Réalisez le processus d’évaluation TISAX et partagez le résultat d’évaluation avec votre partenaire

Publié par

ENX Association
une association conforme à la loi française de 1901,
enregistrée sous le numéro w923004198 auprès de la sous-préfecture de Boulogne-Billancourt, France

Adresses
20 rue Barthélémy Danjou, 92100 Boulogne-Billancourt, France
Bockenheimer Landstraße 97-99, 60325 Francfort-sur-le-Main, Allemagne

Auteur

Florian Gleich

Contact

tisax@enx.com
+49 69 9866927-77

Version

Date :

06/01/2021

Version :

2.3 beta

Classification :

Public

ID doc ENX :

602-FR

Avis de droit d’auteur

Tous droits réservés par ENX Association.
ENX, TISAX et leurs logos respectifs sont des marques déposées d’ENX Association.
Les marques de tiers mentionnées sont la propriété de leurs détenteurs respectifs.

1. Aperçu

1.1. Objectif

Bienvenue sur TISAX (Trusted Information Security Assessment Exchange).

L’un de vos partenaires vous a demandé d’attester que votre gestion de la sécurité de l’information respecte un niveau particulier d’exigence, comme prévu par « l’évaluation de sécurité de l’information de la VDA[1] (ISA) ». Et à présent, vous souhaitez savoir comment répondre à cette demande.

L’objectif du présent manuel est de vous permettre de satisfaire la demande de votre partenaire — ou d’avoir une longueur d’avance en anticipant la démarche avant qu’un partenaire ne vous invite à l’effectuer.

Le présent manuel décrit les étapes que vous devez mettre en œuvre pour passer l’évaluation TISAX et pour en partager le résultat avec votre partenaire.

L’établissement et le maintien d’un système de gestion de la sécurité de l’information (ISMS) constituent déjà des missions complexes. Prouver à votre partenaire que votre gestion de la sécurité de l’information est à la hauteur ajoute encore plus de complexité. Le présent manuel ne vous aidera pas à gérer la sécurité de vos informations. Toutefois, il vous permet de démontrer le plus simplement possible à votre partenaire les efforts mis en œuvre dans ce contexte.

1.2. Champ d’application

Le présent manuel s’applique à tous les processus TISAX auxquels vous pouvez participer.

Il contient tout ce que vous avez besoin de savoir pour mener à bien le processus TISAX.

Le manuel prodigue des conseils sur la manière de traiter les exigences en matière de sécurité de l’information qui représentent le fondement de l’évaluation. Mais il n’a pas pour objectif de vous offrir une formation générale sur ce que vous devez faire pour passer l’évaluation de sécurité de l’information.

1.3. Public

Les entreprises qui ont besoin ou souhaitent prouver un certain niveau de gestion de sécurité de l’information, conformément aux exigences de « l’évaluation de sécurité de l’information de la VDA » (ISA), constituent le principal public auquel s’adresse le présent manuel.

Dès que vous serez activement impliqué dans les processus TISAX, vous pourrez profiter des informations fournies dans le présent manuel.

Les entreprises qui demandent à leurs fournisseurs de prouver certains niveaux de gestion de la sécurité de l’information en tireront profit également. Le présent manuel leur permet de comprendre ce que leurs fournisseurs sont tenus de faire pour répondre à leur demande.

1.4. Structure

Nous commencerons par une brève introduction à TISAX, puis nous passerons immédiatement aux instructions décrivant COMMENT entreprendre les diverses démarches. Vous trouverez tout ce dont vous avez besoin pour mener à bien le processus — dans l’ordre correspondant aux diverses étapes à suivre.

Le temps de lecture estimé du document est de 75 à 90 minutes.

1.5. Comment utiliser le présent document

Tôt ou tard, vous vous intéresserez probablement à la plupart des informations décrites dans le présent document. Pour être correctement préparé, nous vous recommandons de lire l’intégralité du manuel.

Nous avons organisé le manuel sur la base de trois étapes principales du processus TISAX, de manière à ce que vous puissiez aller à la section dont vous avez besoin et lire le reste plus tard.

Le manuel utilise des illustrations pour faciliter la compréhension. Les couleurs des illustrations ont souvent une signification supplémentaire. Par conséquent, nous vous recommandons de lire le document sur un écran d’ordinateur ou sur une version papier en couleur.

Nous serions heureux de recevoir vos commentaires. Si vous pensez qu’il manque certaines informations dans le présent manuel ou qu’il n’est pas facile à comprendre, n’hésitez pas à nous en informer. Tous les futurs lecteurs du manuel et nous-mêmes vous serons reconnaissants du retour que vous nous donnerez.

Si vous avez déjà utilisé une version antérieure du manuel du participant TISAX, vous pourrez trouver quelques précieuses remarques à la fin du document à la Section 8, “Historique du document”.

1.6. Nous contacter

Nous sommes là pour vous guider tout au long du processus TISAX et pour répondre à toute question que vous pourriez avoir.

Envoyez-nous un e-mail à :

tisax@enx.com

Ou appelez-nous au numéro :

+49 69 9866927-77

Vous pouvez nous joindre durant les heures ouvrables normales en Allemagne (UTC+01:00).

