TISAX et Cybersécurité Gestion des risques de la chaîne d'approvisionnement

Suivez ces cinq bonnes pratiques pour simplifier la mise en conformité avec TISAX.

Image décorative

TISAX (Trusted Information Security Assessment Exchange) is an information security standard developed by the German Association of the Automotive Industry (VDA) and managed by the ENX Association. Since its introduction in 2017, automotive manufacturers, parts manufacturers, and suppliers across Europe—and increasingly globally—have widely adopted TISAX to ensure a uniform level of information security across the industry. Today, more than 17,500 sites across 90+ countries have been assessed under the TISAX framework, making it one of the most widely used assessment mechanisms in any industry sector.

Because TISAX requires a comprehensive examination of information security controls, automotive manufacturers and parts suppliers should develop a risk assessment and ongoing monitoring strategy that aligns with its requirements to enhance cyber resilience across global automotive supply chains.

Ce billet examine les défis en matière de sécurité de l'information dans l'industrie automobile, les contrôles de sécurité de l'information TISAX et les exigences de conformité, ainsi que les meilleures pratiques pour simplifier la conformité à TISAX.

Défis en matière de sécurité de l'information dans l'industrie automobile

TISAX a été développé pour répondre aux défis et aux besoins spécifiques de l'industrie automobile en matière de sécurité de l'information.

Exigences variées en matière de sécurité

Typically, each automotive manufacturer develops its own information security standards and applies these requirements to its suppliers. This approach required suppliers to comply with multiple, sometimes conflicting, security criteria.

Fatigue de l'audit

En l'absence d'une norme commune, les fournisseurs étaient soumis à de multiples audits par différents fabricants, chacun évaluant la sécurité de l'information sur la base de ses propres critères. Ces audits étaient non seulement répétitifs, mais ils demandaient aussi beaucoup de ressources aux fournisseurs.

Chaînes d'approvisionnement mondiales

L'industrie automobile se caractérise par des chaînes d'approvisionnement complexes et mondiales impliquant de nombreux partenaires et fournisseurs dans différentes régions. Il était de plus en plus difficile et risqué de gérer la sécurité de l'information de manière uniforme dans un réseau aussi vaste, sans norme commune.

Augmentation des cybermenaces

As the industry adopted more digital technologies and connected systems, the risk of cyber threats increased. There was a clear need for a standardized approach to protect systems, sensitive information, and intellectual property effectively. Automotive manufacturers such as Toyota have been impacted by significant cyberattacks against suppliers. In late 2024, a ransomware attack against Jaguar Land Rover halted global vehicle production for nearly 40 days, underscoring how a single breach can cascade across an entire manufacturing operation.

Conformité réglementaire

Automotive suppliers operating in the EU now face obligations under the EU NIS2 Directive, which introduces stricter cybersecurity requirements across supply chains and places direct and indirect obligations on every tier of the supplier ecosystem. Notably, an analysis by ENX’s expert working groups confirmed that organizations achieving TISAX compliance under the ISA 6.0 catalog are well-positioned to meet the core requirements of NIS2, including risk management, incident response, supply chain security, governance, and technical safeguards.

TISAX aims to harmonize information security assessments, reduce the audit burden on suppliers, and ensure that all participants in the automotive supply chain adhere to high security standards. Note that country-specific reporting obligations may require additional steps beyond TISAX.

Contrôles et rapports de sécurité de l'information de TISAX

Currently on version 6.0.3, the TISAX Information Security Assessment (ISA) evaluates 80 information security, prototype protection, and data protection controls across the following nine (9) control families:

  • Politiques et organisation de l'Infosec
  • Ressources humaines
  • Sécurité physique
  • Identity and Access Management
  • IT Security / Cyber Security
  • Relations avec les fournisseurs
  • Conformité
  • Protection des prototypes
  • Protection des données

Une ISA complète présente les résultats de l'évaluation dans un diagramme en toile d'araignée, en notant le niveau de maturité de chaque sous-famille de contrôle de 0 (faible) à 5 (élevé). Chaque contrôle est également mis en correspondance avec les contrôles équivalents dans les normes industrielles telles que ISO 27001, NIST 800-53, BSI et autres.

