En 1980, les formules 1 était équipées d’une dizaine de capteurs et ces données de quelques Mo maximum étaient exploitées à la fin de la course. 44 ans après, c’est près de 300 capteurs qui sont installés remontant en temps réel via des réseaux à faible latence ou différé, plusieurs To de données par weekend de course. Ces données sont nécessaires, comprenant plus de 1500 paramètres, aux écuries mais également pour les spectateurs et ainsi rendre la course plus immersive.
Si nous n’en sommes pas encore à ce niveau, nos voitures du quotidien intègrent déjà une électronique avancée, des logiciels et de nombreux capteurs facilitant la conduite : allumage automatique des phares, des essuie-glaces, stationnement autonome. Et la voiture autonome ?
Ces données notamment de conduites peuvent être également remontées et stockées dans le cloud dans un objectif de maintenance ou d’évolution avec le fabricant ou les partenaires.
Aujourd’hui, les véhicules embarquent des technologies complexes et génèrent d’énormes volumes de données. La sécurité de ces informations est devenue un enjeu majeur pour l’industrie automobile.
- Des big data et les données de processus
- Des interconnexions réseau
- Les données personnelles
Objectifs et Avantages
La nécessité de réguler la façon dont les fabricants automobiles manipulent les données a motivé sous l’impulsion du VDA du Verband der Automobilindustrie , association de l'industrie automobile allemande), les entreprises européennes du secteur à créer TISAX® (Trusted Information Security Assessment Exchange).
Marque de l'Association ENX (European Network Exchange) , ce standard, devenu un référentiel stratégique pour garantir l’intégrité des systèmes de sécurité de l’information reposent Sur :
- L’ISO27001 avec la mise en place d’un Système de Management de la Sécurité de l’Information (SMSI*) et des contrôles de l’annexes A
- Les anciennes règles de sécurité de l'information (ISA )
- Certaines exigences en matière de confidentialité
Ce standard a pour objectif d’assurer :
- Un socle commun adapté à l’industrie automobile
- Une efficacité et réduction du risque de non-conformité lors des audits pour les constructeurs et les fournisseurs (baisse des coûts, efforts et complexité)
- Assurer la comparabilité et la qualité des évaluations
- L’amélioration continue des pratiques
D’un point de vue concurrentiel, si cela n’est pas une exigence des parties intéressées (partenaires, clients, sous-traitants), il permet de gagner leur confiance avec l’intégration du réseau de partenaires TISAX®, reconnu mondialement pour son expertise.
La mise en place d’une approche de gestion du risque cyber éprouvée et inspirée de la norme internationale ISO 27001, renforce, valide et pérennise la résilience du système d’information en prévenant ou en réduisant les impacts d’une violation de la sécurité de l'information et de cyber-attaques.
Elle a l’avantage de favoriser la confiance des consommateurs dans la sécurité technologiques automobile.
En mettant en place les bases d’un SMSI (Organisation, leadership, planification, amélioration), elle ouvre la porte vers une possible certification selon la norme ISO 27001.
Et n’oublions pas, elle améliore la sensibilisation des collaborateurs à la sécurité des données. Permettant ainsi de considérer le facteur humain, enjeu majeur de la cybersécurité, non plus comme une source de vulnérabilité, mais comme un maillon fort de la cybersécurité.
Principes
Afin de faciliter sa mise en place, l'Association ENX met à disposition des ressources comme un manuel du participant, qui détaille les principes et l’ensemble des étapes de l’évaluation TISAX et le questionnaire intitulé « Évaluation de la sécurité de l’information » ou ISA (Information Security Assessment), fichier d’évaluation des différents contrôles.
Périmètre
A l’identique de l’ISO 27001, il est nécessaire de définir et mettre en place un SMSI.
En revanche, contrairement à l’ISO ou le périmètre du SMSI est identique à celui certifié, le périmètre d’évaluation et ses objectifs peuvent lui être plus réduits que celui du SMSI tout en étant contenu dans ce dernier. Ainsi il est possible par exemple de définir différents périmètres suivant le type de sites (Usines de production, les centres de recherche et développement, les sièges sociaux, les zones d'essai, etc.)
