Réalisez le processus d’évaluation TISAX et partagez le résultat d’évaluation avec votre partenaire

Publié par

ENX Association
une association conforme à la loi française de 1901,
enregistrée sous le numéro w923004198 auprès de la sous-préfecture de Boulogne-Billancourt, France

Adresses
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Francfort-sur-le-Main, Allemagne

Auteur

Florian Gleich

Contact

tisax@enx.com
+49 69 9866927-77

Version

Date :

06/01/2021

Version :

2.3 beta

Classification :

Public

ID doc ENX :

602-FR

Avis de droit d’auteur

Tous droits réservés par ENX Association.
ENX, TISAX et leurs logos respectifs sont des marques déposées d’ENX Association.
Les marques de tiers mentionnées sont la propriété de leurs détenteurs respectifs.

1. Aperçu

1.1. Objectif

Bienvenue sur TISAX (Trusted Information Security Assessment Exchange).

L’un de vos partenaires vous a demandé d’attester que votre gestion de la sécurité de l’information respecte un niveau particulier d’exigence, comme prévu par « l’évaluation de sécurité de l’information de la VDA[1] (ISA) ». Et à présent, vous souhaitez savoir comment répondre à cette demande.

L’objectif du présent manuel est de vous permettre de satisfaire la demande de votre partenaire — ou d’avoir une longueur d’avance en anticipant la démarche avant qu’un partenaire ne vous invite à l’effectuer.

Le présent manuel décrit les étapes que vous devez mettre en œuvre pour passer l’évaluation TISAX et pour en partager le résultat avec votre partenaire.

L’établissement et le maintien d’un système de gestion de la sécurité de l’information (ISMS) constituent déjà des missions complexes. Prouver à votre partenaire que votre gestion de la sécurité de l’information est à la hauteur ajoute encore plus de complexité. Le présent manuel ne vous aidera pas à gérer la sécurité de vos informations. Toutefois, il vous permet de démontrer le plus simplement possible à votre partenaire les efforts mis en œuvre dans ce contexte.

1.2. Champ d’application

Le présent manuel s’applique à tous les processus TISAX auxquels vous pouvez participer.

Il contient tout ce que vous avez besoin de savoir pour mener à bien le processus TISAX.

Le manuel prodigue des conseils sur la manière de traiter les exigences en matière de sécurité de l’information qui représentent le fondement de l’évaluation. Mais il n’a pas pour objectif de vous offrir une formation générale sur ce que vous devez faire pour passer l’évaluation de sécurité de l’information.

1.3. Public

Les entreprises qui ont besoin ou souhaitent prouver un certain niveau de gestion de sécurité de l’information, conformément aux exigences de « l’évaluation de sécurité de l’information de la VDA » (ISA), constituent le principal public auquel s’adresse le présent manuel.

Dès que vous serez activement impliqué dans les processus TISAX, vous pourrez profiter des informations fournies dans le présent manuel.

Les entreprises qui demandent à leurs fournisseurs de prouver certains niveaux de gestion de la sécurité de l’information en tireront profit également. Le présent manuel leur permet de comprendre ce que leurs fournisseurs sont tenus de faire pour répondre à leur demande.

1.4. Structure

Nous commencerons par une brève introduction à TISAX, puis nous passerons immédiatement aux instructions décrivant COMMENT entreprendre les diverses démarches. Vous trouverez tout ce dont vous avez besoin pour mener à bien le processus — dans l’ordre correspondant aux diverses étapes à suivre.

Le temps de lecture estimé du document est de 75 à 90 minutes.

1.5. Comment utiliser le présent document

Tôt ou tard, vous vous intéresserez probablement à la plupart des informations décrites dans le présent document. Pour être correctement préparé, nous vous recommandons de lire l’intégralité du manuel.

Nous avons organisé le manuel sur la base de trois étapes principales du processus TISAX, de manière à ce que vous puissiez aller à la section dont vous avez besoin et lire le reste plus tard.

Le manuel utilise des illustrations pour faciliter la compréhension. Les couleurs des illustrations ont souvent une signification supplémentaire. Par conséquent, nous vous recommandons de lire le document sur un écran d’ordinateur ou sur une version papier en couleur.

