TISAX, l’évaluation cyber taillée pour les constructeurs auto
Ils passent à la vitesse supérieure. Dans un environnement particulièrement concurrentiel et à la pointe de l’innovation, les géants de l’automobile prennent conscience des risques de piratage et de fuites induits par la digitalisation des processus et des échanges. Comment protéger les plans d’un prototype au moment de lancer sa fabrication chez un sous-traitant ? Comment s’assurer de la sécurité de plans confidentiels stockés sur un serveur à l’étranger ? Quelle protection face à un rançongiciel qui menace de répandre sur le darkweb les secrets d’un futur moteur révolutionnaire ? Comment assurer la continuité d’activité en cas de crise majeure ? TISAX apporte la parade à ces nouvelles inquiétudes qui pèsent sur tout un secteur.
Evaluation TISAX : une déclinaison sectorielle d’ISO/IEC 27001
Initiés par la filière automobile allemande, dont la célèbre VDA (Verband der Automobilindustrie), les travaux TISAX (pour « Trusted Information Security Assessment Exchange ») démarrent en 2017. Ce référentiel privé entend adapter au secteur auto les exigences fixées par l’ISO/IEC 27001,
norme volontaire internationale sur le management de la sécurité des systèmes d’information. Très vite, d’autres constructeurs, notamment français, se joignent à la démarche qui aboutit début 2023. « Ce secteur d’activité se distingue par la forte concurrence et la course à l’innovation, avec un risque d’espionnage réel, décuplé par l’importante chaîne de sous-traitance, souligne Thomas Sanjullian, chef de produit Confiance numérique chez AFNOR Certification. L’évaluation TISAX vise à imposer à tous les acteurs concernés de respecter des règles strictes en matière de cybersécurité. » Registre des données, gouvernance, plan de continuité d’activité, sensibilisation et formation des salariés… Les exigences de TISAX varient selon les niveaux d’évaluation diligentée, qui sont au nombre de trois :
- Le premier se limite à une autoévaluation sur catalogue afin de vérifier si les exigences sont remplies.
- Le deuxième nécessite l’intervention d’un tiers évaluateur, qui va réaliser des interviewes à distance des équipes concernées, interviewes dites « de plausibilité », pour s’assurer du respect de ces mêmes exigences.
- Le troisième implique un audit poussé de plusieurs jours sur site, avec vérification de l’ensemble des exigences du catalogue. Ce dernier niveau traite notamment des données liées aux prototypes et voitures de test.
« TISAX n’est déjà plus une option, constate Pascal Thomas, auditeur pour AFNOR Certification. Des constructeurs français font déjà figurer cette exigence dans leurs appels d’offres. Pour pouvoir répondre et recevoir des données du constructeur, ils doivent fournir la preuve de leur niveau. » Depuis septembre 2023, AFNOR Certification est l’unique organisme français reconnu pour réaliser cette évaluation. Les auditeurs suivent actuellement des formations pour pouvoir, dès début 2024, mener leurs premiers audits. À l’international aussi , les antennes du groupe AFNOR se structurent et proposeront prochainement TISAX à l’écosystème automobile de leurs pays respectifs. Une voie d’accélération indispensable sur la route de la gestion des risques et de la souveraineté de ses données sensibles. Intéressé.e ? Inscrivez-vous à notre prochain webinaire d’information, qui se tiendra en anglais le 30 janvier 2024.