Nous parlons tous Icône du drapeau du Royaume-Uni l’anglais et Icône du drapeau de l’Allemagne l’allemand. Deux de nos collègues sont de langue maternelle Icône du drapeau de l’Italie italienne.

1.7. Le manuel du participant TISAX dans d’autres langues et formats

Le manuel du participant TISAX est disponible dans les autres langues et formats suivants :

Langue Version Format Lien Taille

Icône du drapeau du Royaume-Uni Anglais

2.4

En ligne

https://www.enx.com/handbook/tisax-participant-handbook.html

n/a

Hors ligne

https://www.enx.com/handbook/tisax-participant-handbook-offline.html

6.4 MB

PDF

https://www.enx.com/handbook/TISAX%20Participant%20Handbook.pdf

6.4 MB

Icône du drapeau de l’Allemagne Allemand

2.4

En ligne

https://www.enx.com/handbook/tisax-teilnehmerhandbuch.html

n/a

Hors ligne

https://www.enx.com/handbook/tisax-teilnehmerhandbuch-offline.html

6,4 MB

PDF

https://www.enx.com/handbook/TISAX-Teilnehmerhandbuch.pdf

5,0 MB

Icône du drapeau de la France Français

2.3 beta

En ligne

https://www.enx.com/handbook/tph-fr.html

n/a

Hors ligne

https://www.enx.com/handbook/tph-fr-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-fr.pdf

7,0 MB

Icône du drapeau de la Chine Chinois

2.3 beta

En ligne

https://www.enx.com/handbook/tph-cn.html

n/a

Hors ligne

https://www.enx.com/handbook/tph-cn-offline.html

7,0 MB

PDF

https://www.enx.com/handbook/tph-cn.pdf

7,0 MB

Icône d’avertissement important

Remarque importante :

La version anglaise est la version principale.
Les versions disponibles dans toutes les autres langues sont des traductions de la version anglaise.
En cas de doute, la version anglaise fait autorité.

1.7.1. À propos de la version française

Le présent manuel du participant TISAX est une traduction de la version anglaise.

Tous les documents de base de TISAX ont été rédigés en anglais (p. ex. : tous les contrats et exigences pour les auditeurs TISAX). Par conséquent, votre partenaire ou votre auditeur peut utiliser certains termes spécifiques à TISAX en anglais.

Pour vous permettre d’établir une correspondance entre les termes d’une langue à l’autre, nous avons conservé le terme TISAX original en anglais dans la traduction française du manuel du participant TISAX ou l’avons mentionné entre parenthèses directement après la traduction française.

1.7.2. À propos du format en ligne

Chaque section a un identifiant unique (format : ID1234).
Un ID fait référence à une section spécifique, indépendamment de la langue.
Si vous souhaitez accéder à une section spécifique, vous pouvez :

  • cliquer droit sur le titre de la section et copier le lien, ou

  • cliquer sur le titre de la section et copier le lien à partir de la barre d’adresse de votre navigateur.

La plupart des illustrations sont disponibles dans une taille supérieure à celle affichée ici par défaut. Cliquez sur l’illustration pour accéder à sa version de taille supérieure.

1.7.3. À propos du format hors ligne

Le format hors ligne contient la plupart des éléments du format en ligne. Notez en particulier que les illustrations sont intégrées dans le fichier HTML. Vous n’avez besoin que d’un fichier pour utiliser le format hors ligne.

Par rapport au format en ligne, le format hors ligne ne contient pas :

  • les images de taille supérieure

  • les polices originales du format en ligne
    Les polices sont définies selon les réglages par défaut de votre navigateur.

1.7.4. À propos du format PDF

Le format PDF se base sur le format en ligne. En principe, nous utilisons un navigateur pour sauver le format en ligne en PDF.

Si vous utilisez le format PDF sur votre ordinateur, vous pouvez toujours cliquer sur l’ensemble des références. Mais si vous imprimez la version PDF, vous ne retrouverez pas certains éléments tels que la numérotation des pages, et vous devrez rechercher les références vous-même.

2. Introduction

Les sections suivantes présentent le concept TISAX.

Si vous êtes pressé, vous pouvez les passer et commencer directement à la Section 4.3, “Préparation de l’inscription”.

2.1. Pourquoi TISAX ?

Ou en d’autres termes, que faites-vous ici ?

Pour répondre à cette question, nous commencerons par quelques réflexions sur la pratique commerciale en général et sur la protection des informations en particulier.

Vous avez un partenaire. Il détient des informations confidentielles et souhaite les partager avec son fournisseur — vous. La coopération entre votre partenaire et vous-même crée de la valeur. Les informations que votre partenaire partage avec vous constituent une part importante de cette création de valeur. Par conséquent, il souhaite les protéger de manière appropriée. Et il veut être certain que vous traitez ses informations avec le même soin.

Mais comment peut-il être sûr que ses informations sont entre de bonnes mains ? Il ne peut pas se contenter de vous « croire ». Votre partenaire a besoin de voir certaines preuves.

Deux questions se posent dans ce contexte. Qui définit la notion de traitement « sécurisé » de l’information ? Et deuxièmement, comment en apportez-vous la preuve ?