Catalogue critères / objectifs
L’évaluation porte sur trois catalogues de critères comportant eux-mêmes plusieurs objectifs (Cf. Tableau 1, ci-dessous) :
- Sécurité de l’information : grâce à un ISMS, il faut attester que ce système permet, en toute fiabilité, d’identifier et de gérer les risques, de créer des politiques et des procédures de sécurité, d’effectuer des audits réguliers
- Protection des prototypes
- Protection des données : Exigences liées au traitement des données à caractère personnel
Historiquement avec 2 objectifs (Info high / Info very high), le critère « Sécurité de l’information » a fait l’objet d’une révision début 2023 afin de prendre en compte l’évolution des cyberattaques notamment des ransomwares.
Ainsi, la sécurité de l’information se découpent en 4 objectifs portant sur la notion de confidentialité (Confidential / Strictly confidential) et disponibilité (High availability / Very high availability)
Ces 2 objectifs initiaux (Info high / Info very high) ne sont plus utilisés depuis avril 2024.
Chaque objectif d’évaluation définit :
- Le(s) catalogue(s) de critères ISA applicable(s)
- Les questions de contrôle auxquelles vous devez répondre
- Les exigences que vous devez remplir
Par ailleurs, l’évaluation de ces objectifs se fait selon deux axes : un niveau d’exigence et la maturité du processus
tableau 1 : critères / objectifs |
Catalogues | N° | Objectif d'évalutation TISAX | Niveau d'évaluation (AL) |
Sécurité de l'information
| 1. | Info high | AL 2 |
2. | Info very high | AL 3 |
3. | Confidential | AL 2 |
4. | Strictly confidential | AL 3 |
5. | High availability | AL 2 |
6. | Very high availability | AL 3 |
Protection des prototypes | 7. | Proto parts | AL 3 |
8. | Proto vehicles | AL 3 |
9. | Test vehicles | AL 3 |
10. | Proto events | AL 3 |
Protection des données | 11. | Data | AL 2 |
12. | Special data | AL 3 |
Focus Catalogue critères : Sécurité de l’information
Couvrant tous les aspects critique de la sécurité de l’information, ce critère est Obligatoire. Basé sur l’ISO 27001, le questionnaire ISA associent les différentes exigences aux contrôles de l’annexe A.
Ci-dessous les différents chapitres des contrôles :
- Politiques de sécurité de l’information et organisation
- Sécurité des informations du pôle des Ressources humaines
- Sécurité physique et continuité de business
- Gestion des identités et des accès
- Sécurité IT et cybersécurité
- Relations avec les fournisseurs
- Conformité aux exigences demandées
Focus Catalogue critères : Protection des prototypes
Ce catalogue comprend quatre objectifs en rapport avec des prototypes :
- Proto parts : Pour toutes les entreprises qui, sur leurs propres sites, fabriquent, stockent ou utilisent des composants ou des pièces fournis par les clients
- Proto vehicles : Pour toutes les entreprises qui, sur leurs propres sites, fabriquent, stockent ou utilisent des véhicules fournis par les clients
- Test vehicles : Pour toutes les entreprises qui effectuent des tests et des essais routiers avec des véhicules fournis par les clients
- Proto events : Pour toutes les entreprises qui effectuent des présentations ou organisent des événements, réalisent des films et des shootings photo avec des, véhicules, des composants ou des pièces fournis par les clients
Pour les deux premiers, les exigences relatives à la sécurité physique et à la sécurité dans la zone environnante, les exigences organisationnelles et les exigences spécifiques pour le traitement des prototypes font partie de l’évaluation.
Pour les deux suivants, Les exigences organisationnelles, les exigences spécifiques pour le traitement des prototypes font partie de l’évaluation, y compris
- Le camouflage, et le traitement des véhicules durant les essais routiers sur la voie publique ou sur des pistes de test
- Les exigences relatives aux présentations, aux événements, aux films et aux shootings photo dans des pièces protégées et en public font partie de l’évaluation
Focus Catalogue critères : Protection des données
Exigences liées au traitement des données à caractère personnel.