Exigences de conformité TISAX

Since it is voluntary, TISAX itself does not impose penalties for non-compliance in the traditional sense of regulatory fines. However, not being TISAX-compliant can have significant repercussions for businesses in the automotive industry, particularly regarding their business relationships and reputation.

For many in the automotive industry, TISAX compliance is equated with the bottom line. Companies achieving TISAX compliance demonstrate their commitment to protecting sensitive information, thereby enhancing trust among business partners, mitigating risks associated with cyber threats and regulatory non-compliance, and improving revenue, new client acquisition, and existing client retention. The automotive industry strongly incentivizes TISAX, making it nearly essential for companies that want to stay competitive and secure in the sector.

Pour se conformer à TISAX, les organisations de l'industrie automobile doivent répondre à plusieurs exigences, qui sont basées sur le catalogue VDA ISA (Information Security Assessment). Ce catalogue adapte la norme ISO/IEC 27001 aux besoins spécifiques de l'industrie automobile.

Les principales exigences et étapes de la mise en conformité avec TISAX sont les suivantes.

  • Définir la portée de l'évaluation, en identifiant les parties de l'organisation et les processus qui doivent être évalués sur la base des normes TISAX.
  • Effectuer une auto-évaluation à l'aide du questionnaire VDA ISA. Cette étape consiste à évaluer les pratiques et politiques actuelles par rapport aux normes TISAX afin d'identifier les lacunes.
  • Mettre en œuvre les contrôles nécessaires pour combler les lacunes et respecter les normes requises. Il peut s'agir de renforcer les mesures de sécurité informatique, de mettre à jour les politiques et de garantir des pratiques adéquates de traitement des données.
  • Engager un auditeur accrédité ENX pour effectuer l'audit officiel et une visite sur site afin de vérifier que toutes les exigences de TISAX sont respectées. Cela comprend l'examen de la documentation, des entretiens avec le personnel et l'inspection des mesures de sécurité physique et informatique.
  • Prendre des mesures correctives si l'audit met en évidence des domaines de non-conformité. Une fois les mesures correctives prises, un audit de suivi peut s'avérer nécessaire pour confirmer la conformité.
  • Recevez un label TISAX après une évaluation réussie. Le label est valable trois ans et est enregistré sur le portail ENX TISAX. Il peut être partagé avec les clients et les partenaires pour prouver la conformité.
  • Examiner et mettre à jour régulièrement les pratiques de sécurité et se soumettre à une réévaluation tous les trois ans ou plus tôt si des changements importants interviennent dans leur entreprise ou leur environnement informatique.

Ces étapes garantissent qu'une entreprise respecte les normes TISAX lors de l'audit et s'engage en permanence à maintenir ces normes.

Cinq bonnes pratiques pour simplifier la conformité à TISAX

L'identification des exigences de conformité, la collecte et l'analyse des données requises, ainsi que les mesures à prendre pour éviter un constat de conformité négatif, peuvent s'avérer complexes et prendre beaucoup de temps. Suivez ces cinq bonnes pratiques pour simplifier le processus.

1. Définir les processus de gestion des risques organisationnels

Build a comprehensive third-party risk management (TPRM) or cybersecurity supply chain risk management (C-SCRM) program in line with your broader information security and governance, enterprise risk management, and compliance programs. Seek out experts who can collaborate with your organization on:

  • Définir les processus et les solutions TPRM et C-SCRM
  • Choisir des questionnaires et des cadres d'évaluation des risques pour comparer les résultats (par exemple, une évaluation spécifique de TISAX ou une évaluation plus générale de la norme ISO 27001).
  • Optimiser votre programme pour traiter l'ensemble du cycle de vie des risques liés aux tiers - du sourcing et de la diligence raisonnable à la résiliation et à l'abandon - en fonction de l'appétence au risque de votre organisation.
  • Établir des rôles et des responsabilités clairs (par exemple, RACI) dans l'ensemble de l'organisation.
  • Mise en place d'un système d'évaluation des risques et de seuils basés sur la tolérance au risque de votre organisation

2. Profil et classement de tous les fournisseurs

Créez un inventaire centralisé des fournisseurs en les important à l'aide d'un modèle de feuille de calcul ou d'une connexion API à une solution d'approvisionnement ou de chaîne logistique existante. Les équipes de l'entreprise doivent être en mesure de renseigner les informations clés sur les fournisseurs à l'aide d'un formulaire centralisé et des tâches de flux de travail associées. Tout le monde devrait pouvoir y accéder par le biais d'une invitation par courrier électronique, sans avoir besoin d'une formation ou d'une expertise en matière de solutions.