2.2. Qui définit la notion de « sécurisé » ?

Votre partenaire et vous-même n’êtes pas les seuls à être confrontés à ces questions pour la première fois. Chacun ou presque doit y répondre et la plupart des réponses présenteront des points communs.

Ainsi, standardiser la démarche permet d’éviter de devoir créer une solution au cas par cas pour un problème récurrent et de démarrer systématiquement d’une feuille blanche. Créer une norme représente un travail considérable, mais une fois cette norme définie, tous ceux qui la suivent pourront en profiter à chaque fois.

Il existe certainement différents points de vue concernant la démarche adéquate à adopter pour protéger les informations. Mais en raison des avantages susmentionnés, la plupart des entreprises misent sur l’approche normative. Une norme est la forme condensée de toutes les bonnes pratiques prouvées et éprouvées pour une problématique particulière.

Dans votre cas, des normes telles que la norme ISO/IEC 27001 (concernant les systèmes de gestion de la sécurité de l’information, ou ISMS) et leur mise en œuvre déterminent comment traiter les informations confidentielles de manière sécurisée et dans les règles de l’art. Une norme telle que celle-là vous évite de devoir réinventer la roue à chaque fois. Mais plus important encore, les normes fournissent une base commune à deux entreprises qui doivent échanger des données confidentielles.

2.3. Dans le secteur automobile

Par nature, les normes indépendantes d’un secteur particulier sont conçues comme des solutions universelles et ne sont pas adaptées aux besoins spécifiques des sociétés automobiles.

Il y a longtemps, des associations ont vu le jour dans l’industrie automobile pour — entre autres — affiner et définir des normes adaptées aux besoins plus spécifiques du secteur. La « Verband der Automobilindustrie » (VDA) est l’une de ces associations. Dans le groupe de travail qui traite de la sécurité de l’information, plusieurs membres de l’industrie automobile sont arrivés à la conclusion qu’ils avaient des besoins similaires auxquels il conviendrait d’adapter les normes existantes en matière de gestion de la sécurité de l’information.

Leurs efforts conjoints ont donné lieu à la création d’un questionnaire qui couvre les exigences relatives à la sécurité de l’information largement reconnues dans l’industrie automobile. Il s’intitule « Évaluation de la sécurité de l’information VDA » (VDA Information Security Assessment) ou « ISA ».

Grâce à l’ISA, nous disposons désormais d’une réponse à la question « Qui définit la notion de ‘sécurisé’ ? ». Par l’intermédiaire de la VDA, l’industrie automobile elle-même offre cette réponse à ses membres.

2.4. Comment prouver efficacement la sécurité ?

Si certaines entreprises recourent à l’ISA en interne uniquement, d’autres l’emploient pour évaluer la maturité de la gestion de la sécurité de l’information chez leurs fournisseurs. Dans certains cas, une auto-évaluation suffit dans le cadre de la relation commerciale. Toutefois, dans d’autres cas, les entreprises évaluent dans son intégralité la gestion de la sécurité de l’information de leur fournisseur (y compris par des audits sur site).

À l’heure où nous sommes tous de plus en plus sensibles à la nécessité de gérer la sécurité de l’information et où l’ISA est adoptée par un nombre croissant d’entreprises pour effectuer des évaluations dans ce cadre, les fournisseurs sont plus nombreux à faire face à des demandes similaires de la part de différents partenaires.

Ces partenaires continuaient d’appliquer des normes variées et avaient des opinions divergentes sur leur interprétation. Et si les fournisseurs devaient pour l’essentiel attester des mêmes choses, les démarches adoptées étaient différentes.

Plus les fournisseurs étaient invités par leurs partenaires à prouver leur niveau de gestion de la sécurité de l’information, plus ils se plaignaient des efforts répétés à fournir. Il est tout simplement contre-productif de devoir démontrer, audit après audit, les mêmes mesures de gestion de la sécurité de l’information.

Que faire pour rendre la démarche plus efficace ? Pourrait-on imaginer de réutiliser le rapport d’un auditeur pour plusieurs partenaires ?

Les fabricants d’équipements d’origine et les fournisseurs dans le groupe de travail VDA responsable du maintien de l’ISA ont été attentifs aux plaintes de leurs fournisseurs. À présent, ils offrent à ces derniers ainsi qu’à l’ensemble des autres entreprises actives dans l’industrie automobile une réponse à la question « Comment prouver la sécurité? ».

La réponse est TISAX, l’acronyme de “Trusted Information Security Assessment Exchange” (Icône du drapeau de la France Échange fiable concernant l’évaluation de la sécurité de l’information).

3. Le processus TISAX

3.1. Aperçu

Généralement,[2] le processus TISAX débute après que l’un de vos partenaires vous a demandé de démontrer un certain niveau de gestion de la sécurité de l’information, conformément aux exigences de la « VDA Information Security Assessment » (ISA). Pour répondre à cette demande, vous devez compléter les trois étapes du processus TISAX. La présente section vous donne un aperçu des étapes à suivre.