Nous serions heureux de recevoir vos commentaires. Si vous pensez qu’il manque certaines informations dans le présent manuel ou qu’il n’est pas facile à comprendre, n’hésitez pas à nous en informer. Tous les futurs lecteurs du manuel et nous-mêmes vous serons reconnaissants du retour que vous nous donnerez.

Si vous avez déjà utilisé une version antérieure du manuel du participant TISAX, vous pourrez trouver quelques précieuses remarques à la fin du document à la Section 8, “Historique du document”.

1.6. Nous contacter

Nous sommes là pour vous guider tout au long du processus TISAX et pour répondre à toute question que vous pourriez avoir.

Envoyez-nous un e-mail à :

tisax@enx.com

Ou appelez-nous au numéro :

+49 69 9866927-77

Vous pouvez nous joindre durant les heures ouvrables normales en Allemagne (UTC+01:00).

Nous parlons tous Icône du drapeau du Royaume-Uni l’anglais et Icône du drapeau de l’Allemagne l’allemand. Deux de nos collègues sont de langue maternelle Icône du drapeau de l’Italie italienne.

1.7. Le manuel du participant TISAX dans d’autres langues et formats

Le manuel du participant TISAX est disponible dans les autres langues et formats suivants :

Langue Version Format Lien Taille

Icône du drapeau du Royaume-Uni Anglais

2.3

En ligne

https://www.enx.com/handbook/tisax-participant-handbook.html

n/a

Hors ligne

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

Icône du drapeau de l’Allemagne Allemand

2.3

En ligne

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

n/a

Hors ligne

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

Icône du drapeau de la France Français

2.3 beta

En ligne

https://www.enx.com/handbook/tph-fr.html

n/a

Hors ligne

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

Icône du drapeau de la Chine Chinois

2.3 beta

En ligne

https://www.enx.com/handbook/tph-cn.html

n/a

Hors ligne

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB

Important

Remarque importante :

La version anglaise est la version principale.
Les versions disponibles dans toutes les autres langues sont des traductions de la version anglaise.
En cas de doute, la version anglaise fait autorité.

1.7.1. À propos de la version française

Le présent manuel du participant TISAX est une traduction de la version anglaise.

Tous les documents de base de TISAX ont été rédigés en anglais (p. ex. : tous les contrats et exigences pour les auditeurs TISAX). Par conséquent, votre partenaire ou votre auditeur peut utiliser certains termes spécifiques à TISAX en anglais.

Pour vous permettre d’établir une correspondance entre les termes d’une langue à l’autre, nous avons conservé le terme TISAX original en anglais dans la traduction française du manuel du participant TISAX ou l’avons mentionné entre parenthèses directement après la traduction française.

1.7.2. À propos du format en ligne

Chaque section a un identifiant unique (format : ID1234).
Un ID fait référence à une section spécifique, indépendamment de la langue.
Si vous souhaitez accéder à une section spécifique, vous pouvez :

  • cliquer droit sur le titre de la section et copier le lien, ou

  • cliquer sur le titre de la section et copier le lien à partir de la barre d’adresse de votre navigateur.

La plupart des illustrations sont disponibles dans une taille supérieure à celle affichée ici par défaut. Cliquez sur l’illustration pour accéder à sa version de taille supérieure.

1.7.3. À propos du format hors ligne

Le format hors ligne contient la plupart des éléments du format en ligne. Notez en particulier que les illustrations sont intégrées dans le fichier HTML. Vous n’avez besoin que d’un fichier pour utiliser le format hors ligne.

Par rapport au format en ligne, le format hors ligne ne contient pas :

  • les images de taille supérieure

  • les polices originales du format en ligne
    Les polices sont définies selon les réglages par défaut de votre navigateur.

1.7.4. À propos du format PDF

Le format PDF se base sur le format en ligne. En principe, nous utilisons un navigateur pour sauver le format en ligne en PDF.

Si vous utilisez le format PDF sur votre ordinateur, vous pouvez toujours cliquer sur l’ensemble des références. Mais si vous imprimez la version PDF, vous ne retrouverez pas certains éléments tels que la numérotation des pages, et vous devrez rechercher les références vous-même.

