Réalisez le processus d’évaluation TISAX et partagez le résultat d’évaluation avec votre partenaire

Publié par

ENX Association
une association conforme à la loi française de 1901,
enregistrée sous le numéro w923004198 auprès de la sous-préfecture de Boulogne-Billancourt, France

Adresses
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Francfort-sur-le-Main, Allemagne

Auteur

Florian Gleich

Contact

Version

Date :

2023-12-07

Version :

2.7

Classification :

Public

ENX doc ID:

602-FR

Avis de droit d’auteur

Tous droits réservés par ENX Association.
ENX, TISAX et leurs logos respectifs sont des marques déposées d’ENX Association.
Les marques de tiers mentionnées sont la propriété de leurs détenteurs respectifs.

1. Aperçu

1.1. Objectif

Bienvenue sur TISAX (Trusted Information Security Assessment Exchange).

L’un de vos partenaires vous a demandé d’attester que votre gestion de la sécurité de l’information respecte un niveau particulier d’exigence, comme prévu par « l’évaluation de sécurité de l’information » (ISA). Et à présent, vous souhaitez savoir comment répondre à cette demande.

L’objectif du présent manuel est de vous permettre de satisfaire la demande de votre partenaire — ou d’avoir une longueur d’avance en anticipant la démarche avant qu’un partenaire ne vous invite à l’effectuer.

Le présent manuel décrit les étapes que vous devez mettre en œuvre pour passer l’évaluation TISAX et pour en partager le résultat avec votre partenaire.

L’établissement et le maintien d’un système de gestion de la sécurité de l’information (ISMS) constituent déjà des missions complexes. Prouver à votre partenaire que votre gestion de la sécurité de l’information est à la hauteur ajoute encore plus de complexité. Le présent manuel ne vous aidera pas à gérer la sécurité de vos informations. Toutefois, il vous permet de démontrer le plus simplement possible à votre partenaire les efforts mis en œuvre dans ce contexte.

1.2. Périmètre

Le présent manuel s’applique à tous les processus TISAX auxquels vous pouvez participer.

Il contient tout ce que vous avez besoin de savoir pour mener à bien le processus TISAX.

Le manuel prodigue des conseils sur la manière de traiter les exigences en matière de sécurité de l’information qui représentent le fondement de l’évaluation. Mais il n’a pas pour objectif de vous offrir une formation générale sur ce que vous devez faire pour passer l’évaluation de sécurité de l’information.

1.3. Public

Les entreprises qui ont besoin ou souhaitent prouver un certain niveau de gestion de sécurité de l’information, conformément aux exigences de « l’évaluation de sécurité de l’information » (ISA), constituent le principal public auquel s’adresse le présent manuel.

Dès que vous serez activement impliqué dans les processus TISAX, vous pourrez profiter des informations fournies dans le présent manuel.

Les entreprises qui demandent à leurs fournisseurs de prouver certains niveaux de gestion de la sécurité de l’information en tireront profit également. Le présent manuel leur permet de comprendre ce que leurs fournisseurs sont tenus de faire pour répondre à leur demande.

1.4. Structure

Nous commencerons par une brève introduction à TISAX, puis nous passerons immédiatement aux instructions décrivant COMMENT entreprendre les diverses démarches. Vous trouverez tout ce dont vous avez besoin pour mener à bien le processus — dans l’ordre correspondant aux diverses étapes à suivre.

Le temps de lecture estimé du document est de 75 à 90 minutes.

1.5. Comment utiliser le présent document

Tôt ou tard, vous vous intéresserez probablement à la plupart des informations décrites dans le présent document. Pour que vous soyez correctement préparé, nous vous recommandons de lire l’intégralité du manuel.

Nous avons organisé le manuel sur la base de trois étapes principales du processus TISAX, de sorte que vous puissiez aller à la section dont vous avez besoin et lire le reste plus tard.

Le manuel utilise des illustrations pour faciliter la compréhension. Les couleurs des illustrations ont souvent une signification supplémentaire. Par conséquent, nous vous recommandons de lire le document sur un écran d’ordinateur ou sur une version papier en couleur.

Nous serions heureux de recevoir vos commentaires. Si vous pensez qu’il manque certaines informations dans le présent manuel ou qu’il n’est pas facile à comprendre, n’hésitez pas à nous en informer. Tous les futurs lecteurs du manuel et nous-mêmes vous serons reconnaissants du retour que vous nous donnerez.

Si vous avez déjà utilisé une version antérieure du manuel du participant TISAX, vous pourrez trouver quelques précieuses remarques à la fin du document à la Section 8, “Historique du document”.

1.6. Nous contacter

Nous sommes là pour vous guider tout au long du processus TISAX et pour répondre à toute question que vous pourriez avoir.

Envoyez-nous un e-mail à :

tisax@enx.com

Ou appelez-nous au numéro :

+49 69 9866927-77

Vous pouvez nous joindre durant les heures ouvrables normales en Allemagne (UTC+01:00).

Nous parlons tous Icon of the flag of the United Kingdom l’anglais et Icon of the flag of Germany l’allemand. L’un de nos collègues est de langue maternelle Icon of the flag of Italy italienne.