Le processus TISAX comprend les trois étapes suivantes :

Aperçu du processus TISAX
Illustration 1. Aperçu du processus TISAX
img callout black 01

Étape 1
Inscription

img callout black 02

Étape 2
Évaluation

img callout black 03

Étape 3
Échange

  1. Inscription
    Nous collectons des informations sur votre entreprise et sur les besoins à intégrer à l’évaluation.

  2. Évaluation
    Vous vous soumettez à une ou plusieurs évaluations menées par l’un de nos auditeurs TISAX.

  3. Échange
    Vous partagez le résultat de votre évaluation avec votre partenaire.

Chaque étape est subdivisée en sous-étapes. Celles-ci sont exposées dans les trois sections ci-dessous et décrites en détail plus loin, dans les sections correspondantes.

Icône d’avertissement informatif

Remarque :

Nous voudrions pouvoir vous préciser le temps nécessaire à l’obtention du résultat de votre évaluation TISAX, mais ne sommes pas en mesure de vous donner un chiffre précis et fiable. La durée totale du processus TISAX dépend de trop nombreux facteurs. La grande diversité des tailles d’entreprise et des objectifs d’évaluation, sans compter la maturité d’un système de gestion de la sécurité de l’information, rendent impossible la fourniture d’une indication précise sur le temps nécessaire à l’évaluation.

Toutefois, TISAX estime à neuf mois la durée maximale nécessaire à l’évaluation TISAX dans son intégralité.

3.2. Inscription

Votre première étape est l’inscription TISAX.

L’objectif principal de l’inscription TISAX est de collecter des informations sur votre entreprise. Nous utilisons un processus d’inscription en ligne pour vous aider à nous fournir ces informations.

Elle est la condition préalable à toutes les étapes ultérieures. Un droit d’inscription vous est demandé.

Au cours du processus d’inscription en ligne :

  • Nous vous demandons vos coordonnées et des informations de facturation.

  • Vous devez accepter nos conditions générales.

  • Vous pouvez définir le champ d’application de votre évaluation de sécurité de l’information.

Pour entamer directement cette étape, veuillez vous référer à la Section 4, “Inscription (étape 1)”.

Le processus d’inscription en ligne est décrit en détail à la Section 4.5, “Processus d’inscription en ligne”. Mais si vous souhaitez commencer immédiatement, veuillez vous rendre sur le Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/.

3.3. Évaluation

L’évaluation de sécurité de l’information constitue votre deuxième étape.

Elle se subdivise en quatre sous-étapes :

  1. Préparation de l’évaluation
    Vous devez préparer l’évaluation. L’ampleur de la préparation dépend du niveau de maturité actuel de votre système de gestion de la sécurité de l’information. Votre préparation doit se fonder sur le catalogue ISA.

  2. Sélection de l’auditeur
    Une fois que vous êtes prêt pour l’évaluation, vous devez choisir l’un de nos auditeurs TISAX.

  3. Évaluation(s) de la sécurité de l’information
    Votre auditeur mènera l’évaluation sur la base d’un champ d’application d’évaluation correspondant aux exigences de votre partenaire. Le processus d’évaluation comprendra au moins l’audit initial.
    Si votre entreprise ne passe pas immédiatement l’évaluation, le processus d’évaluation peut nécessiter des étapes supplémentaires.

  4. Résultat de l’évaluation
    Une fois que votre entreprise aura passé l’évaluation, votre auditeur vous fournira le rapport officiel TISAX. Le résultat de votre évaluation vous permettra également d’obtenir des labels TISAX[3].

Pour de plus amples informations sur cette étape, veuillez consulter la Section 5, “Évaluation (étape 2)”.

3.4. Échange

Votre troisième et dernière étape consiste à partager le résultat de votre évaluation avec votre partenaire. Le contenu du rapport TISAX est organisé en niveaux. Vous pouvez déterminer le niveau maximum auquel votre partenaire aura accès.

Le résultat de votre évaluation est valable trois ans. En admettant que vous soyez toujours un fournisseur de votre partenaire à ce moment-là, vous devrez à nouveau suivre le processus en trois étapes[4].

Pour de plus amples informations sur cette étape, veuillez consulter la Section 6, “Échange (étape 3)”.


Maintenant que vous avez une idée générale du processus TISAX, vous trouverez dans les prochaines sections des instructions sur la manière de mener à bien chaque étape.

4. Inscription (étape 1)

Le temps de lecture estimé de la section consacrée à l’inscription est de 30 - 40 minutes.

4.1. Aperçu

L’inscription TISAX est votre première étape. Elle est la condition préalable à toutes les étapes ultérieures.

Les sections suivantes vous guideront tout au long du processus d’inscription.

  1. Nous commencerons par expliquer un nouveau terme essentiel..

  2. Ensuite, nous vous donnerons des conseils pour vous aider à vous préparer pour le processus d’inscription en ligne.

  3. Nous vous guiderons alors tout au long du processus d’inscription en ligne.

4.2. Vous êtes un participant TISAX

Permettez-nous d’abord de présenter un nouveau terme indispensable à comprendre. Jusqu’à présent, vous étiez un « fournisseur ». Vous êtes ici pour répondre à une exigence de votre « client ». Toutefois, TISAX elle-même ne fait pas vraiment de distinction entre ces deux rôles. Pour TISAX, chaque partie inscrite est un « participant ». Vous — tout comme votre partenaire — « participez » à l’échange des résultats d’évaluation de la sécurité de l’information.

