Réalisez le processus d’évaluation TISAX et partagez le résultat d’évaluation avec votre partenaire
Publié par
ENX Association
une association conforme à la loi française de 1901,
enregistrée sous le numéro w923004198 auprès de la sous-préfecture de Boulogne-Billancourt, France
Adresses
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Francfort-sur-le-Main, Allemagne
Auteur
Florian Gleich
Contact
tisax@enx.com
+49 69 9866927-77
Version
Date : |
06/01/2021 |
Version : |
2.3 beta |
Classification : |
Public |
ID doc ENX : |
602-FR |
Avis de droit d’auteur
Tous droits réservés par ENX Association.
ENX, TISAX et leurs logos respectifs sont des marques déposées d’ENX Association.
Les marques de tiers mentionnées sont la propriété de leurs détenteurs respectifs.
1. Aperçu
1.1. Objectif
Bienvenue sur TISAX (Trusted Information Security Assessment Exchange).
L’un de vos partenaires vous a demandé d’attester que votre gestion de la sécurité de l’information respecte un niveau particulier d’exigence, comme prévu par « l’évaluation de sécurité de l’information de la VDA[1] (ISA) ». Et à présent, vous souhaitez savoir comment répondre à cette demande.
L’objectif du présent manuel est de vous permettre de satisfaire la demande de votre partenaire — ou d’avoir une longueur d’avance en anticipant la démarche avant qu’un partenaire ne vous invite à l’effectuer.
Le présent manuel décrit les étapes que vous devez mettre en œuvre pour passer l’évaluation TISAX et pour en partager le résultat avec votre partenaire.
L’établissement et le maintien d’un système de gestion de la sécurité de l’information (ISMS) constituent déjà des missions complexes. Prouver à votre partenaire que votre gestion de la sécurité de l’information est à la hauteur ajoute encore plus de complexité. Le présent manuel ne vous aidera pas à gérer la sécurité de vos informations. Toutefois, il vous permet de démontrer le plus simplement possible à votre partenaire les efforts mis en œuvre dans ce contexte.
1.2. Champ d’application
Le présent manuel s’applique à tous les processus TISAX auxquels vous pouvez participer.
Il contient tout ce que vous avez besoin de savoir pour mener à bien le processus TISAX.
Le manuel prodigue des conseils sur la manière de traiter les exigences en matière de sécurité de l’information qui représentent le fondement de l’évaluation. Mais il n’a pas pour objectif de vous offrir une formation générale sur ce que vous devez faire pour passer l’évaluation de sécurité de l’information.
1.3. Public
Les entreprises qui ont besoin ou souhaitent prouver un certain niveau de gestion de sécurité de l’information, conformément aux exigences de « l’évaluation de sécurité de l’information de la VDA » (ISA), constituent le principal public auquel s’adresse le présent manuel.
Dès que vous serez activement impliqué dans les processus TISAX, vous pourrez profiter des informations fournies dans le présent manuel.
Les entreprises qui demandent à leurs fournisseurs de prouver certains niveaux de gestion de la sécurité de l’information en tireront profit également. Le présent manuel leur permet de comprendre ce que leurs fournisseurs sont tenus de faire pour répondre à leur demande.
1.4. Structure
Nous commencerons par une brève introduction à TISAX, puis nous passerons immédiatement aux instructions décrivant COMMENT entreprendre les diverses démarches. Vous trouverez tout ce dont vous avez besoin pour mener à bien le processus — dans l’ordre correspondant aux diverses étapes à suivre.
Le temps de lecture estimé du document est de 75 à 90 minutes.
1.5. Comment utiliser le présent document
Tôt ou tard, vous vous intéresserez probablement à la plupart des informations décrites dans le présent document. Pour être correctement préparé, nous vous recommandons de lire l’intégralité du manuel.
Nous avons organisé le manuel sur la base de trois étapes principales du processus TISAX, de manière à ce que vous puissiez aller à la section dont vous avez besoin et lire le reste plus tard.
