Qu'est-ce que TISAX?
TISAX est l'acronyme de "Trusted Information Security Assessment eXchange". C’est un processus d'évaluation de la sécurité de l'information dans l'industrie automobile géré par l’association ENX (European Network eXchange), une association européenne de constructeurs, de fournisseurs et d'organisations de l’industrie automobile qui compte notamment les principaux constructeurs français et allemands (Renault, Stellantis, BMW, Volkswagen,…).
Le but de TISAX est de sécuriser la chaîne d'approvisionnement automobile et de se prémunir contre l’espionnage industriel autour d’un référentiel commun de sécurité reconnu par la profession. Son application est bien souvent imposée aux sous-traitants par les donneurs d’ordre (constructeurs) dans les appels d’offres. Les fournisseurs de pièces ou composants des véhicules sont concernés mais également tous les sous-traitants susceptibles de traiter des informations confidentielles sur la fabrication des véhicules et les nouveaux prototypes (hébergeurs de données, fournisseurs de solutions de facturation électroniques, …).
Quelles sont les exigences applicables à TISAX?
Le processus d’évaluation TISAX est basé sur les exigences du questionnaire ISA (Information Security Assessment) développé par la VDA (Verband der Automobilindustrie), l'association allemande de l'industrie automobile qui est notamment membre de l’ENX.
Exigences inspirées de l'ISO 27001
Les exigences du questionnaire VDA ISA décrivent un système de management de la sécurité de l’information avec amélioration continue et sont principalement basées sur les exigences et les mesures de l’Annexe A de la norme ISO 27001, la norme internationale de référence applicable à tous secteurs d’activités.
Les exigences du questionnaire VDA ISA reprises de l’ISO 27001 sont précisées et détaillées pour coller aux enjeux particuliers du secteur de l’automobile.
Exigences supplémentaires pour les prototypes
Le questionnaire VDA ISA compte également un chapitre sur la gestion des prototypes en vue de la préservation des secrets industriels applicable uniquement aux organismes qui ont des activités de R&D et réalisent des prototypes ou des composants de prototypes.
Variation des exigences applicables en fonction des objectifs
Les exigences applicables à un organisme vont varier en fonction des objectifs d’évaluation fixés bien souvent par son donneur d’ordre :
besoin en confidentialité des informations élevé (par exemple un hébergeur de données de R&D);
et/ou besoin en disponibilité élevé (par exemple un fournisseur juste-à-temps de matériaux de fabrication).
Quel est le déroulé des évaluations TISAX?
Les évaluations sont réalisées par des organismes d’évaluation sous le contrôle de l’ENX.
L’organisme à évaluer ne peut pas choisir le périmètre d’évaluation comme cela lui est possible avec la norme ISO 27001 par exemple. En général le périmètre lui est imposé par son donneur d’ordre en fonction des garanties qu’ils souhaitent obtenir et des objectifs d’évaluation qu’il a fixés. L’évaluation doit inclure l’ensemble des processus, procédures et ressources placés sous la responsabilité de l’organisme à évaluer et qui sont pertinents dans le périmètre d’évaluation donné.
En fonction des objectifs d’évaluations et des enjeux de sécurité fixés par le donneur d’ordre, 3 types d’évaluation pourront être envisagées allant de l’auto-évaluation à l’évaluation sur site avec des contrôles de plus en plus poussés.
En cas de succès à l’évaluation, l’organisme évalué pourra afficher un label qui variera en fonction des objectifs de l’évaluation et des enjeux de sécurité. Exemple de labels TISAX : « Strictement confidentiel », « Très haute disponibilité », « Protection des véhicules prototypes »,…
Notre accompagnement
Cyber-Manager, votre partenaire de confiance en cybersécurité s’engage continument à vos côtés pour renforcer votre résilience numérique. Nous sommes spécialisés dans l'accompagnement des organisations vers des systèmes de gestion de la sécurité de l'information robustes garantissant la conformité aux normes internationales.
Nous réalisons également des missions d’audits pour le compte d’organismes de certification (ISO 27001, ISO 27701, HDS, TISAX, …), ce qui nous permet d’être à jour du formalisme et des niveaux de sécurité attendus par ces derniers afin de vous orienter dans la bonne direction lors de nos accompagnements.
Consciente des enjeux croissants en matière de cybersécurité dans l’industrie automobile, notre équipe d’experts réalise une veille règlementaire et normative continue, participe à des groupes de travail destinés à définir des bonnes pratiques et a réalisé plusieurs missions d’accompagnement dans le secteur automobile, ce qui lui permet de vous proposez un niveau de service en phase avec l’état de l’art du secteur.