Gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement de l'industrie automobile
TISAX (Trusted Information Security Assessment Exchange)est une norme de sécurité de l'information développée parl'Association allemande de l'industrie automobile (VDA)et gérée parl'association ENX. Depuis son introduction en 2017, les constructeurs automobiles, les équipementiers et les fournisseurs de toute l'Europe, et de plus en plus à l'échelle mondiale, ont largement adopté TISAX afin de garantir un niveau uniforme de sécurité de l'information au sein du secteur.
Actuellement disponible en version 6.0.2, l'évaluation de la sécurité de l'information (ISA) TISAX évalue près de 80 contrôles de sécurité de l'information, de protection des prototypes et de protection des données répartis dans neuf (9) familles de contrôles.
Étant donné que TISAX exige un examen complet des contrôles de sécurité de l'information, les constructeurs automobiles et les équipementiers doivent élaborer une stratégie d'évaluation des risques et de surveillance continue conforme à ses exigences afin de renforcer la cyber-résilience des chaînes d'approvisionnement mondiales.
Exigences pertinentes
-
Définir la portée de l'évaluation TISAX, en identifiant les parties de l'organisation et les processus qui doivent être évalués.
-
Mettre en œuvre les contrôles nécessaires pour combler les lacunes et respecter les normes requises.
-
Prendre des mesures correctives si l'audit identifie des domaines de non-conformité.
-
Réalisez une auto-évaluation à l'aide du questionnaire TISAX ISA, en évaluant les pratiques et politiques actuelles par rapport aux normes TISAX.
-
Faites appel à un auditeur agréé ENX pour réaliser l'audit officiel et une visite sur site.
-
Réviser et mettre à jour régulièrement les pratiques de sécurité et procéder à une réévaluation tous les trois ans.
Comment simplifier la conformité TISAX
Évaluer les fournisseurs par rapport aux exigences TISAX
La plateforme comprend uneévaluation des risquesconforme aux exigences TISAX et ISO 27001 et exploite l'automatisation des flux de travail, la gestion des tâches et les capacités d'examen automatisé des preuves pour évaluer les scores de maturité des fournisseurs. De plus, la solution Prevalent présente les résultats de l'évaluation dans un registre central des risques qui vous permet de visualiser, trier et identifier rapidement les risques les plus importants.
Définir les processus de gestion des risques organisationnels
Collaborez avec les experts de Prevalent pour mettre en placeun programmecomplet de gestion des risques liés aux tiers (TPRM) oude gestion des risques liés à la cybersécurité dans la chaîne d'approvisionnement (C-SCRM), en accord avec vos programmes plus larges de sécurité et de gouvernance de l'information, de gestion des risques d'entreprise et de conformité.
Évaluer les risques inhérents
Prevalent quantifieles risques inhérentsà tous les fournisseurs afin de les classer efficacement, de définir des niveaux appropriés de diligence supplémentaire et de déterminer la portée des évaluations continues.
Construire un inventaire centralisé des fournisseurs
Prevalent aide les équipes à créer uninventaire centralisé des fournisseursen important ces derniers via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement ou de chaîne logistique existante.
Une fois tous les fournisseurs évalués, la plateforme créedes profils completscontenant toutes les preuves documentaires liées à l'évaluation TISAX, ainsi que des informations sur les données démographiques du fournisseur, ses scores ESG, ses activités récentes, sa réputation, son historique en matière de violation de données et ses performances financières récentes.
Identifier les fournisseurs de quatrième et n-ième rang
Avec Prevalent, vous pouvez identifierles fournisseurs de quatrième et n-ième rangdans votre écosystème de fournisseurs grâce à une évaluation sous forme de questionnaire ou en analysant passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte illustre les dépendances étendues qui pourraient exposer votre organisation à des risques.
Corriger les résultats
La plateforme Prevalent comprend des recommandations de remédiation intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos fournisseurs traitent les risques de manière rapide et satisfaisante et puissent fournir les preuves appropriées aux auditeurs.
Surveiller en permanence les fournisseurs à la recherche de menaces
Prevalent surveille et analyse en permanenceles menaces externes pesant sur les fournisseurs. Les solutions surveillent Internet et le dark web à la recherche de cybermenaces et de vulnérabilités. Les sources surveillées comprennent :
– Forums criminels ; pages onion ; forums à accès restreint sur le dark web ; flux de menaces ; sites de partage de données pour les identifiants divulgués — ainsi que plusieurs communautés de sécurité, référentiels de code et bases de données de vulnérabilités.
– Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises à travers le monde
Toutes les données de surveillance sont corrélées aux résultats des évaluations et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui rationalise les initiatives d'examen des risques, de reporting, de remédiation et d'intervention.
Évaluer et hiérarchiser les risques
Une fois toutes les données d'évaluation et de surveillance corrélées dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle classe les risques dans une matrice, ce qui vous permet d'identifier facilement les risques ayant le plus grand impact et de hiérarchiser les mesures correctives à prendre. Attribuez des responsables et suivez les risques et les mesures correctives jusqu'à ce qu'ils atteignent un niveau acceptable pour l'entreprise.