Le manuel utilise des illustrations pour faciliter la compréhension. Les couleurs des illustrations ont souvent une signification supplémentaire. Par conséquent, nous vous recommandons de lire le document sur un écran d’ordinateur ou sur une version papier en couleur.
Nous serions heureux de recevoir vos commentaires. Si vous pensez qu’il manque certaines informations dans le présent manuel ou qu’il n’est pas facile à comprendre, n’hésitez pas à nous en informer. Tous les futurs lecteurs du manuel et nous-mêmes vous serons reconnaissants du retour que vous nous donnerez.
Si vous avez déjà utilisé une version antérieure du manuel du participant TISAX, vous pourrez trouver quelques précieuses remarques à la fin du document à la Section 8, “Historique du document”.
1.6. Nous contacter
Nous sommes là pour vous guider tout au long du processus TISAX et pour répondre à toute question que vous pourriez avoir.
Envoyez-nous un e-mail à : |
|
Ou appelez-nous au numéro : |
+49 69 9866927-77 |
Vous pouvez nous joindre durant les heures ouvrables normales en Allemagne (UTC+01:00).
Nous parlons tous l’anglais et
l’allemand. Deux de nos collègues sont de langue maternelle
italienne.
1.7. Le manuel du participant TISAX dans d’autres langues et formats
Le manuel du participant TISAX est disponible dans les autres langues et formats suivants :
Langue | Version | Format | Lien | Taille |
---|---|---|---|---|
|
2.3 |
En ligne |
https://www.enx.com/handbook/tisax-participant-handbook.html |
n/a |
Hors ligne |
https://www.enx.com/handbook/tisax-participant-handbook-offline.html |
6.4 MB |
||
https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf |
6.4 MB |
|||
|
2.3 |
En ligne |
n/a |
|
Hors ligne |
https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html |
6,4 MB |
||
5,0 MB |
||||
|
2.3 beta |
En ligne |
n/a |
|
Hors ligne |
7,0 MB |
|||
7,0 MB |
||||
|
2.3 beta |
En ligne |
n/a |
|
Hors ligne |
7,0 MB |
|||
7,0 MB |
Important
|
Remarque importante : La version anglaise est la version principale. |
1.7.1. À propos de la version française
Le présent manuel du participant TISAX est une traduction de la version anglaise.
Tous les documents de base de TISAX ont été rédigés en anglais (p. ex. : tous les contrats et exigences pour les auditeurs TISAX). Par conséquent, votre partenaire ou votre auditeur peut utiliser certains termes spécifiques à TISAX en anglais.
Pour vous permettre d’établir une correspondance entre les termes d’une langue à l’autre, nous avons conservé le terme TISAX original en anglais dans la traduction française du manuel du participant TISAX ou l’avons mentionné entre parenthèses directement après la traduction française.
1.7.2. À propos du format en ligne
Chaque section a un identifiant unique (format : ID1234).
Un ID fait référence à une section spécifique, indépendamment de la langue.
Si vous souhaitez accéder à une section spécifique, vous pouvez :
-
cliquer droit sur le titre de la section et copier le lien, ou
-
cliquer sur le titre de la section et copier le lien à partir de la barre d’adresse de votre navigateur.
La plupart des illustrations sont disponibles dans une taille supérieure à celle affichée ici par défaut. Cliquez sur l’illustration pour accéder à sa version de taille supérieure.
1.7.3. À propos du format hors ligne
Le format hors ligne contient la plupart des éléments du format en ligne. Notez en particulier que les illustrations sont intégrées dans le fichier HTML. Vous n’avez besoin que d’un fichier pour utiliser le format hors ligne.
Par rapport au format en ligne, le format hors ligne ne contient pas :
-
les images de taille supérieure
-
les polices originales du format en ligne
Les polices sont définies selon les réglages par défaut de votre navigateur.
1.7.4. À propos du format PDF
Le format PDF se base sur le format en ligne. En principe, nous utilisons un navigateur pour sauver le format en ligne en PDF.