- « Protection des données » est nécessaire si vous traitez des données à caractère personnel en tant que sous-traitant conformément à l’article 28 du RGPD
- « Protection des données pour des catégories spéciales de données à caractère personnel » est nécessaire si vous traitez des catégories spéciales de données à caractère personnel (telles que des données de santé ou sur les croyances religieuses) en tant que sous-traitant conformément à l’article 28 du RGPD
Niveaux d'évaluation
TISAX distingue trois niveaux croissants d’évaluation conditionnées par les objectifs précédemment définis (Cf. Tableau 1). Par exemple, l’objectif « Special data » devra faire l’objet d’une évaluation de niveau 3 (AL 3)
- Niveau 1 – AL1 : niveau Normal ⚙️
Destinées à un usage interne, le niveau 1 correspondant à une auto-évaluation et exige de l’entreprise de compléter le VDA Assement Checklist. L’auditeur vérifie juste sont existence sans juger de sa pertinence
- Niveau 2 – AL2 : niveau Elevé ⚙️📄
Pour ce niveau, l’évaluation est réalisée par un auditeur via des entretiens afin de s’assurer de la conformité au référentiel TISAX via des tests de plausibilité des données. Entretiens qui peuvent se tenir uniquement en distanciel. Une inspection sur site est possible à la demande de l’entreprise évaluée.
- Niveau 3 – AL3 : niveau Très Elevé⚙️📄🔍
Ce niveau exige des vérifications plus approfondies des données probantes avec une inspection et des entretiens sur site.
Maturité
L’ISA définit 5 niveaux de maturité
TISAX dont il faut atteindre à minima le niveau 3 pour obtenir le label TISAX.
Niveau maturité | description |
0 - Incomplet | Un processus n’est pas disponible, pas suivi ou pas adapté à la réalisation de l’objectif. |
1 - Exécuté | Un processus non documenté ou documenté de façon incomplète est suivi, et des indicateurs attestent qu’il atteint son objectif. |
2 - Géré | Un processus atteignant ses objectifs est suivi. La documentation du processus et des preuves de sa mise en œuvre sont disponibles. |
3 - établi | Un processus standard intégré dans un système global est suivi. Des dépendances à d’autres processus sont documentées et des interfaces adéquates sont créées. Il existe des preuves que le processus a été utilisé de manière durable et active sur une période prolongée. |
4 - Prévisible | Un processus établi est suivi. L’efficacité du processus est surveillée en permanence grâce à la collecte de données clés. Des valeurs limites sont définies auxquelles le processus est considéré comme insuffisamment efficace et nécessitant des ajustements (indicateurs clés de performance). |
5 - Optimisant | Un processus prévisible est suivi, dont l’un des objectifs majeurs est l’amélioration continue. L’amélioration est promue de manière active par des ressources dédiées. |
Source : Manuel du participant TISAX, Tableau 11. Description informelle des niveaux de maturité
Processus d’évaluation - ISA (Information Security Assessment)
- Phase de préparation : l’entreprise s’enregistre sur le site de l’ENX et renseigne les informations nécessaires (périmètre, site physique, niveau de certification, etc.)
- Auto-évaluation du niveau de conformité (par l'entreprise) : elle correspond au niveau d’évaluation AL1 (le plus bas). L’entreprise met en place des processus de sécurité de l’information et complète la checklist ISA. Le niveau cible de chaque contrôle va de 0 à 5. Le diagramme en toile d’araignée ISA, ci-dessous, illustre le fonctionnement de la notation pour chaque question de sécurité et niveau de maturité.
Source : Évaluation de la sécurité de l’information VDA (VDA Information Security Assessment)
- Phase d’audit : d’une durée de 9 mois maximum, elle se décompose
- Evaluation principale : Le prestataire d’évaluation réalise une évaluation suivant les modalités des différents niveaux AL1, AL2 et AL3 (Entretiens avec le personnel de l’entreprise à distance ou sur site, examen des documents pertinents, évaluation des mesures de sécurité en place)
- Passage en commission ENX : Un avis sur label est rendu après analyse du rapport rédigé par l’évaluateur détaillant les résultats de l’évaluation
- En cas des non-conformités, un ou plusieurs audit(s) complémentaire(s) peut(vent) être réalisé(s)
- Label TISAX : Si l’entreprise répond aux exigences de sécurité de l’information le label est octroyé pour 3 ans sans des audits de surveillance.