2. Introduction

Les sections suivantes présentent le concept TISAX.

Si vous êtes pressé, vous pouvez les passer et commencer directement à la Section 4.3, “Préparation de l’inscription”.

2.1. Pourquoi TISAX ?

Ou en d’autres termes, que faites-vous ici ?

Pour répondre à cette question, nous commencerons par quelques réflexions sur la pratique commerciale en général et sur la protection des informations en particulier.

Vous avez un partenaire. Il détient des informations confidentielles et souhaite les partager avec son fournisseur — vous. La coopération entre votre partenaire et vous-même crée de la valeur. Les informations que votre partenaire partage avec vous constituent une part importante de cette création de valeur. Par conséquent, il souhaite les protéger de manière appropriée. Et il veut être certain que vous traitez ses informations avec le même soin.

Mais comment peut-il être sûr que ses informations sont entre de bonnes mains ? Il ne peut pas se contenter de vous « croire ». Votre partenaire a besoin de voir certaines preuves.

Deux questions se posent dans ce contexte. Qui définit la notion de traitement « sécurisé » de l’information ? Et deuxièmement, comment en apportez-vous la preuve ?

2.2. Qui définit la notion de « sécurisé » ?

Votre partenaire et vous-même n’êtes pas les seuls à être confrontés à ces questions pour la première fois. Chacun ou presque doit y répondre et la plupart des réponses présenteront des points communs.

Ainsi, standardiser la démarche permet d’éviter de devoir créer une solution au cas par cas pour un problème récurrent et de démarrer systématiquement d’une feuille blanche. Créer une norme représente un travail considérable, mais une fois cette norme définie, tous ceux qui la suivent pourront en profiter à chaque fois.

Il existe certainement différents points de vue concernant la démarche adéquate à adopter pour protéger les informations. Mais en raison des avantages susmentionnés, la plupart des entreprises misent sur l’approche normative. Une norme est la forme condensée de toutes les bonnes pratiques prouvées et éprouvées pour une problématique particulière.

Dans votre cas, des normes telles que la norme ISO/IEC 27001 (concernant les systèmes de gestion de la sécurité de l’information, ou ISMS) et leur mise en œuvre déterminent comment traiter les informations confidentielles de manière sécurisée et dans les règles de l’art. Une norme telle que celle-là vous évite de devoir réinventer la roue à chaque fois. Mais plus important encore, les normes fournissent une base commune à deux entreprises qui doivent échanger des données confidentielles.

2.3. Dans le secteur automobile

Par nature, les normes indépendantes d’un secteur particulier sont conçues comme des solutions universelles et ne sont pas adaptées aux besoins spécifiques des sociétés automobiles.

Il y a longtemps, des associations ont vu le jour dans l’industrie automobile pour — entre autres — affiner et définir des normes adaptées aux besoins plus spécifiques du secteur. La « Verband der Automobilindustrie » (VDA) est l’une de ces associations. Dans le groupe de travail qui traite de la sécurité de l’information, plusieurs membres de l’industrie automobile sont arrivés à la conclusion qu’ils avaient des besoins similaires auxquels il conviendrait d’adapter les normes existantes en matière de gestion de la sécurité de l’information.

Leurs efforts conjoints ont donné lieu à la création d’un questionnaire qui couvre les exigences relatives à la sécurité de l’information largement reconnues dans l’industrie automobile. Il s’intitule « Évaluation de la sécurité de l’information VDA » (VDA Information Security Assessment) ou « ISA ».

Grâce à l’ISA, nous disposons désormais d’une réponse à la question « Qui définit la notion de ‘sécurisé’ ? ». Par l’intermédiaire de la VDA, l’industrie automobile elle-même offre cette réponse à ses membres.

2.4. Comment prouver efficacement la sécurité ?

Si certaines entreprises recourent à l’ISA en interne uniquement, d’autres l’emploient pour évaluer la maturité de la gestion de la sécurité de l’information chez leurs fournisseurs. Dans certains cas, une auto-évaluation suffit dans le cadre de la relation commerciale. Toutefois, dans d’autres cas, les entreprises évaluent dans son intégralité la gestion de la sécurité de l’information de leur fournisseur (y compris par des audits sur site).

