En matière de cybersécurité automobile, on passe à la vitesse supérieure. Dans un environnement particulièrement concurrentiel et à la pointe de l’innovation, les géants de l’automobile prennent conscience des risques de piratage et de fuites induits par la digitalisation des processus et des échanges. Comment protéger les plans d’un prototype au moment de lancer sa fabrication chez un sous-traitant ? Comment s’assurer de la sécurité de plans confidentiels stockés sur un serveur à l’étranger ? Quelle protection face à un rançongiciel qui menace de répandre sur le darkweb les secrets d’un futur moteur révolutionnaire ? Comment assurer la continuité d’activité en cas de crise majeure ?
Inspiré d’ISO/IEC 27001, le référentiel TISAX® apporte des éléments de réponses à ces nouvelles inquiétudes qui pèsent sur tout le secteur automobile. Le groupe AFNOR est désormais reconnue par ENX, l’association propriétaire du référentiel, pour évaluer les pratiques et systèmes d’information des acteurs de la filière.
Evaluation TISAX® : une déclinaison sectorielle d’ISO/IEC 27001
Registre des données, gouvernance, plan de continuité d’activité, sensibilisation et formation des salariés… Les exigences de TISAX® varient selon les niveaux d’évaluation diligentée, qui sont au nombre de trois : une autoévaluation, un audit à distance par un tiers évaluateur, et enfin un audit poussé de plusieurs jours sur site.
« TISAX® n’est déjà plus une option, constate Thomas Sanjullian. Des constructeurs font déjà figurer cette exigence dans leurs appels d’offres. Pour pouvoir répondre et recevoir des données du constructeur, ils doivent fournir la preuve de leur niveau. » Depuis septembre 2023, le groupe AFNOR est reconnu pour réaliser cette évaluation. Les auditeurs suivent actuellement des formations pour pouvoir, dès début 2024, mener leurs premiers audits.
En parallèle, l’ISO/IEC 27001, le référentiel phare donnant des lignes directrices pour déployer un système de management de l’information solide et efficace connaît un engouement sans précédent. Avec presque deux fois plus de certifiés en deux ans, la montée en puissance d’ISO/IEC 27001 se confirme au niveau mondial avec près de 100 000 sites certifiés dans le monde. En termes de pays, le trio de tête est Chine, Japon, Royaume-Uni. Un bel essor qui s’explique d’abord par la place centrale des enjeux autour de la protection des données. « ISO 27001 porte sur la sécurité des systèmes d’information et concerne les données numériques comme les données papier, rappelle Brice Gilbert, responsable ISO 27001 pour AFNOR Certification. Il y a quelques années, 62 % des entreprises qui se lançaient sur ce référentiel le faisaient de façon volontaire. Mais avec le durcissement du contexte réglementaire, la plupart s’engagent à présent pour se mettre en conformité et pouvoir continuer à répondre aux appels d’offres. » Sans surprise, dans l’ISO Survey, le secteur d’activité qui a le plus recours à la certification ISO/IEC 27001 est celui des technologies de l’information.
« Les industriels, notamment dans l’aéronautique, ont bien pris conscience des enjeux. Un piratage, une fuite de données ou une demande de rançon, et c’est la survie de l’entreprise qui est en jeu. AFNOR propose une stratégie en plusieurs étapes, avec d’abord une autoévaluation gratuite pour initier la réflexion, quel que soit son secteur d’activité », indique Brice Gilbert. Cinq ans après la première version de mai 2017, la publication de la norme actualisée en 2022, avec des aspects nouveaux comme le cloud, est disponible en certification accréditée grâce à notre réseau international.
En savoir plus
- Sur l’évaluation TISAX® – Sécurité de l’Information dans le Secteur Automobile
- sur la certification de l’ISO 27001 – Sécurité des Systèmes d’Information
- sur la formation Qualification des auditeurs internes selon ISO 9001 et ISO 27001
- sur notre offre de certification
- sur notre offre de formation
- sur notre réseau à l’international.