Conformité TISAX®, Certification et Approche de la sécurité centrée sur les données

Oct 10, 2022 | Conformité à la cybersécurité

TISAX, Trusted Information Security Assessment Exchange, est la certification standard de l’industrie automobile qui comprend trois niveaux. Dans l’article suivant, vous apprendrez ce qu’est Tisax, pourquoi vous devriez obtenir la certification, à qui s’applique TISAX, le processus, les niveaux et une approche de la sécurité centrée sur les données en identifiant et en minimisant les risques de cybersécurité sur les informations.

L’industrie automobile est un secteur hautement compétitif et collaboratif où des informations confidentielles sont continuellement échangées entre les clients et les fournisseurs appartenant à la chaîne d’approvisionnement. L’Association automobile allemande (VDA) a entrepris de normaliser les exigences en matière de sécurité de l’information dans l’environnement d’automatisation entre différents partenaires par le biais d’un questionnaire de sécurité (ISA) qui a finalement débouché sur TISAX®. Dans les sections suivantes, nous décrivons comment une approche de la sécurité centrée sur les données peut contribuer à renforcer la sécurité dans l’échange d’informations sensibles dans ce secteur et à obtenir des niveaux plus élevés d’évaluation TISAX®.
 
TABLE DES MATIÈRES

 

QU’EST CE QUE TISAX®?

 
Le secteur automobile est particulièrement actif en Europe en ce qui concerne la création de partenariats dans le but, entre autres, d’affiner et de définir des normes adaptées à ses besoins spécifiques. L’un d’entre eux est l’association allemande de l’industrie automobile (VDA). TISAX® (Trusted Information Security Assessment Exchange) est une norme de sécurité de l’information développée spécifiquement pour le secteur automobile et les exigences de cette indus.

TISAX® permet de réduire efficacement les efforts pour établir et contrôler les exigences de sécurité de l’information dans le domaine de l’échange d’informations sensibles entre les entreprises clientes et les fournisseurs de l’industrie automobile. TISAX® est une marque déposée de l’association ENX, composée de fabricants et de fournisseurs du secteur automobile européen. ENX agit en tant qu’organisation de gouvernance dans le cadre de TISAX® : approuve les fournisseurs d’audits et supervise la qualité de la mise en œuvre ainsi que les résultats des évaluations. TISAX® est basé sur le questionnaire ISA (Information Security Assessment) de la VDA.
 

POURQUOI TISAX®?

 
Imaginez deux entreprises du secteur automobile qui coopèrent l’une avec l’autre en tant que client et fournisseur. Ces entreprises échangent des informations confidentielles et veulent s’assurer que ces informations sont protégées de manière adéquate. Comment peuvent-elles savoir que, outre la signature de certains accords de confidentialité (NDA : Non-Disclosure Agreements), leur documentation est gérée en toute sécurité?. In this case, the questions arise: What is secure? How to demonstrate that the information is managed securely? Dans ce cas, les questions se posent : Qu’est-ce qui est sécurisé ? Comment démontrer que les informations sont gérées de manière sécurisée ? Certaines entreprises, pour évaluer la maturité de la gestion de la sécurité de l’information, ont demandé des questionnaires d’évaluation à leurs fournisseurs, d’autres des audits sur site.

Les entreprises du VDA appliquaient différentes normes de sécurité et avaient des avis divergents sur leur interprétation. Au lieu de créer des processus et des solutions individuelles à ce problème, l’ISA a proposé la création d’une norme qui, bien qu’elle implique un effort supplémentaire, apporte une efficacité face à une réutilisation ultérieure par des entreprises ayant le même problème. De cette façon, le rapport d’un auditeur pourrait être réutilisé pour différents partenaires commerciaux. La réponse à la question de savoir ce qui est sûr et comment démontrer que les informations sont gérées en toute sécurité dans le secteur automobile est donnée par TISAX®.
 

À QUI S’APPLIQUE TISAX®?

