L’industrie automobile accorde une importance cruciale à la sécurité de l’information. C’est dans ce contexte qu’a été créée en 2017 la certification TISAX (Trusted Information Security Assessment Exchange), qui est de plus en plus mise en œuvre dans le secteur. La pression exercée par les constructeurs automobiles y est pour beaucoup.
Depuis 2017, l’industrie automobile dispose donc de son propre système de sécurité de l’information appelé TISAX. Selon certains fournisseurs de taille moyenne, ils mettent actuellement en place ce système ou le possèdent déjà. Dans de nombreux cas, cette mise en œuvre n’est pas totalement volontaire, car la pression pour adopter TISAX provient naturellement des constructeurs. C’est en collaboration avec l’Association automobile allemande (VDA) que les OEM ont été les premiers à établir une norme sectorielle en matière de sécurité de l’information, qui s’applique aux fournisseurs externes et aux prestataires de services tels que les consultants et les éditeurs de logiciels de la chaîne d’approvisionnement automobile. Jusqu’à il y a environ quatre ans, la norme internationale ISO/IEC 27001 était couramment utilisée pour certifier la sécurité des données. Après plusieurs années de développement, le VDA a présenté il y a deux ans la norme TISAX, qui est basée sur l’ISO 27001, mais qui a été étendue pour inclure des aspects spécifiques au secteur tels que la protection des prototypes, le traitement des commandes ou les liens avec des entreprises externes.
L’importance de la certification TISAX
Obtenir la certification TISAX devient de plus en plus crucial pour continuer à faire affaire avec les constructeurs. Des entreprises qui n’étaient pas encore certifiées TISAX affirment que les constructeurs leur ont fermé l’accès à leurs systèmes. L’ENX Association est responsable de la surveillance des évaluations TISAX et de l’approbation des prestataires de services d’audit TISAX. Elle souligne que TISAX vise spécifiquement la sécurité de l’information dans son ensemble, et pas seulement la sécurité informatique. Cette approche se reflète dans l’ensemble du catalogue des exigences et se manifeste particulièrement dans la question de la protection des prototypes.
Parmi les prestataires de services d’audit figure notamment la société DQS GmbH. André Säckel, responsable de produits chez DQS, souligne que le plus grand avantage de TISAX réside dans sa reconnaissance intersectorielle. Il constate également une augmentation de la pénétration du marché : “Cela concerne en particulier les fournisseurs de niveau 2. Au cours des prochaines années, cela se propagera encore davantage vers le bas”. Säckel remarque que les clients contactent souvent proactivement DQS, qu’il s’agisse de clients existants déjà certifiés selon une autre norme auprès de ce prestataire de services d’audit ou de clients qui ont été contactés par l’ENX. Et la pression est souvent forte : “Ils ne demandent pas le prix, mais s’ils peuvent obtenir les services”, rapporte Säckel.
La formation TISAX
Actuellement, neuf autres sociétés sont autorisées, aux côtés de DQS, à effectuer des évaluations TISAX. “Les capacités sont limitées”, selon Säckel, qui souligne que l’Association ENX a également demandé lors de l’accréditation de son entreprise comment elle forme ses auditeurs à l’échelle internationale, ainsi que la représentation de DQS dans le monde, par exemple en Asie ou en Amérique du Sud. La demande croissante de certification TISAX nécessite également une augmentation des effectifs chez DQS : “Nous recherchons désespérément de nouveaux auditeurs. Les exigences à leur égard sont élevées. Ils doivent avoir une expérience professionnelle, ce qui est un obstacle”, explique André Säckel.
En détail, la certification TISAX est moins complexe que l’ISO 27001, par exemple. Les prestataires de services d’audit réalisent des évaluations sur la base d’un questionnaire commun adopté par le VDA. “À certains égards, il est tellement détaillé que l’on a presque aucune marge de manœuvre”, constate l’expert Säckel. Il souligne également que TISAX ne contient que 52 des 118 contrôles de l’ISO 27001. De plus, le cycle d’évaluation n’est pas annuel, mais tous les trois ans. On peut donc se demander si le nombre de contrôles est suffisant et si le cycle d’évaluation est réellement adapté au domaine de la sécurité de l’information.
L’amélioration continue de TISAX
Selon l’ENX Association, le questionnaire est constamment amélioré grâce aux commentaires des fournisseurs, des partenaires et des auditeurs. Il n’est donc pas prévu de le raccourcir. De plus, TISAX est considérée comme une certification par l’économie pour l’économie, et le cycle de 36 mois vise également à éviter toute ingérence excessive dans les entreprises concernées. À partir de l’année prochaine, les évaluations des premiers certifiés de 2017 seront relancées grâce à ce cycle triennal d’évaluations. Il est donc fort probable que les auditeurs impliqués connaîtront une nouvelle vague de demandes en 2020.
