Atténuer les risques liés aux tiers dans la chaîne d'approvisionnement automobile

30 % des entreprises de l'industrie automobile n'ont pas d'équipe de cybersécurité et 63 % seulement testent la technologie qu'elles produisent pour détecter les failles de sécurité.

Personnel de Mitratech Août 14, 2019

Avec une moyenne de 30 000 pièces différentes nécessaires à la construction d'un seul véhicule, vous pouvez imaginer les processus complexes et la coordination de la chaîne d'approvisionnement nécessaires à la fabrication d'automobiles à l'échelle mondiale. Ces chaînes d'approvisionnement, qui comptent d'innombrables fabricants et prestataires de services tiers, constituent une source importante de risques pour les constructeurs automobiles. Et les vulnérabilités de l'industrie ne feront que croître avec l'intégration croissante de la technologie dans les véhicules.

Les entreprises automobiles et les fabricants tout au long de la chaîne d'approvisionnement doivent donc être vigilants face aux risques cybernétiques et commerciaux croissants. En utilisant le cadre TISAX (Trusted Information Security Assessment Exchange), ainsi que d'autres suggestions de Prevalent, les entreprises peuvent être mieux positionnées pour atténuer les vulnérabilités présentes dans la chaîne d'approvisionnement automobile. Dans ce blog, je passerai en revue les risques spécifiques de la chaîne d'approvisionnement automobile, j'identifierai comment TISAX peut aider à fournir un cadre pour traiter ces risques, et je discuterai ensuite de la façon dont Prevalent peut aider.

La chaîne d'approvisionnement automobile

La chaîne d'approvisionnement automobile, qui comprend la production et le transport de différentes pièces et composants automobiles, est nécessaire pour des raisons à la fois financières et réglementaires. Produire tous les composants nécessaires à une automobile serait trop coûteux pour une seule entreprise. Sur le plan réglementaire, il existe plusieurs lois (par exemple, le projet de loi 5606 (2014) de la Chambre du Michigan) qui empêchent les constructeurs automobiles de vendre directement aux consommateurs.

Les récentes ruptures technologiques ont conduit les constructeurs automobiles à repenser et à restructurer la chaîne d'approvisionnement. Par exemple, l'optimisation des véhicules a conduit les constructeurs à utiliser les données collectées par les dispositifs de suivi pour optimiser les performances. Les changements qui en résultent pour les véhicules nécessitent souvent des changements dans la chaîne d'approvisionnement, ce qui accroît la dépendance à l'égard des systèmes non OEM (fabricant d'équipements d'origine) et ouvre davantage de possibilités de risques potentiels.

Les cyber-vulnérabilités

Comme toutes les industries modernes, l'industrie automobile n'est pas à l'abri des menaces de cybersécurité. Selon une étude récente menée par Synopsys et SAE International, 30 % des organisations de l'industrie automobile n'ont pas d'équipe de cybersécurité établie, et seulement 63 % testent la technologie qu'elles produisent pour détecter les vulnérabilités en matière de sécurité. En juillet 2018, une violation de données a touché plusieurs constructeurs automobiles, dont General Motors, Tesla, Toyota et Ford. Plus de 47 000 fichiers ont été volés lors de la violation, y compris des plans, des accords de non-divulgation et d'autres secrets commerciaux sensibles. La violation s'est produite via un fournisseur tiers, Level One Robotics, une entreprise spécialisée dans le processus d'automatisation pour les fournisseurs et les fabricants automobiles.

TISAX

Le système TISAX (Trusted Information Security Assessment Exchange) est un moyen d'atténuer les risques dans la chaîne d'approvisionnement de l'industrie automobile. TISAX, développé à l'origine par l'association allemande de l'industrie automobile (Verband der Automobilindustrie), permet d'effectuer des audits de sécurité de l'information sur les fabricants et les fournisseurs de l'industrie automobile. TISAX fournit aux fabricants les informations nécessaires pour prendre des décisions éclairées dans le processus de fabrication et de distribution, tout en gérant les risques en conséquence. TISAX continue de construire sa "communauté" au sein de la chaîne d'approvisionnement automobile dans l'espoir de permettre à tous les membres de la communauté de travailler en toute transparence et en toute confiance. La certification TISAX s'est avérée efficace dans la gestion des risques depuis sa mise en œuvre en Allemagne en 2018.

Comment Prevalent peut-il vous aider ?

En raison de la complexité et des changements constants de la chaîne d'approvisionnement automobile, il est essentiel de surveiller en permanence les différents fabricants concernés afin de gérer et d'atténuer les risques. Après tout, un défaut dans la chaîne d'approvisionnement peut entraîner un risque pour la marque, un risque financier, réglementaire et/ou cybernétique. L'atténuation des risques liés à la chaîne d'approvisionnement devrait comprendre les étapes suivantes :

Standardisation de l'évaluation par questionnaire avec un cadre commun de preuves fournies par le fournisseur et de diligence raisonnable.
Recueillir les réponses et les preuves des fournisseurs sur une plateforme centrale qui permet aux fabricants d'identifier rapidement les risques dans l'ensemble de leur écosystème de fournisseurs ou au niveau des fournisseurs.
Exploiter un réseau partagé de questionnaires normalisés et validés pour les fournisseurs afin d'accélérer le processus d'identification et d'atténuation des risques.
Contrôler en permanence la cyber-santé des réseaux des fournisseurs du point de vue d'un pirate informatique afin de fournir une visibilité et des conseils de remédiation sur les lacunes qui pourraient conduire à un accès non désiré, et de superposer les résultats de l'évaluation basée sur un questionnaire pour obtenir une image plus complète des risques pour les fournisseurs.
Intégrer des informations sur les risques commerciaux - telles que les données financières des fournisseurs (lorsqu'elles sont disponibles), les événements d'actualité majeurs, les poursuites judiciaires ou les rappels - qui peuvent donner un aperçu des cyberrisques potentiels à venir.
Permettre une remédiation avec des conseils spécifiques pour atténuer les risques.
Rapports établis dans un cadre réglementaire ou de conformité (comme ISO 27001, etc.) à partager de manière transparente avec les membres de la chaîne d'approvisionnement.

Prevalent offre une plateforme unifiée conçue dès le départ pour évaluer et contrôler les tiers et fournir des conseils pour réduire les risques. En complément d'audits tels que TISAX, Prevalent peut fournir une vision holistique des risques liés aux tiers dans l'industrie automobile. Pour plus d'informations sur la façon dont Prevalent peut vous aider, contactez-nous pour une démonstration dès aujourd'hui.

Note de la rédaction : Ce billet a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a acquis l'entreprise Prevalent, spécialisée dans la gestion des risques pour les tiers et dotée d'une intelligence artificielle. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Personnel de Mitratech

Mitratech se consacre à la promotion d'une communauté d'apprentissage et de partage des connaissances dans le domaine des technologies juridiques, des risques et des ressources humaines. Suivez-nous pour entendre des experts technologiques expérimentés, spécialisés dans les solutions de gestion de la conformité. Avec une compréhension approfondie des subtilités de l'IA, de l'automatisation et des logiciels d'entreprise, leur passion pour la technologie et leur engagement envers l'excellence les poussent à explorer continuellement des solutions innovantes qui permettent aux organisations de gérer leurs questions de conformité de manière plus efficace.

Connectez-vous avec Mitratech sur LinkedIn pour vous tenir au courant des dernières tendances et idées.

Solutions pour l'industrie