- Échange de résultats : à la discrétion de la société, le label peut être partagé via la plateforme ENX pour démontrer son engagement.
- Renouvellement : A la fin d’un cycle de trois ans, un audit complet, dit de renouvellement doit être réalisé
Conclusion : L'EVALUATION TISAX® VS L’ISO 27001:2022
| ISO / IEC 27001 | tisax |
Portée réglementaire
| Internationale | VDA, allemande pour l'essentiel |
Généraliste (tous les secteurs) - Norme de système de management | Spécialisée à l'industrie automobile avec prise en compte du système d'information industriel |
Périmètre d'application | Champ d'application défini par le périmètre du SMSI | Périmètre a minima contenu dans le périmètre SMSI. En revanche, il porte sur la totalité d'un site, sans exception |
Données protégées | Données de l'entreprise ou confiées à l'entreprise | Données du fabricant tout au long de la chaîne d'approvisionnement |
Conditions | Pour obtenir la certification, vous devez prouver l'efficacité de votre SMSI et passer les 93 contrôles applicables de l'Annexe A ISO27001:2022 | Le label exige le niveau de maturité 3 sur l'échelle des 6 niveaux (de 0 à 5) |
Méthode d'évaluation | Basée sur un audit complet | Basée sur l'évaluation suivant plusieurs niveaux possibles |
Preuve | Certificat public | Label électronique (uniquement sur la plateforme ENX) privé et partageable avec ses partenaires |
Validité | Valable 3 ans avec audit de suivi annuel | Valable 3 ans |
Mise à jour référentiel | Revue tous les 5 ans | Revue annuelle |
Outre la sécurité de l'information, basée sur les normes ISO/IEC 27001 et 27002, l’évaluation TISAX® définit 3 catalogues de mesures supplémentaires :
- La protection des prototypes,
- La relation avec des tiers,
- La protection des données
Au contraire des normes ISO qui laisse à la discrétion de chaque entreprise, la façon de mettre en place son système de management à condition évidemment de répondre aux exigences, l'Association ENX cadre et simplifie l’évaluation TISAX® en accompagnant au mieux les entreprises à travers les différentes ressources documentaires mises à disposition. Supports qui proposent même des KPIs pour les différents types de contrôles.
La mise en place d’une approche de gestion du risque cyber éprouvée et inspirée de la norme internationale l’ISO 27001, renforce, valide et pérennise la résilience du système d’information en prévenant ou en réduisant les impacts d’une violation de la sécurité de l'information et de cyber-attaques. Car rappelons-le :
La question n'est plus de savoir si vous allez être victime ou non d'une cyberattaque mais quand
Perspectives et enjeux futurs
Avec la multiplication des cyberattaques, notamment les ransomwares, et l'essor des véhicules connectés et autonomes, le référentiel TISAX devra continuer à évoluer pour s'adapter aux nouvelles menaces. Les systèmes embarqués, les capteurs IoT et les infrastructures cloud, indispensables au fonctionnement des véhicules modernes, génèrent des données toujours plus volumineuses et sensibles, exposant ainsi la chaîne d'approvisionnement à des risques accrus.
L’avenir de TISAX devra intégrer des exigences renforcées pour la sécurisation des mises à jour logicielles à distance (OTA), des communications IoT et des données critiques liées aux véhicules autonomes. En mettant l’accent sur la disponibilité, l’intégrité et la confidentialité des systèmes, TISAX s'affirme comme un cadre essentiel pour garantir la résilience face aux défis de demain.
* SMSI : En anglais , ISMS (information security Management System)
Sources
https://portal.enx.com/en-US/TISAX/https://certification.afnor.org/nos-solutions-en-securite-numerique/tisaxhttps://www.bureauveritas.fr/besoin/tisax-une-certification-pour-lindustrie-automobilehttps://kpmg.com/fr/fr/articles/cybersecurite/tisax-donnees-secteur-automobile.htmlhttps://www.kiteworks.com/fr/glossaire/glossaire-conformite-risque-tisax/https://www.dnv.fr/services/tisax-r-securite-de-l-information-dans-le-secteur-automobile-185873/https://feelagile.com/le-referentiel-tisax/https://www.isdecisions.com/fr/blog/conformite/guide-de-la-conformite-tisax
Retour aux articles