À l’heure où nous sommes tous de plus en plus sensibles à la nécessité de gérer la sécurité de l’information et où l’ISA est adoptée par un nombre croissant d’entreprises pour effectuer des évaluations dans ce cadre, les fournisseurs sont plus nombreux à faire face à des demandes similaires de la part de différents partenaires.

Ces partenaires continuaient d’appliquer des normes variées et avaient des opinions divergentes sur leur interprétation. Et si les fournisseurs devaient pour l’essentiel attester des mêmes choses, les démarches adoptées étaient différentes.

Plus les fournisseurs étaient invités par leurs partenaires à prouver leur niveau de gestion de la sécurité de l’information, plus ils se plaignaient des efforts répétés à fournir. Il est tout simplement contre-productif de devoir démontrer, audit après audit, les mêmes mesures de gestion de la sécurité de l’information.

Que faire pour rendre la démarche plus efficace ? Pourrait-on imaginer de réutiliser le rapport d’un auditeur pour plusieurs partenaires ?

Les fabricants d’équipements d’origine et les fournisseurs dans le groupe de travail VDA responsable du maintien de l’ISA ont été attentifs aux plaintes de leurs fournisseurs. À présent, ils offrent à ces derniers ainsi qu’à l’ensemble des autres entreprises actives dans l’industrie automobile une réponse à la question « Comment prouver la sécurité? ».

La réponse est TISAX, l’acronyme de “Trusted Information Security Assessment Exchange” (Icône du drapeau de la France Échange fiable concernant l’évaluation de la sécurité de l’information).

3. Le processus TISAX

3.1. Aperçu

Généralement,[2] le processus TISAX débute après que l’un de vos partenaires vous a demandé de démontrer un certain niveau de gestion de la sécurité de l’information, conformément aux exigences de la « VDA Information Security Assessment » (ISA). Pour répondre à cette demande, vous devez compléter les trois étapes du processus TISAX. La présente section vous donne un aperçu des étapes à suivre.

Le processus TISAX comprend les trois étapes suivantes :

Aperçu du processus TISAX
Illustration 1. Aperçu du processus TISAX
img callout black 01

Étape 1
Inscription

img callout black 02

Étape 2
Évaluation

img callout black 03

Étape 3
Échange

  1. Inscription
    Nous collectons des informations sur votre entreprise et sur les besoins à intégrer à l’évaluation.

  2. Évaluation
    Vous vous soumettez à une ou plusieurs évaluations menées par l’un de nos auditeurs TISAX.

  3. Échange
    Vous partagez le résultat de votre évaluation avec votre partenaire.

Chaque étape est subdivisée en sous-étapes. Celles-ci sont exposées dans les trois sections ci-dessous et décrites en détail plus loin, dans les sections correspondantes.

Remarque

Remarque :

Nous voudrions pouvoir vous préciser le temps nécessaire à l’obtention du résultat de votre évaluation TISAX, mais ne sommes pas en mesure de vous donner un chiffre précis et fiable. La durée totale du processus TISAX dépend de trop nombreux facteurs. La grande diversité des tailles d’entreprise et des objectifs d’évaluation, sans compter la maturité d’un système de gestion de la sécurité de l’information, rendent impossible la fourniture d’une indication précise sur le temps nécessaire à l’évaluation.

Toutefois, TISAX estime à neuf mois la durée maximale nécessaire à l’évaluation TISAX dans son intégralité.

3.2. Inscription

Votre première étape est l’inscription TISAX.

L’objectif principal de l’inscription TISAX est de collecter des informations sur votre entreprise. Nous utilisons un processus d’inscription en ligne pour vous aider à nous fournir ces informations.

Elle est la condition préalable à toutes les étapes ultérieures. Un droit d’inscription vous est demandé.

Au cours du processus d’inscription en ligne :

  • Nous vous demandons vos coordonnées et des informations de facturation.

  • Vous devez accepter nos conditions générales.

  • Vous pouvez définir le champ d’application de votre évaluation de sécurité de l’information.

Pour entamer directement cette étape, veuillez vous référer à la Section 4, “Inscription (étape 1)”.