(ID:45952613)
L’industrie automobile accorde une importance cruciale à la sécurité de l’information. C’est dans ce contexte qu’a été créée en 2017 la certification TISAX (Trusted Information Security Assessment Exchange), qui est de plus en plus mise en œuvre dans le secteur. La pression exercée par les constructeurs automobiles y est pour beaucoup.
Depuis 2017, l’industrie automobile dispose donc de son propre système de sécurité de l’information appelé TISAX. Selon certains fournisseurs de taille moyenne, ils mettent actuellement en place ce système ou le possèdent déjà. Dans de nombreux cas, cette mise en œuvre n’est pas totalement volontaire, car la pression pour adopter TISAX provient naturellement des constructeurs. C’est en collaboration avec l’Association automobile allemande (VDA) que les OEM ont été les premiers à établir une norme sectorielle en matière de sécurité de l’information, qui s’applique aux fournisseurs externes et aux prestataires de services tels que les consultants et les éditeurs de logiciels de la chaîne d’approvisionnement automobile. Jusqu’à il y a environ quatre ans, la norme internationale ISO/IEC 27001 était couramment utilisée pour certifier la sécurité des données. Après plusieurs années de développement, le VDA a présenté il y a deux ans la norme TISAX, qui est basée sur l’ISO 27001, mais qui a été étendue pour inclure des aspects spécifiques au secteur tels que la protection des prototypes, le traitement des commandes ou les liens avec des entreprises externes.
L’importance de la certification TISAX
Obtenir la certification TISAX devient de plus en plus crucial pour continuer à faire affaire avec les constructeurs. Des entreprises qui n’étaient pas encore certifiées TISAX affirment que les constructeurs leur ont fermé l’accès à leurs systèmes. L’ENX Association est responsable de la surveillance des évaluations TISAX et de l’approbation des prestataires de services d’audit TISAX. Elle souligne que TISAX vise spécifiquement la sécurité de l’information dans son ensemble, et pas seulement la sécurité informatique. Cette approche se reflète dans l’ensemble du catalogue des exigences et se manifeste particulièrement dans la question de la protection des prototypes.
Parmi les prestataires de services d’audit figure notamment la société DQS GmbH. André Säckel, responsable de produits chez DQS, souligne que le plus grand avantage de TISAX réside dans sa reconnaissance intersectorielle. Il constate également une augmentation de la pénétration du marché : “Cela concerne en particulier les fournisseurs de niveau 2. Au cours des prochaines années, cela se propagera encore davantage vers le bas”. Säckel remarque que les clients contactent souvent proactivement DQS, qu’il s’agisse de clients existants déjà certifiés selon une autre norme auprès de ce prestataire de services d’audit ou de clients qui ont été contactés par l’ENX. Et la pression est souvent forte : “Ils ne demandent pas le prix, mais s’ils peuvent obtenir les services”, rapporte Säckel.
La formation TISAX
Actuellement, neuf autres sociétés sont autorisées, aux côtés de DQS, à effectuer des évaluations TISAX. “Les capacités sont limitées”, selon Säckel, qui souligne que l’Association ENX a également demandé lors de l’accréditation de son entreprise comment elle forme ses auditeurs à l’échelle internationale, ainsi que la représentation de DQS dans le monde, par exemple en Asie ou en Amérique du Sud. La demande croissante de certification TISAX nécessite également une augmentation des effectifs chez DQS : “Nous recherchons désespérément de nouveaux auditeurs. Les exigences à leur égard sont élevées. Ils doivent avoir une expérience professionnelle, ce qui est un obstacle”, explique André Säckel.
En détail, la certification TISAX est moins complexe que l’ISO 27001, par exemple. Les prestataires de services d’audit réalisent des évaluations sur la base d’un questionnaire commun adopté par le VDA. “À certains égards, il est tellement détaillé que l’on a presque aucune marge de manœuvre”, constate l’expert Säckel. Il souligne également que TISAX ne contient que 52 des 118 contrôles de l’ISO 27001. De plus, le cycle d’évaluation n’est pas annuel, mais tous les trois ans. On peut donc se demander si le nombre de contrôles est suffisant et si le cycle d’évaluation est réellement adapté au domaine de la sécurité de l’information.
L’amélioration continue de TISAX
Selon l’ENX Association, le questionnaire est constamment amélioré grâce aux commentaires des fournisseurs, des partenaires et des auditeurs. Il n’est donc pas prévu de le raccourcir. De plus, TISAX est considérée comme une certification par l’économie pour l’économie, et le cycle de 36 mois vise également à éviter toute ingérence excessive dans les entreprises concernées. À partir de l’année prochaine, les évaluations des premiers certifiés de 2017 seront relancées grâce à ce cycle triennal d’évaluations. Il est donc fort probable que les auditeurs impliqués connaîtront une nouvelle vague de demandes en 2020.
(ID:45952613)
