🚨 La directive NIS2 est désormais en vigueur. La sensibilisation à la sécurité est désormais une obligation légale dans l'UE.

Vérifier la conformité
Démarrez votre essai gratuit
Retour au Centre de ressources

La certification TISAX : en quoi consiste-t-elle, quelles sont ses exigences et en quoi diffère-t-elle de la norme ISO 27001 ?

Si vous êtes fournisseur de l'industrie automobile, tôt ou tard, un client vous posera des questions sur la norme TISAX. Des constructeurs tels que Volkswagen, BMW et Mercedes-Benz ne partagent leurs informations sensibles, qu'il s'agisse de données relatives aux prototypes ou aux clients, qu'avec des fournisseurs et prestataires de services ayant démontré leur capacité à assurer la sécurité de l'information. La norme TISAX, acronyme de « Trusted Information Security Assessment Exchange », est la norme qu'ils utilisent pour cette démonstration.

Dans cet article, nous abordons ce que recouvre réellement la certification TISAX, les exigences auxquelles vous êtes soumis dans le cadre de 10 thèmes, les raisons pour lesquelles cette norme s'étend bien au-delà des fournisseurs directs, et comment la norme TISAX se compare à la norme ISO 27001.

Qu'est-ce que la certification TISAX ?

À proprement parler, TISAX n’est pas une certification. Vous ne recevez pas de certificat, mais un label TISAX, valable trois ans, que vous partagez avec vos clients via le portail de l’association ENX, l’organisme qui gère TISAX pour le compte de l’association automobile allemande VDA. Ce label atteste qu’un organisme d’audit accrédité a vérifié que votre sécurité de l’information répond aux exigences du catalogue VDA ISA, au niveau d’évaluation exigé par votre client.

Ce niveau d'évaluation dépend du degré de sensibilité des informations que vous traitez. Au niveau AL1, l'auditeur se contente de vérifier qu'une auto-évaluation a bien été réalisée ; c'est pourquoi pratiquement aucun fabricant ne l'accepte. Le niveau AL2 ajoute un contrôle de plausibilité de votre auto-évaluation, accompagné d'un échantillonnage des pièces justificatives, généralement à distance. Le niveau AL3, requis pour les prototypes et autres informations strictement confidentielles, implique un audit complet sur site, comprenant des entretiens et des observations.

En amont de l'évaluation, avant de faire appel à un prestataire d'audit, vous devez réaliser une auto-évaluation en vous référant au catalogue VDA ISA. C'est également le moment idéal pour mettre en place une formation à la sensibilisation à la sécurité à l'aide d'un outil tel que Guardey. Le catalogue exige que le personnel ait suivi une formation dont la validation est démontrable ; de plus, comme l'auditeur évalue le niveau de maturité plutôt qu'une situation ponctuelle, un programme de formation en place depuis plusieurs mois a bien plus de valeur qu'un programme lancé la semaine dernière.

Vous vous préparez à obtenir votre certification TISAX ?

La formation ludique de sensibilisation à la sécurité proposée par Guardey vous fournit, dès le premier jour, les justificatifs de formation exigés par les auditeurs. (Configuration en quelques minutes, aucune information de paiement requise.)

Essayez Guardey gratuitement pendant 14 jours

Exigences TISAX : le catalogue VDA ISA en 10 thèmes

Les exigences TISAX proviennent du catalogue VDA ISA (version 6), un questionnaire comportant plus de 300 questions réparties en trois modules : sécurité de l’information, protection des prototypes et protection des données. Pour chaque contrôle, l’auditeur évalue votre niveau de maturité sur une échelle de 0 à 5, l’objectif étant d’atteindre le niveau 3 : le processus n’existe pas seulement, il est documenté et son application est démontrable. Résumée en 10 thèmes, voici ce que couvre l'évaluation :

  1. Politique et organisation. Une politique de sécurité de l'information, la définition des responsabilités et la gestion des risques constituent les fondements de votre SMSI.
  2. Personnel et sensibilisation. Des employés ayant fait l'objet d'une vérification des antécédents, des accords de confidentialité et une formation avérée à la sensibilisation à la sécurité pour tous, avec des registres indiquant qui a été formé et à quelle date.
  3. Sécurité physique. Aménagement des espaces, contrôle d'accès aux bâtiments et gestion sécurisée des visiteurs.
  4. Gestion des identités et des accès. Principe du privilège minimal, authentification forte et révocation des accès en temps opportun.
  5. Informatique et cybersécurité. Renforcement de la sécurité, protection contre les logiciels malveillants, gestion des correctifs, sécurité réseau et journalisation.
  6. Gestion des incidents et continuité des activités. Identification, signalement et traitement des incidents, ainsi que sauvegarde et disponibilité.
  7. Relations avec les fournisseurs. Transmettre les exigences de sécurité à vos propres sous-traitants et prestataires de services.
  8. Conformité. Respecter les exigences légales et contractuelles, et vérifier soi-même régulièrement que ces exigences sont bien respectées.
  9. Protection des prototypes. Un module dédié à tous ceux qui travaillent sur des prototypes, des véhicules d'essai ou des véhicules camouflés.
  10. Protection des données. Un module RGPD distinct destiné à toute personne traitant des données à caractère personnel pour le compte du fabricant.