1.7. Le manuel du participant TISAX dans d’autres langues et formats

Le manuel du participant TISAX est disponible dans les autres langues et formats suivants :

Langue Version Format Lien

Icon of the flag of the United Kingdom Anglais

2.7

En ligne

https://www.enx.com/handbook/tisax-participant-handbook.html

Hors ligne

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

Icon of the flag of Germany Allemand

2.7

En ligne

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

Hors ligne

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

Icon of the flag of France Français

2.7

En ligne

https://www.enx.com/handbook/tph-fr.html

Hors ligne

https://www.enx.com/handbook/tph-fr-offline.html

PDF

https://www.enx.com/handbook/tph-fr.pdf

Icon of the flag of China Chinois

2.7

En ligne

https://www.enx.com/handbook/tph-cn.html

Hors ligne

https://www.enx.com/handbook/tph-cn-offline.html

PDF

https://www.enx.com/handbook/tph-cn.pdf

Icon of the flag of Spain Espagnol

2.7

En ligne

https://www.enx.com/handbook/tph-es.html

Hors ligne

https://www.enx.com/handbook/tph-es-offline.html

PDF

https://www.enx.com/handbook/tph-es.pdf

Icon of the flag of Japan Japonais

2.7

En ligne

https://www.enx.com/handbook/tph-jp.html

Hors ligne

https://www.enx.com/handbook/tph-jp-offline.html

PDF

https://www.enx.com/handbook/tph-jp.pdf

Icon of the flag of Brazil Portugais brésilien

2.7

En ligne

https://www.enx.com/handbook/tph-pt.html

Hors ligne

https://www.enx.com/handbook/tph-pt-offline.html

PDF

https://www.enx.com/handbook/tph-pt.pdf

Icon of the flag of Italy Italien

2.7

En ligne

https://www.enx.com/handbook/tph-it.html

Hors ligne

https://www.enx.com/handbook/tph-it-offline.html

PDF

https://www.enx.com/handbook/tph-it.pdf

Icon of the flag of South Korea Coréen

2.7

En ligne

https://www.enx.com/handbook/tph-kr.html

Hors ligne

https://www.enx.com/handbook/tph-kr-offline.html

PDF

https://www.enx.com/handbook/tph-kr.pdf

Important

Remarque importante :

La version anglaise est la version principale.
Les versions disponibles dans toutes les autres langues sont des traductions de la version anglaise.
En cas de doute, la version anglaise fait autorité.

1.7.1. À propos de la traduction en Français

Le présent manuel du participant TISAX est une traduction de la version anglaise.

Tous les documents de base de TISAX ont été rédigés en anglais (p. ex. : tous les contrats et exigences pour les auditeurs TISAX). Par conséquent, votre partenaire ou votre auditeur peut utiliser certains termes spécifiques à TISAX en anglais.

Pour vous permettre d’établir une correspondance entre les termes d’une langue à l’autre, nous avons conservé le terme TISAX original en anglais dans la traduction du manuel du participant TISAX ou l’avons mentionné entre parenthèses directement après la traduction.

1.7.2. À propos du format en ligne

Chaque section a un identifiant unique (format : ID1234).
Un ID fait référence à une section spécifique, indépendamment de la langue.

Si vous souhaitez accéder à une section spécifique, vous pouvez :

  • faire un clic droit sur le titre de la section et copier le lien, ou

  • cliquer sur le titre de la section et copier le lien à partir de la barre d’adresse de votre navigateur.

La plupart des illustrations sont disponibles dans une taille supérieure à celle affichée ici par défaut. Cliquez sur l’illustration pour accéder à sa version de taille supérieure.

1.7.3. À propos du format hors ligne

Le format hors ligne contient la plupart des éléments du format en ligne. Notez en particulier que les illustrations sont intégrées dans le fichier HTML. Vous n’avez besoin que d’un fichier pour utiliser le format hors ligne.

Par rapport au format en ligne, le format hors ligne ne contient pas :

  • les images de taille supérieure

  • les polices originales du format en ligne
    Les polices sont définies selon les réglages par défaut de votre navigateur.

1.7.4. À propos du format PDF

Si vous utilisez le format PDF sur votre ordinateur, vous pouvez toujours cliquer sur l’ensemble des références. Mais si vous imprimez la version PDF, vous ne retrouverez pas certains éléments tels que la numérotation des pages, et vous devrez rechercher les références vous-même.

2. Introduction

Les sections suivantes présentent le concept TISAX.

Si vous êtes pressé, vous pouvez les passer et commencer directement à la Section 4.3, “Préparation de l’inscription”.

2.1. Pourquoi TISAX ?

Ou en d’autres termes, que faites-vous ici ?

Pour répondre à cette question, nous commencerons par quelques réflexions sur la pratique commerciale en général et sur la protection des informations en particulier.

Vous avez un partenaire. Il détient des informations confidentielles et souhaite les partager avec son fournisseur — vous. La coopération entre votre partenaire et vous-même crée de la valeur. Les informations que votre partenaire partage avec vous constituent une part importante de cette création de valeur. Par conséquent, il souhaite les protéger de manière appropriée. Et il veut être certain que vous traitez ses informations avec le même soin.

Mais comment peut-il être sûr que ses informations sont entre de bonnes mains ? Il ne peut pas se contenter de vous « croire ». Votre partenaire a besoin de voir certaines preuves.

Deux questions se posent dans ce contexte. Qui définit la notion de traitement « sécurisé » de l’information ? Et deuxièmement, comment en apportez-vous la preuve ?

2.2. Qui définit la notion de « sécurisé » ?

Votre partenaire et vous-même n’êtes pas les seuls à être confrontés à ces questions pour la première fois. Chacun ou presque doit y répondre et la plupart des réponses présenteront des points communs.

Ainsi, standardiser la démarche permet d’éviter de devoir créer une solution au cas par cas pour un problème récurrent et de démarrer systématiquement d’une feuille blanche. Créer une norme représente un travail considérable, mais une fois cette norme définie, tous ceux qui la suivent pourront en profiter à chaque fois.