Si vous utilisez le format PDF sur votre ordinateur, vous pouvez toujours cliquer sur l’ensemble des références. Mais si vous imprimez la version PDF, vous ne retrouverez pas certains éléments tels que la numérotation des pages, et vous devrez rechercher les références vous-même.
2. Introduction
Les sections suivantes présentent le concept TISAX.
Si vous êtes pressé, vous pouvez les passer et commencer directement à la Section 4.3, “Préparation de l’inscription”.
2.1. Pourquoi TISAX ?
Ou en d’autres termes, que faites-vous ici ?
Pour répondre à cette question, nous commencerons par quelques réflexions sur la pratique commerciale en général et sur la protection des informations en particulier.
Vous avez un partenaire. Il détient des informations confidentielles et souhaite les partager avec son fournisseur — vous. La coopération entre votre partenaire et vous-même crée de la valeur. Les informations que votre partenaire partage avec vous constituent une part importante de cette création de valeur. Par conséquent, il souhaite les protéger de manière appropriée. Et il veut être certain que vous traitez ses informations avec le même soin.
Mais comment peut-il être sûr que ses informations sont entre de bonnes mains ? Il ne peut pas se contenter de vous « croire ». Votre partenaire a besoin de voir certaines preuves.
Deux questions se posent dans ce contexte. Qui définit la notion de traitement « sécurisé » de l’information ? Et deuxièmement, comment en apportez-vous la preuve ?
2.2. Qui définit la notion de « sécurisé » ?
Votre partenaire et vous-même n’êtes pas les seuls à être confrontés à ces questions pour la première fois. Chacun ou presque doit y répondre et la plupart des réponses présenteront des points communs.
Ainsi, standardiser la démarche permet d’éviter de devoir créer une solution au cas par cas pour un problème récurrent et de démarrer systématiquement d’une feuille blanche. Créer une norme représente un travail considérable, mais une fois cette norme définie, tous ceux qui la suivent pourront en profiter à chaque fois.
Il existe certainement différents points de vue concernant la démarche adéquate à adopter pour protéger les informations. Mais en raison des avantages susmentionnés, la plupart des entreprises misent sur l’approche normative. Une norme est la forme condensée de toutes les bonnes pratiques prouvées et éprouvées pour une problématique particulière.
Dans votre cas, des normes telles que la norme ISO/IEC 27001 (concernant les systèmes de gestion de la sécurité de l’information, ou ISMS) et leur mise en œuvre déterminent comment traiter les informations confidentielles de manière sécurisée et dans les règles de l’art. Une norme telle que celle-là vous évite de devoir réinventer la roue à chaque fois. Mais plus important encore, les normes fournissent une base commune à deux entreprises qui doivent échanger des données confidentielles.
2.3. Dans le secteur automobile
Par nature, les normes indépendantes d’un secteur particulier sont conçues comme des solutions universelles et ne sont pas adaptées aux besoins spécifiques des sociétés automobiles.
Il y a longtemps, des associations ont vu le jour dans l’industrie automobile pour — entre autres — affiner et définir des normes adaptées aux besoins plus spécifiques du secteur. La « Verband der Automobilindustrie » (VDA) est l’une de ces associations. Dans le groupe de travail qui traite de la sécurité de l’information, plusieurs membres de l’industrie automobile sont arrivés à la conclusion qu’ils avaient des besoins similaires auxquels il conviendrait d’adapter les normes existantes en matière de gestion de la sécurité de l’information.
Leurs efforts conjoints ont donné lieu à la création d’un questionnaire qui couvre les exigences relatives à la sécurité de l’information largement reconnues dans l’industrie automobile. Il s’intitule « Évaluation de la sécurité de l’information VDA » (VDA Information Security Assessment) ou « ISA ».
Grâce à l’ISA, nous disposons désormais d’une réponse à la question « Qui définit la notion de ‘sécurisé’ ? ». Par l’intermédiaire de la VDA, l’industrie automobile elle-même offre cette réponse à ses membres.