Le thème 7 explique pourquoi le TISAX continue de se généraliser tout au long de la chaîne d'approvisionnement. Les constructeurs exigent ce label de la part de leurs fournisseurs directs, qui doivent à leur tour imposer ces exigences à leurs propres sous-traitants. Et son champ d'application ne se limite pas aux pièces détachées : les bureaux d'études, les prestataires logistiques, les entreprises informatiques et même les agences de marketing relèvent de ce cadre dès lors qu'ils traitent des informations protégées provenant d'un client du secteur automobile. Le label est partagé via la plateforme ENX, ce qui vous évite d'être évalué séparément par chaque client.

ISO 27001 et TISAX : les différences

La norme TISAX s'appuie sur les normes ISO 27001 et ISO 27002, ce qui explique qu'il y ait de nombreux recoupements entre elles. Quiconque a mis en place un SMSI conforme à la norme ISO 27001 a déjà effectué l'essentiel du travail préparatoire pour la norme TISAX. Il existe toutefois quatre différences qui ont une incidence concrète :

  • Champ d'application. La norme ISO 27001 est générique et s'applique à tous les secteurs d'activité. La norme TISAX est spécifique au secteur automobile et ajoute des exigences qui ne sont pas couvertes par la norme ISO, telles que la protection des prototypes.
  • Résultats. La certification ISO 27001 donne lieu à la délivrance d'un certificat public. La certification TISAX donne lieu à l'attribution d'un label qui n'est visible que par les partenaires avec lesquels vous le partagez via le portail ENX.
  • Méthode d'évaluation. Un auditeur ISO évalue l'efficacité de votre système de gestion. Un auditeur TISAX attribue une note de maturité à chaque mesure de contrôle, ce qui rend le résultat plus détaillé et plus difficile à contourner par des arguments.
  • Reconnaissance. La norme ISO 27001 ouvre des portes dans tous les secteurs d'activité ; dans le secteur automobile, elle ne suffit généralement pas. Les constructeurs exigent spécifiquement le label TISAX, et un certificat ISO ne peut le remplacer.

La bonne nouvelle : sur le plan humain, les deux normes se recoupent entièrement. La norme ISO 27001 exige une sensibilisation au titre de la clause 7.3 et du contrôle 6.3, tandis que la norme TISAX l'exige par le biais de ses contrôles relatifs au personnel et à la sensibilisation. Un programme de sensibilisation à la sécurité bien documenté fournit donc des éléments probants pour les deux évaluations à la fois.

Questions fréquentes

Quelle est la durée de validité d'un label TISAX ?

Trois ans. À l'issue de cette période, une réévaluation complète est prévue. Contrairement à la norme ISO 27001, il n'y a pas d'audits de surveillance annuels entre-temps, mais vous êtes tenu de maintenir le niveau évalué, et votre prochain audit permettra de vérifier si vous y êtes parvenu.

Le TISAX est-il obligatoire ?

Ce n'est pas une obligation légale. Il s'agit d'une exigence contractuelle : les fabricants et les grands fournisseurs de premier rang exigent ce label avant de communiquer des informations confidentielles. Dans la pratique, cela rend cette exigence tout aussi contraignante, car sans ce label, ces commandes sont attribuées à d'autres prestataires.

Est-ce que le fait de détenir une certification ISO 27001 signifie que je suis automatiquement conforme à la norme TISAX ?

Non. Il y a certes de nombreux points communs, mais la norme TISAX ajoute des exigences spécifiques au secteur automobile et utilise son propre système d’évaluation de la maturité. Une certification ISO 27001 accélère considérablement votre préparation, mais vous devrez tout de même vous soumettre à l’évaluation TISAX proprement dite.

Que le TISAX figure dans votre feuille de route pour cette année ou qu'un client en ait simplement évoqué le sujet lors d'un appel, la première étape est la même : effectuez l'auto-évaluation et déterminez où vous en êtes. Le volet « ressources humaines et sensibilisation » est l'un des rares sur lesquels vous pouvez vous lancer dès le jour même, et il est également pris en compte dans d'autres cadres de conformité.

Vous vous préparez à un audit TISAX ?

Au cours d'une démonstration de 45 minutes, nous vous montrerons comment Guardey associe la formation à la sensibilisation à des simulations d'hameçonnage, et comment les rapports fournissent à votre auditeur exactement les éléments de preuve dont il a besoin.

Prenez rendez-vous pour une démonstration personnalisée
Dinela Lokvancic
Dinela Lokvancic Spécialiste en marketing Dinela veille à ce que la présence en ligne de Guardey soit toujours à jour. Elle crée du contenu qui rend accessibles des sujets complexes liés à la cybersécurité et aide les organisations à comprendre pourquoi la formation à la sensibilisation à la sécurité est importante pour leurs équipes.
PRÊT À VOUS LANCER ?

Rejoignez plus de 500 entreprises qui protègent déjà leurs équipes grâce à Guardey

Commencez votre essai gratuit de 14 jours
14 jours gratuits · Pas de carte de crédit · Accès complet · Configuration en 5 minutes
Ou planifiez une démonstration personnalisée