Il existe certainement différents points de vue concernant la démarche adéquate à adopter pour protéger les informations. Mais en raison des avantages susmentionnés, la plupart des entreprises misent sur l’approche normative. Une norme est la forme condensée de toutes les bonnes pratiques prouvées et éprouvées pour une problématique particulière.

Dans votre cas, des normes telles que la norme ISO/IEC 27001 (concernant les systèmes de gestion de la sécurité de l’information, ou ISMS) et leur mise en œuvre déterminent comment traiter les informations confidentielles de manière sécurisée et dans les règles de l’art. Une norme telle que celle-là vous évite de devoir réinventer la roue à chaque fois. Mais plus important encore, les normes fournissent une base commune à deux entreprises qui doivent échanger des données confidentielles.

2.3. Dans le secteur automobile

Par nature, les normes indépendantes d’un secteur particulier sont conçues comme des solutions universelles et ne sont pas adaptées aux besoins spécifiques des sociétés automobiles.

Il y a longtemps, des associations ont vu le jour dans l’industrie automobile pour — entre autres — affiner et définir des normes adaptées aux besoins plus spécifiques du secteur. La « Verband der Automobilindustrie » (VDA) est l’une de ces associations. Dans le groupe de travail qui traite de la sécurité de l’information, plusieurs membres de l’industrie automobile sont arrivés à la conclusion qu’ils avaient des besoins similaires auxquels il conviendrait d’adapter les normes existantes en matière de gestion de la sécurité de l’information.

Leurs efforts conjoints ont donné lieu à la création d’un questionnaire qui couvre les exigences relatives à la sécurité de l’information largement reconnues dans l’industrie automobile. Il s’intitule « Information Security Assessment » (« Évaluation de la sécurité de l’information ») ou « ISA ».

Grâce à l’ISA, nous disposons désormais d’une réponse à la question « Qui définit la notion de “sécurisé” ? ». Par l’intermédiaire de la VDA, l’industrie automobile elle-même offre cette réponse à ses membres.

2.4. Comment prouver efficacement la sécurité ?

Si certaines entreprises recourent à l’ISA en interne uniquement, d’autres l’emploient pour évaluer la maturité de la gestion de la sécurité de l’information chez leurs fournisseurs. Dans certains cas, une auto-évaluation suffit dans le cadre de la relation commerciale. Toutefois, dans d’autres cas, les entreprises évaluent dans son intégralité la gestion de la sécurité de l’information de leur fournisseur (y compris par des audits sur site).

À l’heure où nous sommes tous de plus en plus sensibles à la nécessité de gérer la sécurité de l’information et où l’ISA est adoptée par un nombre croissant d’entreprises pour effectuer des évaluations dans ce cadre, les fournisseurs sont plus nombreux à faire face à des demandes similaires de la part de différents partenaires.

Ces partenaires continuaient d’appliquer des normes variées et avaient des opinions divergentes sur leur interprétation. Et si les fournisseurs devaient pour l’essentiel attester des mêmes choses, les démarches adoptées étaient différentes.

Plus les fournisseurs étaient invités par leurs partenaires à prouver leur niveau de gestion de la sécurité de l’information, plus ils se plaignaient des efforts répétés à fournir. Il est tout simplement contre-productif de devoir démontrer, audit après audit, les mêmes mesures de gestion de la sécurité de l’information.

Que faire pour rendre la démarche plus efficace ? Pourrait-on imaginer de réutiliser le rapport d’un auditeur pour plusieurs partenaires ?

Les OEM et les fournisseurs dans le groupe de travail ENX responsable du maintien de l’ISA ont été attentifs aux plaintes de leurs fournisseurs. À présent, ils offrent à ces derniers ainsi qu’à l’ensemble des autres entreprises actives dans l’industrie automobile une réponse à la question « Comment prouver la sécurité? ».

La réponse est TISAX, l’acronyme de “Trusted Information Security Assessment Exchange” ({img-frflag-alt} « Échange fiable concernant l’évaluation de la sécurité de l’information »).

3. Le processus TISAX

3.1. Aperçu

Généralement[1], le processus TISAX débute après que l’un de vos partenaires vous a demandé de démontrer un certain niveau de gestion de la sécurité de l’information, conformément aux exigences de l’« Évaluation de la sécurité de l’information » (ISA). Pour répondre à cette demande, vous devez compléter les trois étapes du processus TISAX. La présente section vous donne un aperçu des étapes à suivre.

Le processus TISAX comprend les trois étapes suivantes :

Aperçu du processus TISAX
Illustration 1. Aperçu du processus TISAX
img callout black 01

Étape 1
Inscription

img callout black 02

Étape 2
Évaluation

img callout black 03

Étape 3
Échange

  1. Inscription
    Nous collectons des informations sur votre entreprise et sur les besoins à intégrer à l’évaluation.

  2. Évaluation
    Vous vous soumettez à une ou plusieurs évaluations menées par l’un de nos auditeurs TISAX.

  3. Échange
    Vous partagez le résultat de votre évaluation avec votre partenaire.

Chaque étape est subdivisée en sous-étapes. Celles-ci sont exposées dans les trois sections ci-dessous et décrites en détail plus loin, dans les sections correspondantes.

Remarque

Remarque :

Nous voudrions pouvoir vous préciser le temps nécessaire à l’obtention du résultat de votre évaluation TISAX, mais ne sommes pas en mesure de vous donner un chiffre précis et fiable. La durée totale du processus TISAX dépend de trop nombreux facteurs. La grande diversité des tailles d’entreprise et des objectifs d’évaluation, sans compter la maturité d’un système de gestion de la sécurité de l’information, rendent impossible la fourniture d’une indication précise sur le temps nécessaire à l’évaluation.