 
TISAX® s’applique aux entreprises qui souhaitent opérer avec succès dans l’industrie automobile en tant que partenaire ou fournisseur des constructeurs automobiles. Être certifié en TISAX® n’est pas quelque chose d’obligatoire dans le domaine juridique, mais la vérité est que sans démontrer sa conformité en TISAX®, il est pratiquement impossible de travailler avec l’un des principaux constructeurs. Par exemple, un client peut déterminer qu’un fournisseur est « pertinent pour TISAX® » lorsqu’il travaille avec ses données sensibles, ou a accès à ses systèmes d’information, ou reçoit des dessins avec de la propriété intellectuelle, etc.

Un autre fournisseur peut être pertinent pour TISAX® de la part du client s’il travaille avec des prototypes ou avec des données personnelles du client en question. TISAX® ® peut avoir un double aspect pour une entreprise. En tant que fabricant, demander une évaluation TISAX® à ses fournisseurs. Ou en tant que fournisseur, pour partager son niveau de conformité avec un client pour lequel il travaille.
 

 

RAPPORT ENTRE L’ISO 27001 ET L’EU-GDPR

 
La norme ISO 27001 est une norme internationale publiée par l’Organisation internationale de normalisation (ISO) et décrit comment gérer la sécurité de l’information dans une entreprise. Elle peut être mise en œuvre dans tout type d’organisation, privée ou publique, grande ou petite. TISAX® a été créé sur la base de la norme ISO 27001 et, en ce qui concerne les exigences de sécurité de l’information, elles sont pratiquement identiques.

En outre, TISAX® couvre d’autres domaines tels que la protection des prototypes et la protection des données, cette dernière étant liée au règlement européen sur la protection des données (EU-GDPR), où il existe des exigences dans le domaine de la protection des données personnelles dérivées de l’EU-GDPR. TISAX® est une adaptation de la norme ISO 27001 pour le secteur automobile, et ses exigences coïncident largement avec celles de la norme ISO 27001.

Toutefois, en fonction du niveau TISAX® auquel vous aspirez, il peut être nécessaire de satisfaire à des exigences supplémentaires, par exemple dans le domaine de la protection des prototypes ou de la protection des données. Contrairement à un audit ISO 27001, TISAX® est une auto-évaluation, bien qu’en fonction du niveau à atteindre, il sera nécessaire de faire appel à un auditeur externe accrédité indépendamment par ENX.
 

LE PROCESSUS TISAX®

 
En général, le processus commence lorsqu’un client potentiel demande à tester un certain niveau défini de gestion de la sécurité de l’information, selon la VDA-ISA. Pour mener à bien le processus, vous devez suivre les étapes suivantes:

  • 1. Enregistrement dans TISAX®: Donner les informations sur l’entreprise et les données pour l’évaluation.
  • 2. Evaluation: Effectuer l’évaluation ou les évaluations, de manière autonome ou par l’un des prestataires d’audit TISAX® validés par ENX.
  • 3. Échange: Partagez le résultat de l’évaluation avec vos partenaires commerciaux.

CHAMP D’APPLICATION DE L’ÉVALUATION TISAX® ET NIVEAUX

 
Pour réaliser l’évaluation de la sécurité de l’information, qu’il s’agisse d’une auto-évaluation ou d’une évaluation par un auditeur, vous devez commencer quelque part et finir quelque part. Il s’agit de la portée. Il existe différents types de périmètre : standard et sur mesure (étendu sur mesure, réduit sur mesure). La définition du champ d’application standard est prédéfinie, et vous n’avez pas besoin de penser à une définition propre.

Le champ d’application standard couvre tous les processus et ressources impliqués dans les sièges sociaux (par exemple, bureaux, usines de production, centres de développement, centres de données) soumis à des exigences de sécurité. Les processus et ressources concernés (par exemple, les équipes de travail, les employés, les systèmes informatiques, les services cloud, les plateformes, les sièges physiques, les prestataires concernés, etc.) comprennent la collecte d’informations, le stockage d’informations et le traitement d’informations.

Il y a huit objectifs d’évaluation TISAX® dans le champ d’application et au moins un doit être sélectionné.

Objectifs de TISAX®
1.      Informations nécessitant une protection élevée
2.      Informations nécessitant une très haute protection
3.      Protection des pièces et composants des prototypes
4.      Protection des véhicules prototypes
5.      Manipulation des véhicules d’essai
6.      Protection des prototypes lors d’événements et de tournages ou de séances de photos
7.      Protection des données
8.      Protection des données avec des catégories spéciales de données personnelles

 
Les objectifs d’évaluation et les « Labels TISAX® » sont à peu près les mêmes. Si l’évaluation de certains objectifs est réussie, les « Labels TISAX® » correspondants sont obtenus. Plus les besoins de protection sont importants, plus le partenaire aura intérêt à s’assurer qu’il est sûr de le laisser manipuler ses informations.