Inscription pour devenir un participant TISAX
Illustration 2. Inscription pour devenir un participant TISAX
img callout black 01

Votre entreprise

img callout black 02

Inscription TISAX

img callout black 03

Participant TISAX

Pour distinguer d’emblée les deux rôles, nous vous désignons, en tant que fournisseur, « participant actif ». Nous désignons votre partenaire « participant passif ». En tant que « participant actif », vous passez l’évaluation TISAX et partagez le résultat de votre évaluation avec d’autres participants. Le « participant passif » est celui qui a demandé que vous passiez l’évaluation TISAX. Le « participant passif » reçoit le résultat de votre évaluation.

Participant passif et participant actif
Illustration 3. Participant passif et participant actif
img callout black 01

1 Demande l’évaluation du

img callout black 02

Participant passif

img callout black 03

Participant actif

img callout black 04

2 Passe l’évaluation TISAX

img callout black 05

3 Partage le résultat avec

Toute entreprise peut revêtir les deux rôles. Vous pouvez partager un résultat d’évaluation avec votre partenaire, et demander simultanément à vos propres fournisseurs de passer l’évaluation TISAX.

Les participants TISAX peuvent être simultanément participants actifs et passifs
Illustration 4. Les participants TISAX peuvent être simultanément participants actifs et passifs
img callout black 01

Votre client
= passif

img callout black 02

Vous partagez avec le client

img callout black 03

Participant actif

img callout black 04

Vous

img callout black 05

Participant passif

img callout black 06

Partage avec vous

img callout black 07

Votre propre fournisseur
= actif

Le fait de demander à vos propres fournisseurs de passer l’évaluation TISAX peut même être particulièrement conseillé s’ils traitent eux aussi des informations confidentielles de votre partenaire.

4.3. Préparation de l’inscription

Dans la présente section, nous vous donnons des recommandations sur la manière de vous préparer à l’inscription. Nous décrivons le processus d’inscription en tant que tel en détail à la Section 4.5, “Processus d’inscription en ligne”.

Avant d’entamer le processus d’inscription en ligne, nous vous recommandons vivement :

  • de collecter des informations à l’avance

  • et de prendre certaines décisions.

4.3.1. Le fondement juridique

Généralement, vous devez signer deux contrats. Le premier contrat est conclu entre vous et ENX Association : les « Conditions générales de participation TISAX » (TISAX Participation General Terms and Conditions) ou « CG du participant TISAX » (TISAX Participant GTCs). Le second contrat est conclu entre l’un de nos auditeurs TISAX et vous. Pour l’inscription, nous ne vérifierons que le premier contrat.

Les CG du participant TISAX régissent nos relations mutuelles et vos relations avec d’autres participants TISAX. Elles déterminent nos droits et obligations à tous. Outre les clauses habituelles que vous trouvez dans la plupart des contrats, elles définissent le traitement des informations échangées et obtenues durant le processus TISAX. Un objectif majeur de ces règles est de respecter la confidentialité des résultats de l’évaluation TISAX. Comme tous les participants TISAX sont soumis aux mêmes règles, vous pouvez attendre de votre partenaire (en sa qualité de participant passif) qu’il protège adéquatement le résultat de votre évaluation TISAX.

Assez rapidement dans le processus d’inscription en ligne, nous vous demanderons d’accepter les CG du participant TISAX. Comme il s’agit d’un vrai contrat, nous vous recommandons de lire les CG du participant TISAX avant d’entamer le processus d’inscription en ligne. L’une des raisons en est que, selon votre rôle dans l’entreprise, il se peut que vous deviez obtenir une autorisation d’un juriste interne ou externe.

Vous pouvez télécharger les « Conditions générales de participation TISAX »[5] sur notre site Web à l’adresse :
Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/downloads/

Téléchargement direct du PDF :
Icône du drapeau du Royaume-Uni enx.com/tisaxgtcen.pdf

Au cours du processus d’inscription en ligne, nous vous demanderons de cocher deux cases obligatoires :

  • ❏ We accept the TISAX Participation General Terms and Conditions
    Icône du drapeau de la France Nous acceptons les conditions générales de participation TISAX ;

  • ❏ We confirm knowledge of Applicant’s release of Audit Providers’ professional duties of secrecy acc. to Sec. IX.5. and X.3 of the TISAX Participation General Terms and Conditions;
    Icône du drapeau de la France Nous confirmons avoir connaissance du fait que le demandeur est libéré du secret professionnel imposé aux auditeurs conformément aux sections IX.5 et X.3 des Conditions générales de participation TISAX.

Nous avons ajouté la seconde case à cocher, car certains de nos auditeurs TISAX sont des experts-comptables agréés. Ils sont tenus à des exigences particulières en matière de secret professionnel. Peut-être souhaiterez-vous consulter ces clauses avant de cocher la case en question.

Si vous exigez habituellement un accord de confidentialité entre vous et toute partie qui traite des informations confidentielles, veuillez examiner les sections correspondantes de nos CG. Elles devraient répondre à toutes vos interrogations.

Pour conclure la section juridique, notez que le système implique l’acceptation des mêmes règles par l’ensemble des participants. Par conséquent, nous ne pouvons accepter de conditions générales supplémentaires[6].