3.2. Inscription

Votre première étape est l’inscription TISAX.

L’objectif principal de l’inscription TISAX est de collecter des informations sur votre entreprise. Nous utilisons un processus d’inscription en ligne pour vous aider à nous fournir ces informations.

Elle est la condition préalable à toutes les étapes ultérieures. Des frais d’inscription vous sont demandés.

Au cours du processus d’inscription en ligne :

  • Nous vous demandons vos coordonnées et des informations de facturation.

  • Vous devez accepter nos conditions générales.

  • Vous pouvez définir le périmètre de votre évaluation de sécurité de l’information.

Pour entamer directement cette étape, veuillez vous référer à la Section 4, “Inscription (étape 1)”.

Le processus d’inscription en ligne est décrit en détail à la Section 4.5, “Processus d’inscription en ligne”. Mais si vous souhaitez commencer immédiatement, veuillez vous rendre sur le Icon of the flag of the United Kingdom enx.com/en-US/TISAX/.

3.3. Évaluation

L’évaluation de sécurité de l’information constitue votre deuxième étape.

Elle se subdivise en quatre sous-étapes :

  1. Préparation de l’évaluation
    Vous devez préparer l’évaluation. L’ampleur de la préparation dépend du niveau de maturité actuel de votre système de gestion de la sécurité de l’information. Votre préparation doit se fonder sur le catalogue ISA.

  2. Sélection de l’auditeur
    Vous devez choisir l’un de nos auditeurs TISAX.

  3. Évaluation(s) de la sécurité de l’information
    Votre auditeur mènera l’évaluation sur la base d’un périmètre d’évaluation correspondant aux exigences de votre partenaire. Le processus d’évaluation comprendra au moins l’audit initial.
    Si votre entreprise ne réussit pas immédiatement l’évaluation, le processus d’évaluation peut nécessiter des étapes supplémentaires.

  4. Résultat de l’évaluation
    Une fois que votre entreprise aura passé l’évaluation, votre auditeur vous fournira le rapport d’évaluation officiel TISAX. Le résultat de votre évaluation vous permettra également d’obtenir des labels TISAX[2].

Pour de plus amples informations sur cette étape, veuillez consulter la Section 5, “Évaluation (étape 2)”.

3.4. Échange

Votre troisième et dernière étape consiste à partager le résultat de votre évaluation avec votre partenaire. Le contenu du rapport d’évaluation TISAX est organisé en niveaux. Vous pouvez déterminer le niveau maximum auquel votre partenaire aura accès.

Le résultat de votre évaluation est valable trois ans. En admettant que vous soyez toujours un fournisseur de votre partenaire à ce moment-là, vous devrez à nouveau suivre le processus en trois étapes[3].

Pour de plus amples informations sur cette étape, veuillez consulter la Section 6, “Échange (étape 3)”.


Maintenant que vous avez une idée générale du processus TISAX, vous trouverez dans les prochaines sections des instructions sur la manière de mener à bien chaque étape.

4. Inscription (étape 1)

Le temps de lecture estimé de la section consacrée à l’inscription est de 30 à 40 minutes.

4.1. Aperçu

L’inscription TISAX est votre première étape. Elle est la condition préalable à toutes les étapes ultérieures.

Les sections suivantes vous guideront tout au long du processus d’inscription.

  1. Nous commencerons par expliquer un nouveau terme essentiel.

  2. Ensuite, nous vous donnerons des conseils pour vous aider à vous préparer pour le processus d’inscription en ligne.

  3. Nous vous guiderons alors tout au long du processus d’inscription en ligne.

4.2. Vous êtes un participant TISAX

Permettez-nous d’abord de présenter un nouveau terme indispensable à comprendre. Jusqu’à présent, vous étiez un « fournisseur ». Vous êtes ici pour répondre à une exigence de votre « client ». Toutefois, TISAX elle-même ne fait pas vraiment de distinction entre ces deux rôles. Pour TISAX, chaque partie inscrite est un « participant ». Vous — tout comme votre partenaire — « participez » à l’échange des résultats d’évaluation de la sécurité de l’information.

Inscription pour devenir un participant TISAX
Illustration 2. Inscription pour devenir un participant TISAX
img callout black 01

Votre entreprise

img callout black 02

Inscription TISAX

img callout black 03

Participant TISAX

Pour distinguer d’emblée les deux rôles, nous vous désignons, en tant que fournisseur, « participant actif ». Nous désignons votre partenaire « participant passif ». En tant que « participant actif », vous passez l’évaluation TISAX et partagez le résultat de votre évaluation avec d’autres participants. Le « participant passif » est celui qui a demandé que vous passiez l’évaluation TISAX. Le « participant passif » reçoit le résultat de votre évaluation.

Participant passif et participant actif
Illustration 3. Participant passif et participant actif
img callout black 01

1 Demande l’évaluation du

img callout black 02

Participant passif

img callout black 03

Participant actif

img callout black 04

2 Passe l’évaluation TISAX

img callout black 05

3 Partage le résultat avec

Toute entreprise peut revêtir les deux rôles. Vous pouvez partager un résultat d’évaluation avec votre partenaire, et demander simultanément à vos propres fournisseurs de passer l’évaluation TISAX.

Les participants TISAX peuvent être simultanément participants actifs et passifs
Illustration 4. Les participants TISAX peuvent être simultanément participants actifs et passifs
img callout black 01

Votre client
= passif

img callout black 02

Vous partagez avec le client

img callout black 03

Participant actif

img callout black 04

Vous

img callout black 05

Participant passif

img callout black 06

Partage avec vous

img callout black 07

Votre propre fournisseur
= actif

Le fait de demander à vos propres fournisseurs de passer l’évaluation TISAX peut même être particulièrement conseillé s’ils traitent eux aussi des informations présentant des besoins de protection de votre partenaire.