TISAX® distingue trois « niveaux d’évaluation » (AL). Un niveau d’évaluation plus élevé se traduit par une plus grande intensité d’évaluation et l’utilisation des méthodes d’audit nécessaires. Ils reflètent l’un des trois différents niveaux de protection : Niveau 1 (normal), Niveau 2 (élevé) et Niveau 3 (très élevé):

  • Niveau 1 (AL 1): Les évaluations de ce niveau sont principalement destinées à des fins internes. Aucune preuve n’est requise. Elles ont un faible niveau de confiance et ne sont pas utilisées dans TISAX®, mais votre partenaire peut exiger cette évaluation en dehors de TISAX®.
  • Niveau 2 (AL 2): L’auditeur demande des preuves de l’auto-évaluation, en menant des entretiens par vidéoconférence.
  • Niveau 3 (AL 3): Exige des vérifications plus approfondies avec une inspection sur place et des entretiens en personne.

 

Objectifs de TISAX®Niveau d’évaluation
Informations nécessitant une protection élevéeAL 2
Informations nécessitant une très haute protectionAL 3
Protection des pièces et composants de prototypesAL 3
Protection des véhicules prototypesAL 3
Manipulation des véhicules d’essaiAL 3
Protection des prototypes lors d’événements, de tournages ou de séances de photosAL 3
Protection des donnéesAL 2
Protection des données avec des catégories spéciales de données personnellesAL 3

Objectifs TISAX® et niveau d’évaluation requis

 

MéthodeNiveau 1 (AL 1)Niveau 2 (AL 2)Niveau 3 (AL 3)
Auto-évaluationOuiOuiOui
PreuvesNonContrôle de plausibilitéVérification approfondie
EntretiensNonPar téléconférenceEn personne, sur place
Inspection sur placeNonSi demandéOui

Méthodes d’évaluation pour chaque niveau d’évaluation TISAX®.

 
TISAX® n’exige pas que toutes les exigences s’appliquent à tous ses fournisseurs. Par exemple, si selon votre politique de sécurité, un e-mail classique ne peut être utilisé pour des données nécessitant une très haute protection, votre fournisseur d’e-mail n’a pas besoin du label TISAX® avec un très haut besoin de protection.
 

L’AUTO-ÉVALUATION BASÉE SUR VDA-ISA

L’auto-évaluation ISA (télécharger le document d’auto-évaluation ISA; v5.1) comporte trois catalogues de critères, avec des questions de contrôle regroupées en 7 chapitres.

  • Sécurité de l’information: Obligatoire. 7 chapitres. 42 questions.
  • Protection des prototypes: Facultatif. 1 chapitre. 12 questions.
  • Protection des données:Facultatif. 1 chapitre. 4 questions.

 
Pour chaque question de contrôle, l’objectif à atteindre est marqué, en détaillant les objectifs obligatoires, facultatifs, les ajouts pour les besoins de protection élevés et les ajouts pour les besoins de protection très élevés. On répond au formulaire en indiquant le niveau de maturité du SMSI actuel de l’entreprise par rapport à l’objectif fixé. L’ISA distingue 6 niveaux de maturité.
 

NiveauTitreDescription
0IncompletIl n’y a pas de processus, ou le processus ne permet pas d’atteindre les objectifs parce qu’il n’est pas suivi ou n’est pas adéquat.
1ExécutéUn processus non documenté ou incomplètement documenté est suivi et il y a des indicateurs que les objectifs ont été atteints.
2GéréUn processus permettant d’atteindre les objectifs est suivi. La documentation du processus et les preuves de la mise en œuvre du processus sont disponibles.
3ÉtabliUn processus standard intégré dans le système global est suivi. Les dépendances avec d’autres processus sont documentées et les interfaces nécessaires ont été créées. Il existe des preuves que le processus a été utilisé de manière durable et active pendant une période prolongée.
4PrévisibleUn processus établi est suivi. L’efficacité du processus est surveillée en permanence, en recueillant des chiffres clés. Des valeurs limites ont été définies à partir desquelles le processus n’est pas assez efficace et nécessite des ajustements. (Indicateurs clés de performance)
5OptimiséUn processus prévisible est suivi avec l’amélioration continue comme objectif principal. L’amélioration est activement conduite par des ressources ciblées.