Le processus d’inscription en ligne est décrit en détail à la Section 4.5, “Processus d’inscription en ligne”. Mais si vous souhaitez commencer immédiatement, veuillez vous rendre sur le Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/.

3.3. Évaluation

L’évaluation de sécurité de l’information constitue votre deuxième étape.

Elle se subdivise en quatre sous-étapes :

  1. Préparation de l’évaluation
    Vous devez préparer l’évaluation. L’ampleur de la préparation dépend du niveau de maturité actuel de votre système de gestion de la sécurité de l’information. Votre préparation doit se fonder sur le catalogue ISA.

  2. Sélection de l’auditeur
    Une fois que vous êtes prêt pour l’évaluation, vous devez choisir l’un de nos auditeurs TISAX.

  3. Évaluation(s) de la sécurité de l’information
    Votre auditeur mènera l’évaluation sur la base d’un champ d’application d’évaluation correspondant aux exigences de votre partenaire. Le processus d’évaluation comprendra au moins l’audit initial.
    Si votre entreprise ne passe pas immédiatement l’évaluation, le processus d’évaluation peut nécessiter des étapes supplémentaires.

  4. Résultat de l’évaluation
    Une fois que votre entreprise aura passé l’évaluation, votre auditeur vous fournira le rapport officiel TISAX. Le résultat de votre évaluation vous permettra également d’obtenir des labels TISAX[3].

Pour de plus amples informations sur cette étape, veuillez consulter la Section 5, “Évaluation (étape 2)”.

3.4. Échange

Votre troisième et dernière étape consiste à partager le résultat de votre évaluation avec votre partenaire. Le contenu du rapport TISAX est organisé en niveaux. Vous pouvez déterminer le niveau maximum auquel votre partenaire aura accès.

Le résultat de votre évaluation est valable trois ans. En admettant que vous soyez toujours un fournisseur de votre partenaire à ce moment-là, vous devrez à nouveau suivre le processus en trois étapes[4].

Pour de plus amples informations sur cette étape, veuillez consulter la Section 6, “Échange (étape 3)”.


Maintenant que vous avez une idée générale du processus TISAX, vous trouverez dans les prochaines sections des instructions sur la manière de mener à bien chaque étape.

4. Inscription (étape 1)

Le temps de lecture estimé de la section consacrée à l’inscription est de 30 - 40 minutes.

4.1. Aperçu

L’inscription TISAX est votre première étape. Elle est la condition préalable à toutes les étapes ultérieures.

Les sections suivantes vous guideront tout au long du processus d’inscription.

  1. Nous commencerons par expliquer un nouveau terme essentiel..

  2. Ensuite, nous vous donnerons des conseils pour vous aider à vous préparer pour le processus d’inscription en ligne.

  3. Nous vous guiderons alors tout au long du processus d’inscription en ligne.

4.2. Vous êtes un participant TISAX

Permettez-nous d’abord de présenter un nouveau terme indispensable à comprendre. Jusqu’à présent, vous étiez un « fournisseur ». Vous êtes ici pour répondre à une exigence de votre « client ». Toutefois, TISAX elle-même ne fait pas vraiment de distinction entre ces deux rôles. Pour TISAX, chaque partie inscrite est un « participant ». Vous — tout comme votre partenaire — « participez » à l’échange des résultats d’évaluation de la sécurité de l’information.

Inscription pour devenir un participant TISAX
Illustration 2. Inscription pour devenir un participant TISAX
img callout black 01

Votre entreprise

img callout black 02

Inscription TISAX

img callout black 03

Participant TISAX

Pour distinguer d’emblée les deux rôles, nous vous désignons, en tant que fournisseur, « participant actif ». Nous désignons votre partenaire « participant passif ». En tant que « participant actif », vous passez l’évaluation TISAX et partagez le résultat de votre évaluation avec d’autres participants. Le « participant passif » est celui qui a demandé que vous passiez l’évaluation TISAX. Le « participant passif » reçoit le résultat de votre évaluation.