2.4. Comment prouver efficacement la sécurité ?
Si certaines entreprises recourent à l’ISA en interne uniquement, d’autres l’emploient pour évaluer la maturité de la gestion de la sécurité de l’information chez leurs fournisseurs. Dans certains cas, une auto-évaluation suffit dans le cadre de la relation commerciale. Toutefois, dans d’autres cas, les entreprises évaluent dans son intégralité la gestion de la sécurité de l’information de leur fournisseur (y compris par des audits sur site).
À l’heure où nous sommes tous de plus en plus sensibles à la nécessité de gérer la sécurité de l’information et où l’ISA est adoptée par un nombre croissant d’entreprises pour effectuer des évaluations dans ce cadre, les fournisseurs sont plus nombreux à faire face à des demandes similaires de la part de différents partenaires.
Ces partenaires continuaient d’appliquer des normes variées et avaient des opinions divergentes sur leur interprétation. Et si les fournisseurs devaient pour l’essentiel attester des mêmes choses, les démarches adoptées étaient différentes.
Plus les fournisseurs étaient invités par leurs partenaires à prouver leur niveau de gestion de la sécurité de l’information, plus ils se plaignaient des efforts répétés à fournir. Il est tout simplement contre-productif de devoir démontrer, audit après audit, les mêmes mesures de gestion de la sécurité de l’information.
Que faire pour rendre la démarche plus efficace ? Pourrait-on imaginer de réutiliser le rapport d’un auditeur pour plusieurs partenaires ?
Les fabricants d’équipements d’origine et les fournisseurs dans le groupe de travail VDA responsable du maintien de l’ISA ont été attentifs aux plaintes de leurs fournisseurs. À présent, ils offrent à ces derniers ainsi qu’à l’ensemble des autres entreprises actives dans l’industrie automobile une réponse à la question « Comment prouver la sécurité? ».
La réponse est TISAX, l’acronyme de “Trusted Information Security Assessment Exchange” ( Échange fiable concernant l’évaluation de la sécurité de l’information).
3. Le processus TISAX
3.1. Aperçu
Généralement,[2] le processus TISAX débute après que l’un de vos partenaires vous a demandé de démontrer un certain niveau de gestion de la sécurité de l’information, conformément aux exigences de la « VDA Information Security Assessment » (ISA). Pour répondre à cette demande, vous devez compléter les trois étapes du processus TISAX. La présente section vous donne un aperçu des étapes à suivre.
Le processus TISAX comprend les trois étapes suivantes :
Étape 1 |
|
Étape 2 |
|
Étape 3 |
-
Inscription
Nous collectons des informations sur votre entreprise et sur les besoins à intégrer à l’évaluation. -
Évaluation
Vous vous soumettez à une ou plusieurs évaluations menées par l’un de nos auditeurs TISAX. -
Échange
Vous partagez le résultat de votre évaluation avec votre partenaire.
Chaque étape est subdivisée en sous-étapes. Celles-ci sont exposées dans les trois sections ci-dessous et décrites en détail plus loin, dans les sections correspondantes.
Remarque
|
Remarque : Nous voudrions pouvoir vous préciser le temps nécessaire à l’obtention du résultat de votre évaluation TISAX, mais ne sommes pas en mesure de vous donner un chiffre précis et fiable. La durée totale du processus TISAX dépend de trop nombreux facteurs. La grande diversité des tailles d’entreprise et des objectifs d’évaluation, sans compter la maturité d’un système de gestion de la sécurité de l’information, rendent impossible la fourniture d’une indication précise sur le temps nécessaire à l’évaluation. Toutefois, TISAX estime à neuf mois la durée maximale nécessaire à l’évaluation TISAX dans son intégralité. |
3.2. Inscription
Votre première étape est l’inscription TISAX.
L’objectif principal de l’inscription TISAX est de collecter des informations sur votre entreprise. Nous utilisons un processus d’inscription en ligne pour vous aider à nous fournir ces informations.
Elle est la condition préalable à toutes les étapes ultérieures. Un droit d’inscription vous est demandé.
Au cours du processus d’inscription en ligne :
-
Nous vous demandons vos coordonnées et des informations de facturation.
-
Vous devez accepter nos conditions générales.