 
Le tableau suivant montre les trois catalogues de critères avec les différents chapitres et sous-chapitres. Le nombre de questions de contrôle est détaillé entre parenthèses.


 

UNE APPROCHE DE LA SÉCURITÉ CENTRÉE SUR LES DONNÉES POUR TISAX®

Téléchargez notre eBook

 
Comme mentionné, parmi les objectifs de TISAX® figurent la gestion de la sécurité dans l’échange d’informations à haut et très haut besoin de protection, et la protection des données personnelles. Les contrôles de sécurité sur les données sont basés sur une approche de sécurité qui met l’accent sur la sécurité des données elles-mêmes plutôt que sur la sécurité des dispositifs, des applications, des serveurs ou des réseaux. Il existe plusieurs éléments clés pour un système de sécurité efficace centré sur les données:

  • Identification, découverte et classification des informations sensibles: L’objectif est de déterminer les types de données à privilégier par rapport aux autres lorsqu’il s’agit de les protéger. Tout ne doit pas être protégé, mais celles dont la perte peut poser un problème à l’organisation.
  • Protection centrée sur les données: Ces contrôles se concentrent sur la sécurisation du contenu organisationnel précieux afin qu’il puisse être protégé quel que soit l’endroit où il se trouve : Sur le réseau de l’entreprise, sur les ordinateurs d’un partenaire ou d’un fournisseur, et ainsi de suite.
  • Audit et surveillance de l’accès aux données: Il permet de voir qui accède aux informations, avec quelles autorisations, à partir d’où, si quelqu’un essaie d’accéder sans autorisations, etc.
  • Administration et gestion de la politique des données: Qui doit ou ne doit pas avoir les autorisations d’accès aux données n’est pas quelque chose qui est établi de manière statique et durable. Il doit être possible d’appliquer des politiques dynamiques sur les données de sorte que si vous cessez de collaborer avec quelqu’un ou si l’on détecte qu’une certaine personne peut être en danger, nous pouvons lui retirer l’accès.

 

 
SealPath est une solution de sécurité centrée sur les données qui permet de protéger, de surveiller et de contrôler la documentation critique et confidentielle de l’organisation:

  • La documentation voyage avec une protection persistante qui vous accompagne où que vous alliez, tant au sein du réseau que dans l’infrastructure d’un partenaire.
  • Elle permet une protection en transit, au repos et en cours d’utilisation. L’expéditeur de la documentation n’a pas besoin de la déchiffrer ou de la déprotéger pour travailler avec elle.
  • Il est possible de limiter les autorisations sur la documentation: Seulement la visualisation, l’édition, la copie et le collage, l’impression, l’ajout d’utilisateurs ou le contrôle total. Je peux voir et modifier un document, mais pas extraire son contenu ni l’imprimer.
  • Surveillance de l’accès à la documentation protégée, si quelqu’un essaie d’accéder au document sans autorisation, déprotection des fichiers, etc.
  • Il vous permet de révoquer l’accès aux données, de sorte que si vous terminez un certain projet avec un partenaire, vous pouvez l’empêcher d’accéder à la documentation protégée même s’il l’a en main.
  • Avec SealPath, le processus de protection commence par l’identification et la hiérarchisation de la documentation à protéger, en établissant des contrôles basés sur le cycle de vie de la documentation.
  • La protection peut être automatisée en fonction du niveau de classification d’un document, en étant capable d’appliquer une protection automatiquement et sans intervention de l’utilisateur si le fichier est étiqueté comme confidentiel, etc.
  • Vous pouvez également automatiser la protection de la documentation stockée dans des dossiers réseau,dans une bibliothèque de documents dans SharePoint/OneDrive, Box, ou d’autres applications Cloud applications.