4.3.2. Le champ d’application de l’évaluation TISAX

Durant la deuxième étape du processus TISAX, l’un de nos auditeurs TISAX procédera à l’évaluation de la sécurité de l’information. Il doit savoir par où commencer et où s’arrêter. C’est pourquoi vous devez définir un « champ d’application de l’évaluation ».

Le « champ d’application de l’évaluation » décrit l’étendue de l’évaluation de sécurité de l’information. En termes simples, chaque partie de votre entreprise qui traite des informations confidentielles de votre partenaire est intégrée dans le champ d’application de l’évaluation. Vous pouvez considérer qu’il s’agit d’un élément majeur de la description de tâche de l’auditeur. Il dicte ce que l’auditeur doit évaluer.

Le champ d’application de l’évaluation est important pour deux raisons :

  1. Un résultat d’évaluation ne répondra à l’exigence de votre partenaire que si le champ d’application correspondant de l’évaluation couvre toutes les parties de votre entreprise qui traitent les informations de ce partenaire.

  2. Un champ d’application défini avec précision est une condition préalable essentielle à des calculs de coûts pertinents de la part de nos auditeurs TISAX.

Icône d’avertissement important

Remarque importante :

Si votre entreprise est certifiée ISO/IEC 27001 : la définition du « champ d’application de l’évaluation TISAX » et la définition du champ d’application requise pour la certification ISO/IEC 27001 sont similaires. La différence réside dans le fait que chez TISAX, le champ d’application est prédéfini.

4.3.2.1. Description du champ d’application

La description du champ d’application définit l’étendue de l’évaluation. Concernant la description du champ d’application, vous devez choisir l’un des deux types de champs suivants :

  1. Standard scope (Icône du drapeau de la France champ d’application standard)

  2. Custom scope (Icône du drapeau de la France champ d’application adapté)

    1. Extended scope (Icône du drapeau de la France champ d’application élargi)

    2. Narrowed scope (Icône du drapeau de la France champ d’application limité)

4.3.2.2. Champ d’application standard

La description du champ d’application standard est la base de l’évaluation TISAX. D’autres participants TISAX n’acceptent les résultats d’évaluation que s’ils sont basés sur la description du champ d’application standard.

La description du champ d’application standard est prédéfinie et vous ne pouvez pas la modifier. Si vous souhaitez utiliser une description de champ d’application adapté, vous pouvez choisir d’élargir ou de limiter le champ d’application de votre évaluation.

L’un des principaux avantages d’un champ d’application standard est qu’il permet d’éviter de devoir fournir votre propre définition.

Ceci est une description de champ d’application standard[7] :

Icône du drapeau du Royaume-Uni

Icône du drapeau de la France

The standard scope comprises all processes and involved resources at the sites defined below that are subject to security requirements from partners in the automotive industry. Involved processes and resources include collection of information, storage of information and processing of information.

Examples for involved resources: Work equipment, employees, IT systems including cloud services such as infrastructure/ platform/software as a service, physical sites, relevant contractors

Examples for sites: Office sites, development sites, production sites, data centres
Le champ d’application standard comprend l’ensemble des processus et ressources impliqués sur les sites définis ci-dessous qui sont soumis aux exigences de sécurité des partenaires dans l’industrie automobile. Les processus et ressources impliqués incluent la collecte, le stockage et le traitement des informations.

Exemples de ressources impliquées : les équipements de travail, les salariés, les systèmes informatiques, y compris les services de cloud tels que les infrastructures/plateformes/software as a service, les sites physiques, les sous-traitants concernés

Exemples de sites : sites de bureau, sites de développement, sites de production, centres de données

Nous recommandons vivement de choisir le champ d’application standard. Tous les participants TISAX acceptent les résultats d’évaluation de la sécurité de l’information qui se fondent sur un champ d’application standard.

4.3.2.3. Détermination du champ d’application

Votre prochaine étape après la définition du type de champ d’application consiste à décider quels sites appartiennent au champ d’application de l’évaluation.

Si votre entreprise est petite (un seul site), la tâche est simple. Il vous suffit d’ajouter votre site au champ d’application de l’évaluation.

Si votre entreprise est grande, nous vous recommandons d’enregistrer plus d’un champ d’application pour l’évaluation.

Le fait d’avoir un seul champ d’application englobant tous les sites présente certains avantages :

  • Vous disposez d’un seul rapport d’évaluation, d’un seul résultat d’évaluation et d’une seule date d’expiration.

  • Vous pouvez bénéficier d’une réduction des coûts pour l’évaluation, dans la mesure où un auditeur TISAX unique doit évaluer une seule fois vos ressources, procédures et processus centraux.

Mais un seul champ d’application a aussi ses inconvénients, notamment :

  • Le résultat de l’évaluation n’est disponible qu’une fois que l’auditeur TISAX a évalué l’ensemble des sites. Cela peut avoir de l’importance si vous avez besoin rapidement d’un résultat d’évaluation.