4.3. Préparation de l’inscription

Dans la présente section, nous vous donnons des recommandations sur la manière de vous préparer à l’inscription. Nous décrivons le processus d’inscription en tant que tel en détail à la Section 4.5, “Processus d’inscription en ligne”.

Avant d’entamer le processus d’inscription en ligne, nous vous recommandons vivement :

  • de collecter des informations à l’avance

  • et de prendre certaines décisions.

4.3.1. Le fondement juridique

Généralement, vous devez signer deux contrats. Le premier contrat est conclu entre vous et ENX Association : les « Conditions générales de participation TISAX » (TISAX Participation General Terms and Conditions) ou « CG du participant TISAX » (TISAX Participant GTCs). Le second contrat est conclu entre l’un de nos auditeurs TISAX et vous. Pour l’inscription, nous ne vérifierons que le premier contrat.

Les CG du participant TISAX régissent nos relations mutuelles et vos relations avec d’autres participants TISAX. Elles déterminent nos droits et obligations à tous. Outre les clauses habituelles que vous trouvez dans la plupart des contrats, elles définissent le traitement des informations échangées et obtenues durant le processus TISAX. Un objectif majeur de ces règles est de respecter la confidentialité des résultats de l’évaluation TISAX. Comme tous les participants TISAX sont soumis aux mêmes règles, vous pouvez attendre de votre partenaire (en sa qualité de participant passif) qu’il protège adéquatement le résultat de votre évaluation TISAX.

Assez rapidement dans le processus d’inscription en ligne, nous vous demanderons d’accepter les CG du participant TISAX. Comme il s’agit d’un vrai contrat, nous vous recommandons de lire les CG du participant TISAX avant d’entamer le processus d’inscription en ligne. L’une des raisons en est que, selon votre rôle dans l’entreprise, il se peut que vous deviez obtenir une autorisation d’un juriste interne ou externe.

Vous pouvez télécharger les « Conditions générales de participation TISAX »[4] sur notre site Web à l’adresse :
Icon of the flag of the United Kingdom enx.com/en-US/TISAX/downloads/

Téléchargement direct du PDF :
Icon of the flag of the United Kingdom enx.com/tisaxgtcen.pdf

Au cours du processus d’inscription en ligne, nous vous demanderons de cocher deux cases obligatoires :

  • ❏ We accept the TISAX Participation General Terms and Conditions ({img-frflag-alt} Nous acceptons les Conditions générales de participation TISAX)

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions; ({img-frflag-alt} Nous confirmons avoir connaissance du fait que le demandeur est libéré du secret professionnel imposé aux auditeurs conformément aux sections IX.5 et X.3 des Conditions générales de participation TISAX)

Nous avons ajouté la seconde case à cocher, car certains de nos auditeurs TISAX sont des experts-comptables agréés. Ils sont tenus à des exigences particulières en matière de secret professionnel. Généralement, en vertu des exigences particulières en matière de secret professionnel, les experts-comptables agréés figurant parmi nos auditeurs ne sont pas autorisés à partager les informations avec nous. Dans ce cas précis, cela annulerait les options de contrôle dont nous avons besoin pour notre rôle de gouvernance. Nous avons donc besoin qu’ils soient libérés de cette contrainte. Peut-être souhaiterez-vous consulter ces clauses avant de cocher la case en question.

Si vous exigez habituellement un accord de confidentialité entre vous et toute partie qui traite des informations confidentielles, veuillez examiner les sections correspondantes de nos CG. Elles devraient répondre à toutes vos interrogations. De plus, vous n’avez généralement pas à nous fournir d’informations confidentielles quelles qu’elles soient.

Pour conclure la section juridique, notez que le système implique l’acceptation des mêmes règles par l’ensemble des participants. Par conséquent, nous ne pouvons accepter de conditions générales supplémentaires[5].

4.3.2. Le périmètre d’évaluation TISAX

Durant la deuxième étape du processus TISAX, l’un de nos auditeurs TISAX procédera à l’évaluation de la sécurité de l’information. Il doit savoir par où commencer et où s’arrêter. C’est pourquoi vous devez définir un « périmètre d’évaluation ».

Le « périmètre d’évaluation » décrit l’étendue de l’évaluation de sécurité de l’information. En termes simples, chaque partie de votre entreprise qui traite des informations confidentielles de votre partenaire est intégrée dans le périmètre d’évaluation. Vous pouvez considérer qu’il s’agit d’un élément majeur de la description de la tâche de l’auditeur. Il dicte ce que l’auditeur doit évaluer.

Le périmètre d’évaluation est important pour deux raisons :

  1. Un résultat d’évaluation ne répondra à l’exigence de votre partenaire que si le périmètre d’évaluation correspondant couvre toutes les parties de votre entreprise qui traitent les informations de ce partenaire.

  2. Un périmètre d’évaluation défini avec précision est une condition préalable essentielle à des calculs de coûts pertinents de la part de nos auditeurs TISAX.

Important

Remarque importante :

ISO/IEC 27001 et TISAX

Tout d’abord, il convient de distinguer deux types de périmètre :
1) le périmètre de votre système de gestion de la sécurité de l’information (ISMS) et
2) le périmètre d’évaluation.
Ces deux champs ne sont pas nécessairement identiques.

Pour la certification ISO/IEC 27001, vous définissez le périmètre de votre ISMS (dans le « domaine de périmètre »). Vous êtes totalement libre de définir le périmètre de votre ISMS. Cependant, le périmètre d’évaluation (également appelé « périmètre de l’audit ») doit être identique au périmètre de votre ISMS.