Participant passif et participant actif
Illustration 3. Participant passif et participant actif
img callout black 01

1 Demande l’évaluation du

img callout black 02

Participant passif

img callout black 03

Participant actif

img callout black 04

2 Passe l’évaluation TISAX

img callout black 05

3 Partage le résultat avec

Toute entreprise peut revêtir les deux rôles. Vous pouvez partager un résultat d’évaluation avec votre partenaire, et demander simultanément à vos propres fournisseurs de passer l’évaluation TISAX.

Les participants TISAX peuvent être simultanément participants actifs et passifs
Illustration 4. Les participants TISAX peuvent être simultanément participants actifs et passifs
img callout black 01

Votre client
= passif

img callout black 02

Vous partagez avec le client

img callout black 03

Participant actif

img callout black 04

Vous

img callout black 05

Participant passif

img callout black 06

Partage avec vous

img callout black 07

Votre propre fournisseur
= actif

Le fait de demander à vos propres fournisseurs de passer l’évaluation TISAX peut même être particulièrement conseillé s’ils traitent eux aussi des informations confidentielles de votre partenaire.

4.3. Préparation de l’inscription

Dans la présente section, nous vous donnons des recommandations sur la manière de vous préparer à l’inscription. Nous décrivons le processus d’inscription en tant que tel en détail à la Section 4.5, “Processus d’inscription en ligne”.

Avant d’entamer le processus d’inscription en ligne, nous vous recommandons vivement :

  • de collecter des informations à l’avance

  • et de prendre certaines décisions.

4.3.1. Le fondement juridique

Généralement, vous devez signer deux contrats. Le premier contrat est conclu entre vous et ENX Association : les « Conditions générales de participation TISAX » (TISAX Participation General Terms and Conditions) ou « CG du participant TISAX » (TISAX Participant GTCs). Le second contrat est conclu entre l’un de nos auditeurs TISAX et vous. Pour l’inscription, nous ne vérifierons que le premier contrat.

Les CG du participant TISAX régissent nos relations mutuelles et vos relations avec d’autres participants TISAX. Elles déterminent nos droits et obligations à tous. Outre les clauses habituelles que vous trouvez dans la plupart des contrats, elles définissent le traitement des informations échangées et obtenues durant le processus TISAX. Un objectif majeur de ces règles est de respecter la confidentialité des résultats de l’évaluation TISAX. Comme tous les participants TISAX sont soumis aux mêmes règles, vous pouvez attendre de votre partenaire (en sa qualité de participant passif) qu’il protège adéquatement le résultat de votre évaluation TISAX.

Assez rapidement dans le processus d’inscription en ligne, nous vous demanderons d’accepter les CG du participant TISAX. Comme il s’agit d’un vrai contrat, nous vous recommandons de lire les CG du participant TISAX avant d’entamer le processus d’inscription en ligne. L’une des raisons en est que, selon votre rôle dans l’entreprise, il se peut que vous deviez obtenir une autorisation d’un juriste interne ou externe.

Vous pouvez télécharger les « Conditions générales de participation TISAX »[5] sur notre site Web à l’adresse :
Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/downloads/

Téléchargement direct du PDF :
Icône du drapeau du Royaume-Uni enx.com/tisaxgtcen.pdf

Au cours du processus d’inscription en ligne, nous vous demanderons de cocher deux cases obligatoires :

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icône du drapeau de la France Nous acceptons les conditions générales de participation TISAX ;

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icône du drapeau de la France Nous confirmons avoir connaissance du fait que le demandeur est libéré du secret professionnel imposé aux auditeurs conformément aux sections IX.5 et X.3 des Conditions générales de participation TISAX.

Nous avons ajouté la seconde case à cocher, car certains de nos auditeurs TISAX sont des experts-comptables agréés. Ils sont tenus à des exigences particulières en matière de secret professionnel. Peut-être souhaiterez-vous consulter ces clauses avant de cocher la case en question.

Si vous exigez habituellement un accord de confidentialité entre vous et toute partie qui traite des informations confidentielles, veuillez examiner les sections correspondantes de nos CG. Elles devraient répondre à toutes vos interrogations.

Pour conclure la section juridique, notez que le système implique l’acceptation des mêmes règles par l’ensemble des participants. Par conséquent, nous ne pouvons accepter de conditions générales supplémentaires[6].