 
Ces fonctionnalités permettent à la fois de crypter et de contrôler les informations nécessitant une protection élevée ou très élevée lorsqu’elles sont échangées avec un partenaire et de faciliter la conformité TISAX® lorsqu’un client nous confie ses informations ou données confidentielles ou personnelles.
 

LE DÉFI DE LA SÉCURISATION DES CAD

 
L’industrie automobile est un secteur complexe, les entreprises collaborent avec une grande variété de fournisseurs et de clients et la propriété intellectuelle doit voyager à l’extérieur de l’entreprise. Nous pouvons avoir une visibilité sur ce qui se passe avec les données au sein de l’entreprise, mais cela est beaucoup plus compliqué lorsqu’il s’agit de tracer l’accès à nos informations ou de les protéger tout au long de la chaîne d’approvisionnement.

Dans ce contexte, et comme nous l’avons vu dans l’origine de VDA ISA ou le besoin derrière TISAX®, il est essentiel de pouvoir protéger la propriété intellectuelle contenue dans le format numérique à l’intérieur et à l’extérieur de l’organisation. Les informations sensibles se présentent sous différents formats. De la documentation au format Word, Excel ou PDF, des images et, bien sûr, de la CAO.

Une bonne partie de la propriété intellectuelle se trouve dans les conceptions CAO 2D et 3D qui doivent être partagées à la fois en interne et avec des collaborateurs externes. Il est essentiel de protéger ces informations pour éviter les risques de fuite dus à des menaces internes ou externes. La documentation à contenu confidentiel qui peut être protégée dans le cadre de TISAX® est la suivante:

  • Documentation de support avec les détails des pièces, des composants, à échanger avec les clients, les fournisseurs ou les partenaires de fabrication.
  • Les résultats de recherche, qui peuvent être brevetés, que nous stockons dans toutes sortes de formats numériques (Word, Excel, PDF, etc.).
  • La CAO est gérée dans des outils tels qu’AutoCAD, Siemens Solid Edge, Inventor, CATIA, SolidWorks, etc., qui contiennent les détails des composants qui doivent être partagés en interne et en externe.
  • Les données de prix qui doivent être échangées avec les partenaires de distribution sur différents marchés.
  • Les propositions qui sont faites aux clients lorsqu’ils sont en concurrence avec d’autres entreprises et qui contiennent des informations sensibles et des avantages concurrentiels de l’entreprise.
  • Les guides de qualité internes liés aux processus de production de l’entreprise et dans lesquels le savoir-faire est recueilli au niveau des processus.
  • Informations destinées aux auditeurs, les données partagées étant protégées et leur accès contrôlé.

 
La différence des fichiers avec la CAO par rapport à un document Word ou PDF est qu’il s’agit de fichiers qui peuvent intégrer de multiples parties, avec des références à des fichiers tiers (par exemple, la conception d’un moteur est formée par la conception des multiples parties de celui-ci). Ces fichiers sont généralement gérés dans des applications PDM/PLM (Product Data Management/Product Lifecycle Management) qui ne sont pas spécialement préparées pour travailler avec des données cryptées ou des droits numériques.

SealPath, en plus de pouvoir appliquer les contrôles décrits dans la section précédente sur la documentation, permet de protéger la CAO indépendamment de son emplacement, en étant capable de contrôler qui y accède, quand, avec quelles permissions (visualiser le dessin ou le modifier, mais pas l’imprimer ou l’enregistrer sans protection).

Avec SealPath, il est possible d’inclure des limitations d’accès aux conceptions en fonction de l’adresse ou d’établir des dates d’expiration afin qu’après un accord ou une date limite, le partenaire n’ait plus accès aux conceptions protégées. Tout cela rend la solution particulièrement utile dans le domaine de TISAX®, car dans l’industrie automobile, une grande partie de la propriété intellectuelle est stockée dans des dessins CAO.
 

 

COMMENT SEALPATH AIDE TISAX COMPLIANCE®

 
Cette section montre comment l’approche de la sécurité centrée sur les données de SealPath permet de répondre à certaines exigences TISAX®. Le tableau suivant indique les chapitres pour lesquels SealPath peut donner une réponse satisfaisante aux questions de contrôle de l’argent dans le questionnaire VDA ISA.
 