TISAX vous demande également de définir votre ISMS. Mais le périmètre d’évaluation peut être différent.

Pour la certification ISO/IEC 27001, vous pouvez délimiter librement le périmètre d’évaluation en fonction de votre définition du périmètre de votre ISMS.

À la différence, pour TISAX, le périmètre d’évaluation est prédéfini. Le périmètre d’évaluation peut être plus réduit que celui de votre ISMS. Mais il doit être contenu dans le périmètre de votre ISMS.

4.3.2.1. Description du périmètre

La description du périmètre d’évaluation définit l’étendue de l’évaluation. Concernant la description du périmètre, vous devez choisir l’un des deux types de périmètres suivants :

  1. Standard scope ({img-frflag-alt} Périmètre d’évaluation standard)

  2. Custom scope ({img-frflag-alt} Périmètre d’évaluation sur mesure)

    1. Custom extended scope ({img-frflag-alt} Périmètre d’évaluation étendu sur mesure)

    2. Full custom scope ({img-frflag-alt} Périmètre d’évaluation entièrement sur mesure)

La section suivante traite du périmètre d’évaluation standard. Le périmètre d’évaluation standard est le bon choix pour plus de 99 % des participants. Par conséquent, nous aborderons les périmètres d’évaluation sur mesure uniquement dans la Section 7.8, “Annexe : périmètres d’évaluation sur mesure”.

4.3.2.2. Périmètre d’évaluation standard

La description du périmètre d’évaluation standard est la base de l’évaluation TISAX. D’autres participants TISAX n’acceptent les résultats d’évaluation que s’ils sont basés sur la description du périmètre d’évaluation standard.

La description du périmètre d’évaluation standard est prédéfinie et vous ne pouvez pas la modifier.

L’un des principaux avantages d’un périmètre d’évaluation standard est qu’il permet d’éviter de devoir fournir votre propre définition.

Voici la description du périmètre d’évaluation standard (version 2.0) :

Icon of the flag of the United Kingdom

{img-frflag-alt}

The TISAX assessment scope defines the scope of the assessment. The assessment includes all processes, procedures and resources under responsibility of the assessed organization that are relevant to the security of the protection objects and their protection goals as defined in the listed assessment objectives at the listed locations.
The assessment is conducted at least in the highest assessment level listed in any of the listed assessment objectives. All assessment criteria listed in the listed assessment objectives are subject to the assessment.
Le périmètre d’évaluation TISAX définit le périmètre de l’évaluation. Cette évaluation porte sur l’ensemble des processus, procédures et ressources placés sous la responsabilité de l’organisation évaluée qui sont pertinents pour la sécurité des objets de protection et leurs objectifs de protection tels qu’ils sont définis dans les objectifs d’évaluation listés dans les sites listés.
L’évaluation est réalisée en appliquant a minima le niveau d’évaluation le plus élevé listé dans l’un des objectifs d’évaluation listés. L’évaluation porte sur l’ensemble des critères d’évaluation listés dans les objectifs d’évaluation listés.

Nous recommandons vivement de choisir le périmètre d’évaluation standard. Tous les participants TISAX acceptent les résultats d’évaluation de la sécurité de l’information qui se fondent sur un périmètre d’évaluation standard.

4.3.2.3. Détermination du périmètre

Votre prochaine étape, après la définition du type de périmètre, consiste à décider quels sites appartiennent au périmètre d’évaluation.

Si votre entreprise est petite (un seul site), la tâche est simple. Il vous suffit d’ajouter votre site au périmètre d’évaluation.

Si votre entreprise est grande, vous pouvez enregistrer plus d’un périmètre d’évaluation.

Le fait d’avoir un seul périmètre englobant tous les sites présente certains avantages :

  • Vous disposez d’un seul rapport d’évaluation, d’un seul résultat d’évaluation et d’une seule date d’expiration.

  • Vous pouvez bénéficier d’une réduction des coûts pour l’évaluation, dans la mesure où un auditeur TISAX unique doit évaluer une seule fois vos ressources, procédures et processus centraux.

Mais un périmètre unique a aussi ses inconvénients, notamment :

  • Tous les sites doivent avoir les mêmes objectifs d’évaluation.

  • Le résultat de l’évaluation n’est disponible qu’une fois que l’auditeur TISAX a évalué l’ensemble des sites. Cela peut avoir de l’importance si vous avez besoin rapidement d’un résultat d’évaluation.

  • Le résultat de l’évaluation dépend de tous les sites qui passent l’évaluation. Si un seul site échoue, vous n’obtiendrez pas de résultat positif pour votre évaluation. Une manière de contourner cette situation serait de : a) retirer le site du périmètre, b) résoudre les problèmes, c) ajouter le site ultérieurement moyennant une évaluation d’extension du périmètre.

4.3.2.4. Adaptation du périmètre

Vous seul pouvez répondre à la question de savoir si vous devez avoir un ou plusieurs périmètres d’évaluation. Pour vous aider à prendre votre décision, vous pouvez répondre aux questions dans le diagramme suivant.