  • Le résultat de l’évaluation dépend de tous les sites qui passent l’évaluation. Si un seul site échoue, vous n’obtiendrez pas de résultat positif pour votre évaluation.[8]

4.3.2.4. Adaptation du champ d’application

Vous seul pouvez répondre à la question de savoir si vous avez un ou plusieurs champs d’application. Pour vous aider à prendre votre décision, vous pouvez répondre aux questions dans le diagramme suivant.

Arbre décisionnel d’adaptation du champ d’application
Illustration 5. Arbre décisionnel d’adaptation du champ d’application
img callout black 01

DÉPART
Tous les sites qui auront besoin d’une évaluation à l’avenir

img callout black 02

Étape 1 : avez-vous besoin d’une évaluation pour plus d’un site ?

img callout black 03

Étape 2 : avez-vous assez de temps pour vous préparer à l’évaluation sur tous les sites ?

img callout black 04

Étape 3 : tous les sites partagent-ils un ISMS central (en matière de responsabilités, d’infrastructures, de politiques et de processus) ?

img callout black 05

Étape 4 : tous les sites partagent-ils le même objectif d’évaluation (à savoir la protection des véhicules prototypes ou des informations présentant des besoins de protection très importants) ?

img callout black 06

Fin : enregistrez le champ d’application de l’évaluation
Le champ d’application de l’évaluation que vous avez enregistré doit comporter le(s) site(s) restant(s).

img callout black 07

Distinguez les sites les uns des autres.
Recommencez avec chaque groupe de sites.

img callout black 08

Non

img callout black 09

Oui

Icône d’avertissement informatif

Remarque :

Cette décision ne doit pas vous déconcerter. Vous pouvez modifier n’importe quel champ d’application tant que l’auditeur n’a pas terminé l’évaluation.

Par exemple, au cours de la préparation à votre évaluation, vous pouvez estimer que votre champ d’application n’est pas adapté — et le modifier en conséquence. Ou votre auditeur peut recommander de modifier le champ d’application au cours des premières étapes de l’évaluation.

Remarque : tout ajout au champ d’application augmente le prix à payer, et vous ne serez pas remboursé si vous retirez des sites du champ d’application.

4.3.2.5. Sites du champ d’application

Maintenant que vous avez décidé des sites à intégrer dans le champ d’application de votre évaluation, vous pouvez poursuivre en collectant certaines informations spécifiques aux sites.

Pour chaque site, nous sollicitons des informations telles que le nom et l’adresse de l’entreprise. Nous demandons aussi d’autres informations permettant à nos auditeurs TISAX de se faire une meilleure idée de la structure de votre entreprise. Vos réponses serviront de base à l’estimation du travail qu’ils auront à fournir.

Veuillez vous préparer à communiquer les renseignements suivants pour chacun de vos sites (l’astérisque rouge * indique les informations obligatoires dans le processus en ligne) :

Tableau 1. Renseignements propres au site
Domaine Options

Nom du site *

n/a

NUMÉRO D-U-N-S de D&B

n/a

Type de site *

Immeuble(s) détenu(s) et utilisé(s) exclusivement par l’entreprise
Immeuble(s) loué(s) par l’entreprise
Étage/bureaux loués par l’entreprise dans un immeuble partagé
Bureaux partagés avec d’autres entreprises
Propre centre de données
Centre de données partagé

Protection passive du site *

Oui
Non

Secteur
(Plusieurs sélections possibles)

Technologie de l’information

  • ❏ Services informatiques

  • ❏ Services de télécommunication

  • ❏ Développement logiciel

Direction

  • ❏ Conseil

Médias

  • ❏ Marketing

  • ❏ Agence

  • ❏ Services d’impression

  • ❏ Photographie

  • ❏ Services de traduction

Recherche et développement

  • ❏ Tests de véhicules

  • ❏ Simulations de véhicules

  • ❏ Construction de prototypes

  • ❏ Modèles de voitures miniatures

  • ❏ Services de développement

  • ❏ Services de développement CAx

Production

  • ❏ Services de production

  • ❏ Fabrication contractuelle

  • ❏ Atelier

  • ❏ Logistique

Vente et service après-vente

  • ❏ Importations, NSC

  • ❏ Distribution

  • ❏ Services financiers

  • ❏ Assurance

  • ❏ Règlement des réclamations

Autres secteurs
(veuillez spécifier)

Nombre de salariés sur le site : total *

0
1-10
11-100
101-1 000
1 001-5 000
Plus de 5 000

Nombre de salariés sur le site : IT *

0
1-10
11-25
26-50
Plus de 50

Nombre de salariés sur le site : sécurité informatique *

0
Temps partiel
1-5
6-25
Plus de 25

Nombre de salariés sur le site : sécurité du site *

0
Temps partiel
1-3
4-10
Plus de 10

Certifications pour ce site

ISO 27001
Autre (veuillez spécifier)
ISAE 3402
SOC2

Icône d’avertissement informatif

Remarque :

Concernant le « secteur » : sélectionnez au mieux de vos connaissances. Il n’existe pas de bonne ou de mauvaise réponse parmi les options figurant ci-dessus. Si vous ne trouvez pas d’option qui correspond à votre type d’activité, veuillez simplement spécifier l’option appropriée sous « Autre ».

Pour chaque site, vous devez spécifier un “location name” (Icône du drapeau de la France nom du site). Le nom du site a pour objectif de faire référence plus aisément au site lorsque vous intégrez celui-ci à un champ d’application d’évaluation.