-
Vous pouvez définir le champ d’application de votre évaluation de sécurité de l’information.
Pour entamer directement cette étape, veuillez vous référer à la Section 4, “Inscription (étape 1)”.
Le processus d’inscription en ligne est décrit en détail à la Section 4.5, “Processus d’inscription en ligne”. Mais si vous souhaitez commencer immédiatement, veuillez vous rendre sur le enx.com/en-US/TISAX/.
3.3. Évaluation
L’évaluation de sécurité de l’information constitue votre deuxième étape.
Elle se subdivise en quatre sous-étapes :
-
Préparation de l’évaluation
Vous devez préparer l’évaluation. L’ampleur de la préparation dépend du niveau de maturité actuel de votre système de gestion de la sécurité de l’information. Votre préparation doit se fonder sur le catalogue ISA. -
Sélection de l’auditeur
Une fois que vous êtes prêt pour l’évaluation, vous devez choisir l’un de nos auditeurs TISAX. -
Évaluation(s) de la sécurité de l’information
Votre auditeur mènera l’évaluation sur la base d’un champ d’application d’évaluation correspondant aux exigences de votre partenaire. Le processus d’évaluation comprendra au moins l’audit initial.
Si votre entreprise ne passe pas immédiatement l’évaluation, le processus d’évaluation peut nécessiter des étapes supplémentaires. -
Résultat de l’évaluation
Une fois que votre entreprise aura passé l’évaluation, votre auditeur vous fournira le rapport officiel TISAX. Le résultat de votre évaluation vous permettra également d’obtenir des labels TISAX[3].
Pour de plus amples informations sur cette étape, veuillez consulter la Section 5, “Évaluation (étape 2)”.
3.4. Échange
Votre troisième et dernière étape consiste à partager le résultat de votre évaluation avec votre partenaire. Le contenu du rapport TISAX est organisé en niveaux. Vous pouvez déterminer le niveau maximum auquel votre partenaire aura accès.
Le résultat de votre évaluation est valable trois ans. En admettant que vous soyez toujours un fournisseur de votre partenaire à ce moment-là, vous devrez à nouveau suivre le processus en trois étapes[4].
Pour de plus amples informations sur cette étape, veuillez consulter la Section 6, “Échange (étape 3)”.
Maintenant que vous avez une idée générale du processus TISAX, vous trouverez dans les prochaines sections des instructions sur la manière de mener à bien chaque étape.
4. Inscription (étape 1)
Le temps de lecture estimé de la section consacrée à l’inscription est de 30 - 40 minutes.
4.1. Aperçu
L’inscription TISAX est votre première étape. Elle est la condition préalable à toutes les étapes ultérieures.
Les sections suivantes vous guideront tout au long du processus d’inscription.
-
Nous commencerons par expliquer un nouveau terme essentiel..
-
Ensuite, nous vous donnerons des conseils pour vous aider à vous préparer pour le processus d’inscription en ligne.
-
Nous vous guiderons alors tout au long du processus d’inscription en ligne.
4.2. Vous êtes un participant TISAX
Permettez-nous d’abord de présenter un nouveau terme indispensable à comprendre. Jusqu’à présent, vous étiez un « fournisseur ». Vous êtes ici pour répondre à une exigence de votre « client ». Toutefois, TISAX elle-même ne fait pas vraiment de distinction entre ces deux rôles. Pour TISAX, chaque partie inscrite est un « participant ». Vous — tout comme votre partenaire — « participez » à l’échange des résultats d’évaluation de la sécurité de l’information.
Votre entreprise |
|
Inscription TISAX |
|
Participant TISAX |
Pour distinguer d’emblée les deux rôles, nous vous désignons, en tant que fournisseur, « participant actif ». Nous désignons votre partenaire « participant passif ». En tant que « participant actif », vous passez l’évaluation TISAX et partagez le résultat de votre évaluation avec d’autres participants. Le « participant passif » est celui qui a demandé que vous passiez l’évaluation TISAX. Le « participant passif » reçoit le résultat de votre évaluation.