4.3.2. Le champ d’application de l’évaluation TISAX

Durant la deuxième étape du processus TISAX, l’un de nos auditeurs TISAX procédera à l’évaluation de la sécurité de l’information. Il doit savoir par où commencer et où s’arrêter. C’est pourquoi vous devez définir un « champ d’application de l’évaluation ».

Le « champ d’application de l’évaluation » décrit l’étendue de l’évaluation de sécurité de l’information. En termes simples, chaque partie de votre entreprise qui traite des informations confidentielles de votre partenaire est intégrée dans le champ d’application de l’évaluation. Vous pouvez considérer qu’il s’agit d’un élément majeur de la description de tâche de l’auditeur. Il dicte ce que l’auditeur doit évaluer.

Le champ d’application de l’évaluation est important pour deux raisons :

  1. Un résultat d’évaluation ne répondra à l’exigence de votre partenaire que si le champ d’application correspondant de l’évaluation couvre toutes les parties de votre entreprise qui traitent les informations de ce partenaire.

  2. Un champ d’application défini avec précision est une condition préalable essentielle à des calculs de coûts pertinents de la part de nos auditeurs TISAX.

Important

Remarque importante :

Si votre entreprise est certifiée ISO/IEC 27001 : la définition du « champ d’application de l’évaluation TISAX » et la définition du champ d’application requise pour la certification ISO/IEC 27001 sont similaires. La différence réside dans le fait que chez TISAX, le champ d’application est prédéfini.

4.3.2.1. Description du champ d’application

La description du champ d’application définit l’étendue de l’évaluation. Concernant la description du champ d’application, vous devez choisir l’un des deux types de champs suivants :

  1. Standard scope (Icône du drapeau de la France champ d’application standard)

  2. Custom scope (Icône du drapeau de la France champ d’application adapté)

    1. Extended scope (Icône du drapeau de la France champ d’application élargi)

    2. Narrowed scope (Icône du drapeau de la France champ d’application limité)

4.3.2.2. Champ d’application standard

La description du champ d’application standard est la base de l’évaluation TISAX. D’autres participants TISAX n’acceptent les résultats d’évaluation que s’ils sont basés sur la description du champ d’application standard.

La description du champ d’application standard est prédéfinie et vous ne pouvez pas la modifier. Si vous souhaitez utiliser une description de champ d’application adapté, vous pouvez choisir d’élargir ou de limiter le champ d’application de votre évaluation.

L’un des principaux avantages d’un champ d’application standard est qu’il permet d’éviter de devoir fournir votre propre définition.

Ceci est une description de champ d’application standard[7] :

Icône du drapeau du Royaume-Uni

Icône du drapeau de la France

The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
Le champ d’application standard comprend l’ensemble des processus et ressources impliqués sur les sites définis ci-dessous qui sont soumis aux exigences de sécurité des partenaires dans l’industrie automobile. Les processus et ressources impliqués incluent la collecte, le stockage et le traitement des informations.

Exemples de ressources impliquées : les équipements de travail, les salariés, les systèmes informatiques, y compris les services de cloud tels que les infrastructures/plateformes/software as a service, les sites physiques, les sous-traitants concernés

Exemples de sites : sites de bureau, sites de développement, sites de production, centres de données

Nous recommandons vivement de choisir le champ d’application standard. Tous les participants TISAX acceptent les résultats d’évaluation de la sécurité de l’information qui se fondent sur un champ d’application standard.

4.3.2.3. Champ d’application adapté

Le champ d’application standard est celui choisi par la grande majorité des participants TISAX. Toutefois, dans certaines rares circonstances, vous pouvez être amené à choisir un champ d’application adapté.

Types de champ d’application : élargi
Illustration 5. Types de champ d’application : élargi, standard, limité
img callout black 01

Champ d’application élargi

img callout black 02

Champ d’application standard

img callout black 03

Champ d’application limité

  1. Champ d’application élargi

    Vous pouvez élargir le champ d’application. Un champ d’application élargi contient PLUS que le champ d’application standard. L’auditeur procédera à davantage de vérifications.

    Objectif : un champ d’application élargi peut être pertinent si vous voulez utiliser votre évaluation TISAX à des fins internes ou en dehors de l’industrie automobile.