Lorsque tous les fournisseurs sont examinés, les équipes doivent créer des profils de fournisseurs complets qui contiennent toutes les preuves documentaires liées à l'évaluation TISAX, ainsi que des informations sur les caractéristiques démographiques du fournisseur, ses scores ESG, ses activités récentes et sa réputation, l'historique des violations de données et ses récentes performances financières. Cela ajoutera le contexte nécessaire aux processus d'audit.

Une partie du processus de profilage consiste à identifier les fournisseurs de quatrième et de Nième partie dans votre écosystème de fournisseurs, car les dépendances critiques peuvent avoir un impact sur les décisions d'échelonnement. Effectuez une évaluation de vos fournisseurs au moyen d'un questionnaire ou analysez passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte doit décrire les dépendances étendues qui pourraient exposer votre organisation à des risques.

Enfin, il convient de quantifier les risques inhérents à tous les fournisseurs afin de les classer efficacement, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer l'étendue des évaluations continues. Les critères utilisés pour calculer les risques inhérents à la hiérarchisation des fournisseurs peuvent être les suivants :

  • Criticité pour les performances et les opérations de l'entreprise
  • Lieu(x) et considérations juridiques ou réglementaires connexes (par exemple, GDPR)
  • Interaction avec les données protégées

3. Évaluer les fournisseurs par rapport aux exigences de TISAX

Leverage a supplier’s TISAX risk assessment, ISO 27001, NIST 800-53, or other industry standard assessment that can be easily mapped to TISAX requirements. Incorporate the assessment into a central supplier risk management platform, and use workflow automations, task management, and automated evidence review capabilities to evaluate supplier maturity scores. As well, assessment results should be presented in a central risk register that enables you to quickly visualize, sort, and pinpoint the most important risks.

4. Remédier aux constatations

Il est important de suggérer des mesures correctives pour les contrôles des fournisseurs à faible maturité qui dépassent l'appétit pour le risque de l'organisation. Les solutions de TPRM devraient inclure des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de s'assurer que vos fournisseurs traitent les risques de manière opportune et satisfaisante et qu'ils peuvent fournir les preuves appropriées aux auditeurs.

5. Surveiller en permanence les menaces qui pèsent sur les fournisseurs

Suivre et analyser en permanence les menaces externes qui pèsent sur les fournisseurs. Dans ce cadre, surveiller l'Internet et le dark web pour détecter les cybermenaces et les vulnérabilités. Les sources de surveillance sont généralement les suivantes

  • Forums criminels, pages en oignon, forums d'accès spécial sur le dark web, flux de menaces et sites de collage d'informations d'identification divulguées, ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
  • Databases containing several years of data breach history for thousands of companies worldwide

Toutes les données de contrôle devraient être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, afin de rationaliser l'examen des risques, l'établissement de rapports, les mesures correctives et les initiatives de réponse.

Once all assessment and monitoring data is correlated into a central risk register, apply risk scoring and prioritization according to a likelihood and impact model. This model should frame risks in a matrix, so you can easily see the highest-impact risks and prioritize remediation efforts accordingly. Assign owners and track risks and remediations to a level acceptable to the business.

Prochaines étapes de la mise en conformité avec TISAX

The Mitratech’s Third-Party Risk Management Platform offers a central, automated solution for scaling third-party risk management and cybersecurity supply chain risk management in concert with your broader cybersecurity and enterprise risk management program. With Mitratech, your team can:

  • Créer un inventaire centralisé des fournisseurs avec des profils de risque complets accessibles à plusieurs équipes dans l'entreprise.
  • Évaluer le risque inhérent afin d'établir le profil, l'échelonnement et la catégorisation des fournisseurs - et déterminer la portée et la fréquence appropriées des activités de diligence raisonnable en cours.
  • Automatiser l'évaluation des risques et la remédiation à chaque étape du cycle de vie des tiers
  • Suivre et analyser en permanence les menaces externes pour les tiers en surveillant l'internet et le dark web pour détecter les cybermenaces et les vulnérabilités.

Contact our team to determine how your TPRM policies stack up to TISAX requirements. Book your tailored demo today.


Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.