1 Demande l’évaluation du |
|
Participant passif |
|
Participant actif |
|
2 Passe l’évaluation TISAX |
|
3 Partage le résultat avec |
Toute entreprise peut revêtir les deux rôles. Vous pouvez partager un résultat d’évaluation avec votre partenaire, et demander simultanément à vos propres fournisseurs de passer l’évaluation TISAX.
Votre client |
|
Vous partagez avec le client |
|
Participant actif |
|
Vous |
|
Participant passif |
|
Partage avec vous |
|
Votre propre fournisseur |
Le fait de demander à vos propres fournisseurs de passer l’évaluation TISAX peut même être particulièrement conseillé s’ils traitent eux aussi des informations confidentielles de votre partenaire.
4.3. Préparation de l’inscription
Dans la présente section, nous vous donnons des recommandations sur la manière de vous préparer à l’inscription. Nous décrivons le processus d’inscription en tant que tel en détail à la Section 4.5, “Processus d’inscription en ligne”.
Avant d’entamer le processus d’inscription en ligne, nous vous recommandons vivement :
-
de collecter des informations à l’avance
-
et de prendre certaines décisions.
4.3.1. Le fondement juridique
Généralement, vous devez signer deux contrats. Le premier contrat est conclu entre vous et ENX Association : les « Conditions générales de participation TISAX » (TISAX Participation General Terms and Conditions) ou « CG du participant TISAX » (TISAX Participant GTCs). Le second contrat est conclu entre l’un de nos auditeurs TISAX et vous. Pour l’inscription, nous ne vérifierons que le premier contrat.
Les CG du participant TISAX régissent nos relations mutuelles et vos relations avec d’autres participants TISAX. Elles déterminent nos droits et obligations à tous. Outre les clauses habituelles que vous trouvez dans la plupart des contrats, elles définissent le traitement des informations échangées et obtenues durant le processus TISAX. Un objectif majeur de ces règles est de respecter la confidentialité des résultats de l’évaluation TISAX. Comme tous les participants TISAX sont soumis aux mêmes règles, vous pouvez attendre de votre partenaire (en sa qualité de participant passif) qu’il protège adéquatement le résultat de votre évaluation TISAX.
Assez rapidement dans le processus d’inscription en ligne, nous vous demanderons d’accepter les CG du participant TISAX. Comme il s’agit d’un vrai contrat, nous vous recommandons de lire les CG du participant TISAX avant d’entamer le processus d’inscription en ligne. L’une des raisons en est que, selon votre rôle dans l’entreprise, il se peut que vous deviez obtenir une autorisation d’un juriste interne ou externe.
Vous pouvez télécharger les « Conditions générales de participation TISAX »[5] sur notre site Web à l’adresse :
enx.com/en-US/TISAX/downloads/
Téléchargement direct du PDF :
enx.com/tisaxgtcen.pdf
Au cours du processus d’inscription en ligne, nous vous demanderons de cocher deux cases obligatoires :
-
❏ We accept the TISAX Participation General Terms and Conditions
Nous acceptons les conditions générales de participation TISAX ;
-
❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
Nous confirmons avoir connaissance du fait que le demandeur est libéré du secret professionnel imposé aux auditeurs conformément aux sections IX.5 et X.3 des Conditions générales de participation TISAX.
Nous avons ajouté la seconde case à cocher, car certains de nos auditeurs TISAX sont des experts-comptables agréés. Ils sont tenus à des exigences particulières en matière de secret professionnel. Peut-être souhaiterez-vous consulter ces clauses avant de cocher la case en question.
Si vous exigez habituellement un accord de confidentialité entre vous et toute partie qui traite des informations confidentielles, veuillez examiner les sections correspondantes de nos CG. Elles devraient répondre à toutes vos interrogations.
Pour conclure la section juridique, notez que le système implique l’acceptation des mêmes règles par l’ensemble des participants. Par conséquent, nous ne pouvons accepter de conditions générales supplémentaires[6].