    Labels TISAX et partage des résultats : un champ d’application élargi comprend toujours le champ d’application standard. Par conséquent, un champ d’application élargi recevra des labels TISAX[8]. D’autres participants TISAX accepteront toutefois le résultat de l’évaluation.

    Description : si le champ d’application standard dispose d’une description prédéfinie, vous devez rédiger votre propre description de champ d’application adapté si vous avez besoin d’un champ élargi.

  2. Champ d’application limité

    Vous pouvez limiter le champ d’application. Un champ d’application limité contient MOINS que le champ d’application standard. L’auditeur abrégera les vérifications ou en passera certaines.

    Objectif : si certains de vos sites appartiennent à des champs d’application d’évaluation différents et recourent à certains services sur un site particulier (tel qu’un centre de données), vous pouvez utiliser un champ d’application limité pour ces services. Ainsi, un auditeur TISAX peut aisément réutiliser le résultat d’évaluation correspondant au champ d’application limité du service.

    Exemple : vous avez un grand nombre de sites (appartenant éventuellement à des champs d’application différents) et disposez d’un département IT central sur l’un de ces sites. La définition d’un champ d’application limité pour ce seul département IT peut permettre de faciliter la réutilisation, dans les autres champs d’application, du résultat d’évaluation correspondant.

    Labels TISAX et partage des résultats : des champs d’application limités ne bénéficient pas de labels TISAX. Le résultat de votre évaluation est enregistré sur le portail ENX avec la date, la période de validité et l’indication de conformité ou non du résultat global de l’évaluation. Vous pourriez partager ce résultat d’évaluation. Mais si vous partagez un résultat d’évaluation sans labels TISAX, la plupart des destinataires pourraient considérer que vous avez « échoué ». Généralement, les autres participants TISAX n’acceptent pas les résultats d’évaluation basés sur un champ d’application limité.

    Description : comme pour le champ d’application élargi, vous rédigerez votre propre description de champ d’application adapté si vous avez besoin d’un champ d’application limité.
    Voici un exemple de description d’un champ d’application limité :
    Sécurité physique, ressources et processus du centre de données utilisés pour exécuter les services de l’entreprise X[9].

    Important

    Remarque importante :

    Une évaluation sur la base d’un champ d’application limité ne bénéficiera pas de labels TISAX. Ainsi, en règle générale, nous ne recommandons pas d’opter pour un champ d’application limité — en particulier parce que d’habitude, les autres participants n’acceptent pas les résultats d’évaluation basés sur un champ d’application limité. Veuillez consulter votre partenaire avant d’opter pour un champ d’application limité.

4.3.2.4. Détermination du champ d’application

Votre prochaine étape après la définition du type de champ d’application consiste à décider quels sites appartiennent au champ d’application de l’évaluation.

Si votre entreprise est petite (un seul site), la tâche est simple. Il vous suffit d’ajouter votre site au champ d’application de l’évaluation.

Si votre entreprise est grande, nous vous recommandons d’enregistrer plus d’un champ d’application pour l’évaluation.

Le fait d’avoir un seul champ d’application englobant tous les sites présente certains avantages :

  • Vous disposez d’un seul rapport d’évaluation, d’un seul résultat d’évaluation et d’une seule date d’expiration.

  • Vous pouvez bénéficier d’une réduction des coûts pour l’évaluation, dans la mesure où un auditeur TISAX unique doit évaluer une seule fois vos ressources, procédures et processus centraux.

Mais un seul champ d’application a aussi ses inconvénients, notamment :

  • Le résultat de l’évaluation n’est disponible qu’une fois que l’auditeur TISAX a évalué l’ensemble des sites. Cela peut avoir de l’importance si vous avez besoin rapidement d’un résultat d’évaluation.

  • Le résultat de l’évaluation dépend de tous les sites qui passent l’évaluation. Si un seul site échoue, vous n’obtiendrez pas de résultat positif pour votre évaluation.[10]

4.3.2.5. Adaptation du champ d’application

Vous seul pouvez répondre à la question de savoir si vous avez un ou plusieurs champs d’application. Pour vous aider à prendre votre décision, vous pouvez répondre aux questions dans le diagramme suivant.