System, ISMS) et d’une possible certification selon la norme ISO 27001.
Pour atteindre la conformité TISAX et la maintenir, les entreprises doivent respecter un certain nombre d’exigences dont les suivantes.
Sécurité de l’information : les entreprises doivent déployer un système de gestion de la sécurité de l’information ou ISMS. Elles doivent attester que ce système leur permet, en toute fiabilité, d’identifier et de gérer les risques, de créer des politiques et des procédures de sécurité, d’effectuer des audits réguliers.
Protection des prototypes : les entreprises doivent assurer la protection des véhicules prototypes, ainsi que des pièces et composants des prototypes.
Protection des données : les entreprises doivent assurer la confidentialité, l’intégrité et la disponibilité des données sensibles en implémentant les mesures techniques et organisationnelles appropriées. Il peut s’agir de stockage sécurisé, de contrôles d’accès, de chiffrement ou de formation du personnel.
Le manuel du participant TISAX présente le processus TISAX en détail.
Toutes les entreprises qui souhaitent travailler pour des clients de l’industrie automobile allemande ont besoin d’un certificat TISAX. Mais le label gagne du terrain et s’applique de plus en plus aux fabricants, fournisseurs et fournisseurs de service de la chaîne d’approvisionnement automobile mondiale qui traitent des données sensibles.
Dans la pratique, les fabricants d’équipements d’origine, les OEM, posent la certification TISAX comme condition à une collaboration.
Le coût de la certification TISAX dépend de la taille et du champ d’action de l’entreprise. Les honoraires d’un auditeur oscillent entre 5 000 et 10 000 euros. Les frais d’inscription obligatoires s’élèvent à environ 500 euros. À ces montants, il faut ajouter les coûts opérationnels liés à la préparation de l’audit, et ceux concernant l’implémentation ou la configuration d’un système de gestion de l’information.
Techniquement, la conformité TISAX donne lieu à la délivrance d’un label et non d’un certificat (contrairement à la norme ISO 27001). Pour obtenir le label TISAX, les entreprises doivent compléter trois étapes :
Inscription : il s’agit d’inscrire votre entreprise en tant que participant sur la plateforme ENX.
Évaluations : vous vous soumettez à une série d’auto-évaluations, puis à une évaluation réalisée par un prestataire d’audit TISAX.
Échanges : vous partagez le résultat de votre évaluation avec votre partenaire via la plateforme ENX.
La VDA recommande de commencer par une auto-évaluation. Le questionnaire intitulé « Évaluation de la sécurité de l’information » ou ISA (Information Security Assessment) couvre les principales questions (ou contrôles) concernant la sécurité. L’ISA vous aide à développer une vue globale de votre propre état de sécurité sur divers sujets :
Organisation et politiques de sécurité de l’information
Ressources humaines
Sécurité physique et continuité de l’activité
Gestion des identités et des accès
Sécurité IT/cybersécurité
Relations avec les fournisseurs
Conformité
Protection des prototypes
Vous pouvez noter le niveau cible de chaque contrôle de 0 à 5. Le diagramme en toile d’araignée ISA, ci-dessous, illustre le fonctionnement de la notation pour chaque question de sécurité et niveau de maturité.
Source de l’image : Évaluation de la sécurité de l’information VDA (VDA Information Security Assessment)
Image source: VDA Information Security Assessment
Pour obtenir le label TISAX, les entreprises doivent atteindre le niveau 3. Pour mesurer votre état de préparation, nous vous recommandons vivement de procéder à l’auto-évaluation de votre niveau de maturité. Si vous n’atteignez pas tout à fait le niveau 3, vous pouvez remédier aux résultats avant de poursuivre et de demander le label.