4.3.2. Le champ d’application de l’évaluation TISAX
Durant la deuxième étape du processus TISAX, l’un de nos auditeurs TISAX procédera à l’évaluation de la sécurité de l’information. Il doit savoir par où commencer et où s’arrêter. C’est pourquoi vous devez définir un « champ d’application de l’évaluation ».
Le « champ d’application de l’évaluation » décrit l’étendue de l’évaluation de sécurité de l’information. En termes simples, chaque partie de votre entreprise qui traite des informations confidentielles de votre partenaire est intégrée dans le champ d’application de l’évaluation. Vous pouvez considérer qu’il s’agit d’un élément majeur de la description de tâche de l’auditeur. Il dicte ce que l’auditeur doit évaluer.
Le champ d’application de l’évaluation est important pour deux raisons :
-
Un résultat d’évaluation ne répondra à l’exigence de votre partenaire que si le champ d’application correspondant de l’évaluation couvre toutes les parties de votre entreprise qui traitent les informations de ce partenaire.
-
Un champ d’application défini avec précision est une condition préalable essentielle à des calculs de coûts pertinents de la part de nos auditeurs TISAX.
Important
|
Remarque importante : Si votre entreprise est certifiée ISO/IEC 27001 : la définition du « champ d’application de l’évaluation TISAX » et la définition du champ d’application requise pour la certification ISO/IEC 27001 sont similaires. La différence réside dans le fait que chez TISAX, le champ d’application est prédéfini. |
4.3.2.1. Description du champ d’application
La description du champ d’application définit l’étendue de l’évaluation. Concernant la description du champ d’application, vous devez choisir l’un des deux types de champs suivants :
-
Standard scope (
champ d’application standard)
-
Custom scope (
champ d’application adapté)
-
Extended scope (
champ d’application élargi)
-
Narrowed scope (
champ d’application limité)
-
4.3.2.2. Champ d’application standard
La description du champ d’application standard est la base de l’évaluation TISAX. D’autres participants TISAX n’acceptent les résultats d’évaluation que s’ils sont basés sur la description du champ d’application standard.
La description du champ d’application standard est prédéfinie et vous ne pouvez pas la modifier. Si vous souhaitez utiliser une description de champ d’application adapté, vous pouvez choisir d’élargir ou de limiter le champ d’application de votre évaluation.
L’un des principaux avantages d’un champ d’application standard est qu’il permet d’éviter de devoir fournir votre propre définition.
Ceci est une description de champ d’application standard[7] :
The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information. Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors Examples for sites: Office sites, development sites, production sites, data centres |
Le champ d’application standard comprend l’ensemble des processus et ressources impliqués sur les sites définis ci-dessous qui sont soumis aux exigences de sécurité des partenaires dans l’industrie automobile. Les processus et ressources impliqués incluent la collecte, le stockage et le traitement des informations. Exemples de ressources impliquées : les équipements de travail, les salariés, les systèmes informatiques, y compris les services de cloud tels que les infrastructures/plateformes/software as a service, les sites physiques, les sous-traitants concernés Exemples de sites : sites de bureau, sites de développement, sites de production, centres de données |
Nous recommandons vivement de choisir le champ d’application standard. Tous les participants TISAX acceptent les résultats d’évaluation de la sécurité de l’information qui se fondent sur un champ d’application standard.
4.3.2.3. Champ d’application adapté
Le champ d’application standard est celui choisi par la grande majorité des participants TISAX. Toutefois, dans certaines rares circonstances, vous pouvez être amené à choisir un champ d’application adapté.
Champ d’application élargi |
|
Champ d’application standard |
|
Champ d’application limité |
-
Champ d’application élargi
Vous pouvez élargir le champ d’application. Un champ d’application élargi contient PLUS que le champ d’application standard. L’auditeur procédera à davantage de vérifications.
Objectif : un champ d’application élargi peut être pertinent si vous voulez utiliser votre évaluation TISAX à des fins internes ou en dehors de l’industrie automobile.