Arbre décisionnel d’adaptation du périmètre
Illustration 5. Arbre décisionnel d’adaptation du périmètre
img callout black 01

DÉPART
Tous les sites qui auront besoin d’une évaluation à l’avenir

img callout black 02

Étape 1 : avez-vous besoin d’une évaluation pour plus d’un site ?

img callout black 03

Étape 2 : avez-vous assez de temps pour vous préparer à l’évaluation sur tous les sites ?

img callout black 04

Étape 3 : tous les sites partagent-ils un ISMS central (en matière de responsabilités, d’infrastructures, de politiques et de processus) ?

img callout black 05

Étape 4 : tous les sites partagent-ils le même objectif d’évaluation (à savoir la protection des véhicules prototypes ou des informations présentant des besoins de protection très importants) ?

img callout black 06

Fin : enregistrez le périmètre d’évaluation
Le périmètre d’évaluation que vous avez enregistré doit comporter le(s) site(s) restant(s).

img callout black 07

Distinguez les sites les uns des autres.
Recommencez avec chaque groupe de sites.

img callout black 08

Non

img callout black 09

Oui

Remarque

Remarque :

Cette décision ne doit pas vous déconcerter. Vous pouvez modifier n’importe quel périmètre tant que l’auditeur n’a pas terminé l’évaluation.

Par exemple au cours de la préparation à votre évaluation, vous pouvez estimer que votre périmètre n’est pas adapté — et le modifier en conséquence. Ou votre auditeur peut recommander de modifier le périmètre au cours des premières étapes de l’évaluation.

Remarques supplémentaires :

  • Techniquement, vous ne pouvez pas modifier le périmètre d’évaluation que vous avez défini au cours du processus d’inscription en ligne sur le portail ENX. Mais l’auditeur peut mettre à jour votre périmètre d’évaluation lorsqu’il télécharge le résultat de votre évaluation sur le portail ENX.

  • Tout ajout au périmètre augmente les frais, et vous ne serez pas remboursé si vous retirez des sites du périmètre. Les auditeurs se basent sur le périmètre d’évaluation initial pour calculer leurs honoraires. Par conséquent, vous devrez également vous attendre à des changements.

4.3.2.5. Sites du périmètre

Maintenant que vous avez décidé des sites à intégrer dans votre périmètre d’évaluation, vous pouvez poursuivre en collectant certaines informations spécifiques aux sites.

Pour chaque site, nous sollicitons des informations telles que le nom et l’adresse de l’entreprise. Nous demandons aussi d’autres informations permettant à nos auditeurs TISAX de se faire une meilleure idée de la structure de votre entreprise. Vos réponses serviront de base à l’estimation du travail qu’ils auront à fournir.

Veuillez vous préparer à communiquer les renseignements suivants pour chacun de vos sites (l’astérisque rouge * indique les informations obligatoires dans le processus en ligne) :

Tableau 1. Renseignements propres au site
Domaine Options

Nom du site *

n/a

NUMÉRO D-U-N-S de D&B

n/a

Type de site *

Immeuble(s) détenu(s) et utilisé(s) exclusivement par l’entreprise
Immeuble(s) loué(s) par l’entreprise
Étage/bureaux loués par l’entreprise dans un immeuble partagé
Bureaux partagés avec d’autres entreprises
Propre centre de données
Centre de données partagé

Protection passive du site *

Oui
Non

Secteur
(Plusieurs sélections possibles)

Technologie de l’information

  • ❏ Services informatiques

  • ❏ Services de télécommunication

  • ❏ Développement logiciel

Direction

  • ❏ Conseil

Médias

  • ❏ Marketing

  • ❏ Agence

  • ❏ Services d’impression

  • ❏ Photographie

  • ❏ Services de traduction

Recherche et développement

  • ❏ Tests de véhicules

  • ❏ Simulations de véhicules

  • ❏ Construction de prototypes

  • ❏ Modèles de voitures miniatures

  • ❏ Services de développement

  • ❏ Services de développement CAx

Production

  • ❏ Services de production

  • ❏ Fabrication contractuelle

  • ❏ Atelier

  • ❏ Logistique

Vente et service après-vente

  • ❏ Importations, NSC

  • ❏ Distribution

  • ❏ Services financiers

  • ❏ Assurance

  • ❏ Règlement des réclamations

Autres secteurs
(veuillez spécifier)

Nombre de salariés sur le site : total *

0
1-10
11-100
101-1 000
1 001-5 000
Plus de 5 000

Nombre de salariés sur le site : IT *

0
1-10
11-25
26-50
Plus de 50

Nombre de salariés sur le site : sécurité informatique *

0
Temps partiel
1-5
6-25
Plus de 25

Nombre de salariés sur le site : sécurité du site *

0
Temps partiel
1-3
4-10
Plus de 10

Certifications pour ce site

ISO 27001
Autre (veuillez spécifier)
ISAE 3402
SOC2

Remarque

Remarque :

Concernant le « secteur » : sélectionnez au mieux de vos connaissances. Il n’existe pas de bonne ou de mauvaise réponse parmi les options figurant ci-dessus. Si vous ne trouvez pas d’option qui correspond à votre type d’activité, veuillez simplement spécifier l’option appropriée sous « Autre ».

Pour chaque site, vous devez spécifier un “location name” ({img-frflag-alt} « nom du site »). Le nom du site a pour objectif de faire référence plus aisément au site lorsque vous intégrez celui-ci à un périmètre d’évaluation.

Nous recommandons de nommer les sites sur la base du modèle suivant :

Modèle :

[Référence géographique]

Exemple :

pour l’entreprise fictive « ACME »

  • Francfort
    (pour un site établi dans la ville allemande de Francfort)

4.3.2.6. Nom du périmètre

Pour chaque périmètre, vous devez spécifier un “scope name” ({img-frflag-alt} « nom du périmètre »). Le nom du périmètre a pour objectif principal de vous permettre d’identifier facilement un périmètre dans la liste des périmètres sur le portail ENX. Nous vous conseillons de choisir un nom qui soit utile au lecteur et à vos collègues. Pour la communication externe, vous devrez utiliser l’ID de périmètre.