 
Une approche de la sécurité centrée sur les données comme SealPath permet aux documents sensibles de voyager avec une couche de sécurité persistante qui les accompagne où qu’ils aillent, en étant capable de maintenir la protection des données au repos, en transit et en utilisation au-delà du périmètre de sécurité de l’organisation. 

Pour plus de détails sur la façon dont SealPath peut vous aider à vous conformer à chacune des questions de contrôle de la norme VDA-ISA téléchargez le eBook « TISAX® compliance with SealPath » ici.

Dans le tableau suivant, nous incluons une correspondance entre les questions de contrôle de VDA-ISA et les capacités de SealPath. Pour plus de détails, téléchargez l’ebook ou contactez SealPath.
 

TABLEAU RÉCAPITULATIF DES EXIGENCES DU VDA-ISA ET DES CARACTÉRISTIQUES DU SEALPATH

NOTES:

  • Permissions granulaires: Politiques dynamiques avec des autorisations granulaires (affichage, modification, impression, copier-coller, etc.) pour les utilisateurs et les groupes..
  • Contrôles avancés: Contrôles avancés sur l’accès aux données avec filigrane, contrôle IP, dates, etc.
  • Le moindre privilège: Accès par moindre privilège : ne donner que les autorisations minimales nécessaires à ceux qui en ont besoin et pas aux autres..
  • Révocation: Révocation des autorisations sur des documents, des utilisateurs, des groupes ou des politiques.
  • Cryptage: Protection de l’information grâce à la possibilité de gestion des clés par HSM (Hardware Security Module).
  • Gestion avancée des politiques: Possibilité de déléguer des politiques aux gestionnaires de données, multi-organisation (plusieurs locataires avec différents administrateurs, politiques, etc. pour la même entreprise), possibilité de récupérer les politiques supprimées.
  • Contrôle et audit: Suivi des accès à la documentation, des tentatives d’accès bloquées, des alertes sur l’absence de protections, etc.
  • Données classifiées: Protection automatique des données classifiées en fonction des règles de l’administrateur.
  • >Serveurs de fichiers, SharePoint et Cloud: Protection automatique des informations contenues dans les dossiers du réseau, dans SharePoint ou dans les référentiels du cloud..
  • DLP: Protection automatique des informations découvertes ou détectées par un système DLP ou d’identification de la documentation.
  • SIEM: Possibilité d’envoyer les journaux à un SIEM (système de gestion des informations de sécurité) afin de disposer d’événements de sécurité pour l’accès aux informations confidentielles.
  • MDM: Intégration avec MDM (Mobile Device Management) pour la distribution de l’application SealPath pour mobile et le contrôle et la protection des données sur les appareils mobiles.
  • AD (SSO, MFA): Intégration avec des systèmes tels que AD (Active Directory), LDAP, authentification multi-facteurs et Single-Sign-On.

 

CONCLUSIONS

 
Comme mentionné ci-dessus, TISAX® apporte une efficacité lorsqu’il s’agit de réduire les efforts dans le contrôle de la sécurité de l’information entre partenaires du secteur automobile en ce qui concerne le transfert et le partage d’informations confidentielles. Dans ce domaine, il est nécessaire d’appliquer des mesures pour s’assurer que les informations reçues d’un client sont traitées en respectant la confidentialité et la sécurité. D’un autre point de vue, ces mesures permettent de contrôler la sécurité des informations lorsque les données de l’entreprise se trouvent dans le réseau d’un autre partenaire.

Une approche de la sécurité centrée sur les données comme SealPath permet aux documents sensibles de voyager avec une couche de sécurité persistante qui les accompagne où qu’ils aillent, en étant capable de maintenir la protection des données au repos, en transit et en utilisation au-delà du périmètre de sécurité de l’organisation. SealPath contribue à la conformité TISAX® pour augmenter le niveau de maturité requis par ses partenaires du secteur automobile. Contactez-nous pour en savoir plus sur la façon dont SealPath peut vous aider à atteindre un haut niveau de maturité dans le domaine TISAX®.
 

“SealPath est l’outil parfait pour assurer une protection efficace des données sensibles, quel que soit leur emplacement, et permet de se conformer aux réglementations en matière de protection des données dans notre secteur.” Responsable de la sécurité de l’information. Entreprise multinationale.