Labels TISAX et partage des résultats : un champ d’application élargi comprend toujours le champ d’application standard. Par conséquent, un champ d’application élargi recevra des labels TISAX[8]. D’autres participants TISAX accepteront toutefois le résultat de l’évaluation.
Description : si le champ d’application standard dispose d’une description prédéfinie, vous devez rédiger votre propre description de champ d’application adapté si vous avez besoin d’un champ élargi.
-
Champ d’application limité
Vous pouvez limiter le champ d’application. Un champ d’application limité contient MOINS que le champ d’application standard. L’auditeur abrégera les vérifications ou en passera certaines.
Objectif : si certains de vos sites appartiennent à des champs d’application d’évaluation différents et recourent à certains services sur un site particulier (tel qu’un centre de données), vous pouvez utiliser un champ d’application limité pour ces services. Ainsi, un auditeur TISAX peut aisément réutiliser le résultat d’évaluation correspondant au champ d’application limité du service.
Exemple : vous avez un grand nombre de sites (appartenant éventuellement à des champs d’application différents) et disposez d’un département IT central sur l’un de ces sites. La définition d’un champ d’application limité pour ce seul département IT peut permettre de faciliter la réutilisation, dans les autres champs d’application, du résultat d’évaluation correspondant.
Labels TISAX et partage des résultats : des champs d’application limités ne bénéficient pas de labels TISAX. Le résultat de votre évaluation est enregistré sur le portail ENX avec la date, la période de validité et l’indication de conformité ou non du résultat global de l’évaluation. Vous pourriez partager ce résultat d’évaluation. Mais si vous partagez un résultat d’évaluation sans labels TISAX, la plupart des destinataires pourraient considérer que vous avez « échoué ». Généralement, les autres participants TISAX n’acceptent pas les résultats d’évaluation basés sur un champ d’application limité.
Description : comme pour le champ d’application élargi, vous rédigerez votre propre description de champ d’application adapté si vous avez besoin d’un champ d’application limité.
Voici un exemple de description d’un champ d’application limité :
Sécurité physique, ressources et processus du centre de données utilisés pour exécuter les services de l’entreprise X[9].ImportantRemarque importante :
Une évaluation sur la base d’un champ d’application limité ne bénéficiera pas de labels TISAX. Ainsi, en règle générale, nous ne recommandons pas d’opter pour un champ d’application limité — en particulier parce que d’habitude, les autres participants n’acceptent pas les résultats d’évaluation basés sur un champ d’application limité. Veuillez consulter votre partenaire avant d’opter pour un champ d’application limité.
4.3.2.4. Détermination du champ d’application
Votre prochaine étape après la définition du type de champ d’application consiste à décider quels sites appartiennent au champ d’application de l’évaluation.
Si votre entreprise est petite (un seul site), la tâche est simple. Il vous suffit d’ajouter votre site au champ d’application de l’évaluation.
Si votre entreprise est grande, nous vous recommandons d’enregistrer plus d’un champ d’application pour l’évaluation.
Le fait d’avoir un seul champ d’application englobant tous les sites présente certains avantages :
-
Vous disposez d’un seul rapport d’évaluation, d’un seul résultat d’évaluation et d’une seule date d’expiration.
-
Vous pouvez bénéficier d’une réduction des coûts pour l’évaluation, dans la mesure où un auditeur TISAX unique doit évaluer une seule fois vos ressources, procédures et processus centraux.
Mais un seul champ d’application a aussi ses inconvénients, notamment :
-
Le résultat de l’évaluation n’est disponible qu’une fois que l’auditeur TISAX a évalué l’ensemble des sites. Cela peut avoir de l’importance si vous avez besoin rapidement d’un résultat d’évaluation.
-
Le résultat de l’évaluation dépend de tous les sites qui passent l’évaluation. Si un seul site échoue, vous n’obtiendrez pas de résultat positif pour votre évaluation.[10]
4.3.2.5. Adaptation du champ d’application
Vous seul pouvez répondre à la question de savoir si vous avez un ou plusieurs champs d’application. Pour vous aider à prendre votre décision, vous pouvez répondre aux questions dans le diagramme suivant.