Vous pouvez spécifier le nom que vous souhaitez. Mais vous ne pouvez pas attribuer le même nom à plusieurs périmètres.

Si plus tard, vous souhaitez renouveler votre évaluation TISAX, vous devrez créer un nouveau périmètre (éventuellement identique au périmètre actuel). Par conséquent, nous recommandons d’ajouter l’année de l’évaluation au nom du périmètre.

Nous recommandons de nommer les périmètres sur la base du modèle suivant :

Modèle :

[Référence géographique ou fonctionnelle] [Année de l’évaluation]

Exemples :

pour l’entreprise fictive « ACME »

  • 2024
    (sans référence géographique si votre entreprise n’a qu’un site)

  • Francfort 2024
    (pour un périmètre comportant plusieurs sites dans la ville allemande de Francfort)

  • Basse-Saxe 2024
    (pour un périmètre dont tous les sites se trouvent dans le land allemand de Basse-Saxe)

  • Allemagne 2024
    (pour un périmètre dont tous les sites se trouvent dans la République d’Allemagne)

  • EMEA 2024
    (pour un périmètre dont tous les sites se trouvent dans la région EMEA (« Europe, Moyen-Orient, Afrique »))

  • Développement de prototypes 2024
    (référence fonctionnelle pour un périmètre dont tous les sites sont impliqués dans le développement de prototypes)

4.3.2.7. Contacts

Pour communiquer avec vous, nous collectons des informations sur les contacts au sein de votre entreprise.

Nous vous demandons de désigner pour votre entreprise au moins un contact en tant que participant TISAX en général et un autre pour chaque périmètre d’évaluation. Vous pouvez désigner des contacts supplémentaires.

Durant les préparations à votre inscription, vous devez décider qui sera un contact dans votre entreprise.

Nous vous demandons de fournir les données de contact suivantes :

Tableau 2. Données de contact
Données de contact Obligatoire ? Exemple

1.

Titres

Oui

Mme, M.

2.

Grade universitaire

Dr, Ph.D., autre

3.

Prénom

Oui

Jean

4.

Nom

Oui

Dupont

5.

Intitulé de la fonction

Oui

Directeur de l’informatique

6.

Département

Oui

Technologie de l’information

7.

Numéro de téléphone principal

Oui

+49 69 986692777

8.

Numéro de téléphone secondaire

9.

Adresse e-mail

Oui

jean.dupont@acme.com

10.

Langue de préférence

Oui

Anglais (défaut)

11.

Autres langues

Allemand, français

12.

Identifiant d’adresse personnelle

HPC 1234

13.

Adresse postale

Oui

Bockenheimer Landstraße 97-99

14.

Code postal

Oui

60325

15.

Ville

Oui

Francfort

16.

Land/province

17.

Pays

Oui

Allemagne

Important

Remarque importante :
 
Nous recommandons de désigner au moins un suppléant pour chaque contact. Si un contact est provisoirement indisponible ou quitte l’entreprise, quelqu’un d’autre peut gérer les données de participant de votre entreprise.
Si vous devez désigner un nouveau contact (alors qu’il ne reste plus d’autres contacts valides), vous devez suivre un processus complexe. Notre processus garantit que seules les personnes qui sont capables de prouver qu’elles sont autorisées à représenter légalement l’entreprise peuvent approuver la désignation d’un nouveau contact principal.

4.3.2.8. Publication et partage

L’objectif principal de TISAX est de publier le résultat de votre évaluation pour d’autres participants TISAX et de le partager avec votre/vos partenaire(s).

Vous pouvez décider de la publication et du partage du résultat de votre évaluation durant le processus d’inscription ou plus tard, à n’importe quel moment.

Si vous vous soumettez au processus TISAX de manière préventive, vous pouvez déjà décider de publier le résultat de votre évaluation pour la communauté des participants TISAX. Autrement, il n’y a rien d’autre à préparer à ce stade.

Si votre partenaire vous a demandé de vous soumettre au processus TISAX, vous devrez tôt ou tard partager le résultat de votre évaluation. Vous pouvez déjà partager des informations de statut avec votre partenaire au cours de l’inscription. Une fois que le résultat de votre évaluation sera disponible, votre partenaire sera automatiquement autorisé à y accéder[6].

Vous avez besoin de deux éléments pour partager des informations de statut :

  1. L’ID de participant TISAX de votre partenaire

    L’ID de participant TISAX identifie votre partenaire en tant que participant TISAX.

    Normalement, votre partenaire doit vous fournir son ID de participant TISAX.

    Pour vous simplifier la tâche, notre formulaire d’inscription comprend une liste déroulante des ID de participant de certaines entreprises qui reçoivent fréquemment des résultats partagés d’évaluation.[7]

  2. Le niveau de partage requis

    Le niveau de partage définit le niveau d’accès au résultat de votre évaluation octroyé à votre partenaire.

    Soit votre partenaire demande un niveau de partage particulier, soit vous décidez jusqu’à quel niveau vous souhaitez donner accès à votre partenaire au résultat de votre évaluation.

    Pour de plus amples informations sur les niveaux de partage, veuillez consulter la Section 6.5, “Niveaux de partage”.

Assurez-vous donc de disposer de ces informations.

Remarque

Remarque :

  • Vous pouvez toujours décider de publier ultérieurement le résultat de votre évaluation.

  • Vous pouvez toujours créer ultérieurement une autorisation de partage pour votre partenaire.

Important

Remarque importante :

Si vous ne publiez pas le résultat de votre évaluation ou ne le partagez pas, personne ne pourra le voir.

Important

Remarque importante :

Vous ne pouvez pas annuler la publication ou le partage.

Pour plus de détails, veuillez consulter la