L’ISA décrit les niveaux de maturité TISAX comme suit :
Niveau de maturité | En un mot | Description |
---|---|---|
0 | Incomplet | Un processus n’est pas disponible, pas suivi ou pas adapté à la réalisation de l’objectif. |
1 | Exécuté | Un processus non documenté ou documenté de façon incomplète est suivi, et des indicateurs attestent qu’il atteint son objectif. |
2 | Géré | Un processus atteignant ses objectifs est suivi. La documentation du processus et des preuves de sa mise en œuvre sont disponibles. |
3 | Établi | Un processus standard intégré dans un système global est suivi. Des dépendances à d’autres processus sont documentées et des interfaces adéquates sont créées. Il existe des preuves que le processus a été utilisé de manière durable et active sur une période prolongée. |
4 | Prévisible | Un processus établi est suivi. L’efficacité du processus est surveillée en permanence grâce à la collecte de données clés. Des valeurs limites sont définies auxquelles le processus est considéré comme insuffisamment efficace et nécessitant des ajustements (indicateurs clés de performance). |
5 | Optimisant | Un processus prévisible est suivi, dont l’un des objectifs majeurs est l’amélioration continue. L’amélioration est promue de manière active par des ressources dédiées. |
Source : Manuel du participant TISAX, Tableau 11. Description informelle des niveaux de maturité
Avec TISAX, vous pouvez facilement partager les résultats de l’évaluation avec vos partenaires et fournisseurs via la plateforme TISAX Exchange, ou ENX ; c’est un véritable gain de temps et d’argent. Inutile de recommencer les évaluations à chaque nouveau partenaire ; il leur suffit de se rendre sur la plateforme.
TISAX se focalise sur les exigences de l’industrie automobile en matière de cybersécurité et adopte une approche basée sur le risque pour évaluer et vérifier de manière exhaustive l’ensemble du système du véhicule (matériel, logiciels et protocoles de communication).
La certification prescrit la norme VDA, qui définit des exigences en matière de composants et de sécurité des systèmes automobiles. Outre la mise en place et le maintien d’un système de gestion de la cybersécurité, les entreprises doivent démontrer leur conformité à d’autres normes et réglementations applicables à l’ensemble de l’industrie.
On compare volontiers les normes TISAX et ISO 27001, à raison. Toutes deux dédiées à la sécurité de l’information, ces normes présentent de nombreuses similitudes (90 % de la partie commune de TISAX repose sur les contrôles de sécurité de l’Annexe A de la norme ISO 27001).
TISAX | ISO 27001 | |
---|---|---|
Portée réglementaire | VDA, allemande pour l’essentiel | Internationale |
Secteur | Automobile | Tous les secteurs |
Données protégées | Données du fabricant tout au long de la chaîne d’approvisionnement | Données de l’entreprise ou confiées à l’entreprise |
Conditions | Il existe 6 niveaux (de 0 à 5). Le label exige le niveau 3. | Pour obtenir la certification, vous devez passer 114 contrôles en plus de ceux de l’Annexe A. |
Périmètre d’application | Totalité du site, sans exception | Autorise la définition précise d’un périmètre |
Méthode d’évaluation | Basée sur l’évaluation | Basée sur l’audit |
Preuve | Label électronique (uniquement sur la plateforme ENX) | Certificat |
Fréquence d’audit | Tous les 3 ans | Une fois par an |
Source: IS Decisions
Voici un ensemble de bonnes pratiques qui vous permettront d’augmenter vos chances d’obtenir et de maintenir la conformité TISAX :
Menez une évaluation régulière des risques : identifiez les risques et les vulnérabilités possibles en matière de sécurité de l’information dans votre écosystème. Appliquez des contrôles pour les atténuer et passez régulièrement en revue votre exposition aux risques.
Développez une culture de la sécurité de l’information : nourrissez une culture de la sécurité de l’information dans l’entreprise. Proposez des formations et des programmes de sensibilisation aux personnels pour les aider à bien appréhender leur rôle et leurs responsabilités dans le maintien de la sécurité des données.
Déployez des contrôles d’accès rigoureux : réservez l’accès aux données sensibles au personnel autorisé. Appliquez l’authentification multifacteur, des politiques de mots de passe strictes et des contrôles d’accès basés sur les rôles pour limiter les risques d’accès non autorisés.
Collaborez avec des auditeurs TISAX accrédités : travaillez en étroite collaboration avec des auditeurs accrédités qui maîtrisent la conformité TISAX. Ils vous donneront des conseils précieux, identifieront les points à améliorer et seront les garants de la fluidité du processus de certification.
Atteindre et maintenir la conformité TISAX est un point capital pour les entreprises du secteur automobile qui veulent protéger les données sensibles et conserver la confiance de l’ensemble des parties prenantes. Comprendre les conditions requises, appliquer les bonnes pratiques, intégrer les solutions adaptées : voilà le trio gagnant qui permet à votre entreprise de dérouler la procédure jusqu’à l’obtention du label TISAX.
Vous voulez savoir comment les solutions IS Decisions UserLock et FileAudit maintiennent les niveaux de conformité les plus élevés pour la gestion des identités et des accès (Identity and Access Management, IAM) et les contrôles de sécurité IT ? Pour plus d’informations, consultez notre liste de contrôle de conformité TISAX.