TISAX® : sécurité des informations pour l’industrie automobile

Trusted Information Security Assessment eXchange (TISAX®) est un mécanisme d’évaluation de la sécurité de l'information de l’ensemble la chaîne d'approvisionnement de l'industrie automobile. TISAX® a été créé par la VDA - Verband der Automobilindustrie (association allemande de l'industrie automobile) et est géré par l’ENX - European Network Exchange. TISAX® définit un processus d’évaluation et fournit un catalogue d’exigences cyber inspiré de la norme ISO 27001 et adapté à l'industrie automobile.

Les principaux acteurs du processus d’évaluation TISAX® sont les fournisseurs de composants automobiles ou les prestataires de services technologiques. Les sites soumis à un audit peuvent être les usines de production, les centres de recherche et développement, les sièges sociaux, les zones d'essai, etc. Actuellement, plus de 3 000 entreprises, présentes sur près de 6 000 sites à travers le monde, sont certifiées TISAX®. 

La certification TISAX® est maintenant une référence en matière de sécurité de l'information dans le secteur automobile.

En plus d'être une exigence de la part de certains constructeurs présents sur le marché, devenir certifié TISAX® permet :

• D’être reconnus sur les sujets de la cybersécurité par les constructeurs automobiles et d'autres partenaires,
• De gagner la confiance des clients,
• De disposer d’une approche de gestion du risque cyber éprouvée et inspirée de la norme internationale l’ISO 27 001.

Pour être certifiées TISAX®, les entreprises doivent mettre en œuvre et maintenir un système de management de la sécurité de l'information (SMSI) tel que défini par la norme de sécurité ISO 27001, en répondant aux exigences spécifiques introduites par TISAX® pour le secteur automobile.

3 grandes étapes sont à mettre en oeuvre : 

• Phase de préparation,: l’entreprise s’enregistre sur le site de l’ENX et renseigne les informations nécessaires (périmètre, site physique, niveau de certification, etc.)
• Auto-évaluation du niveau de conformité (par l'entreprise): elle correspond au niveau d’évaluation AL1 (le plus bas).
• Phase d’audit : elle débute par une évaluation initiale du niveau de conformité au référentiel (sans visite de site pour le niveau AL2 et avec une visite de site pour le niveau AL3). Sur la base d’un pré-rapport, l’entreprise établit un plan d’actions correctif et implémente les remédiations. L’auditeur vérifie les corrections et émet enfin un rapport final, qui sera utilisé par l’ENX pour délivrer le certificat TISAX®.

La certification TISAX® est valable 3 ans. Aucun audit de suivi annuel n’est exigé.

Outre la sécurité de l'information, basée sur les normes ISO/IEC 27001 et 27002, l’évaluation TISAX® définit 3 catalogues de mesures supplémentaires :

• La protection des prototypes,
• La relation avec des tiers,
• La protection des données.

Le choix de ces catalogues de mesures dépend de votre objectif d’évaluation que vous avez retenu lors de votre inscription.

La certification TISAX® représente un pilier fondamental dans l'industrie automobile, garantissant la sécurité des données tout au long de la chaîne d'approvisionnement. En adoptant ce standard, les entreprises renforcent la confiance envers leurs partenaires et clients.

Cette démarche contribue également à promouvoir des solutions innovantes dans le domaine de la mobilité, participant ainsi à façonner l'avenir de ce secteur. En définitive, la certification TISAX® n'est pas seulement un gage de sécurité, mais aussi un catalyseur d'innovation et d'amélioration de l'expérience globale des utilisateurs.

KPMG accompagne les entreprises à se mettre en conformité (audit à blanc, mise en œuvre des exigences, etc.) avec des audits TISAX® tout au long du processus de certification.