Nous recommandons de nommer les sites sur la base du modèle suivant :

Modèle :

[Référence géographique]

Exemple :

pour l’entreprise fictive « ACME »

  • Francfort
    (pour un site établi dans la ville allemande de Francfort)

4.3.2.6. Nom du champ d’application

Pour chaque champ d’application, vous devez spécifier un “scope name” (Icône du drapeau de la France nom du champ d’application). Le nom du champ d’application a pour objectif de faire référence plus aisément au champ d’application dans toute communication concernant TISAX (p. ex. : avec votre auditeur TISAX).

Vous pouvez spécifier le nom que vous souhaitez. Mais vous ne pouvez pas attribuer le même nom à plusieurs champs d’application.

Si plus tard, vous souhaitez renouveler votre évaluation TISAX, vous devrez créer un nouveau champ d’application (éventuellement identique au champ d’application actuel). Par conséquent, nous recommandons d’ajouter l’année de l’évaluation au nom du champ d’application.

Nous recommandons de nommer les champs d’application sur la base du modèle suivant :

Modèle :

[Référence géographique ou fonctionnelle ] [Année de l’évaluation]

Exemples :

pour l’entreprise fictive « ACME »

  • 2020
    (sans référence géographique si votre entreprise n’a qu’un site)

  • Francfort 2020
    (pour un champ d’application comportant plusieurs sites dans la ville allemande de Francfort)

  • Basse-Saxe 2020
    (pour un champ d’application dont tous les sites se trouvent dans le land allemand de Basse-Saxe)

  • Allemagne 2020
    (pour un champ d’application dont tous les sites se trouvent dans la République d’Allemagne)

  • EMEA 2020
    (pour un champ d’application dont tous les sites se trouvent dans la région EMEA (« Europe, Moyen-Orient, Asie »))

  • Développement de prototypes 2020
    (référence fonctionnelle pour un champ d’application dont tous les sites sont impliqués dans le développement de prototypes)

4.3.2.7. Contacts

Pour communiquer avec vous, nous collectons des informations sur les contacts au sein de votre entreprise.

Nous vous demandons de désigner pour votre entreprise au moins un contact en tant que participant TISAX en général et un autre pour chaque champ d’application de l’évaluation. Vous pouvez désigner des contacts supplémentaires.

Durant les préparations à votre inscription, vous devez décider qui sera un contact dans votre entreprise.

Nous vous demandons de fournir les données de contact suivantes :

Tableau 2. Données de contact
Données de contact Obligatoire ? Exemple

1.

Titre

Oui

Mme, M.

2.

Grade universitaire

Dr, Ph.D., autre

3.

Prénom

Oui

Jean

4.

Nom

Oui

Dupont

5.

Intitulé de la fonction

Oui

Directeur de l’informatique

6.

Département

Oui

Technologie de l’information

7.

Numéro de téléphone principal

Oui

+49 69 986692777

8.

Numéro de téléphone secondaire

9.

Adresse e-mail

Oui

john.doe@acme.com

10.

Langue de préférence

Oui

Anglais (défaut)

11.

Autres langues

Allemand, français

12.

Identifiant d’adresse personnelle

HPC 1234

13.

Adresse postale

Oui

Bockenheimer Landstraße 97-99

14.

Code postal

Oui

60325

15.

Ville

Oui

Francfort

16.

Land/province

17.

Pays

Oui

Allemand

Icône d’avertissement important

Remarque importante :
 
Nous recommandons de désigner au moins un suppléant pour chaque contact. Si un contact est provisoirement indisponible ou quitte l’entreprise, quelqu’un d’autre peut gérer les données de participant de votre entreprise.
Si vous devez désigner un nouveau contact (alors qu’il ne reste plus d’autres contacts valides), vous devez suivre un processus complexe. Notre processus garantit que seules les personnes légalement autorisées à parler au nom de l’entreprise peuvent approuver la désignation d’un nouveau contact principal.

4.3.2.8. Publication et partage

L’objectif principal de TISAX est de publier le résultat de votre évaluation pour d’autres participants TISAX et de le partager avec votre/vos partenaire(s).

Vous pouvez décider de la publication et du partage du résultat de votre évaluation durant le processus d’inscription ou plus tard, à n’importe quel moment.

Si vous vous soumettez au processus TISAX de manière préventive, vous pouvez déjà décider de publier le résultat de votre évaluation pour la communauté des participants TISAX. Autrement, il n’y a rien d’autre à préparer à ce stade.

Si votre partenaire vous a demandé de vous soumettre au processus TISAX, vous devrez tôt ou tard partager le résultat de votre évaluation. Vous pouvez déjà partager des informations de statut avec votre partenaire au cours de l’inscription. Une fois que le résultat de votre évaluation sera disponible, votre partenaire sera automatiquement autorisé à y accéder[9].

Vous avez besoin de deux éléments pour partager des informations de statut :

  1. L’ID de participant TISAX de votre partenaire

    L’ID de participant TISAX identifie votre partenaire en tant que participant TISAX.

    Normalement, votre partenaire doit vous fournir son ID de participant TISAX.

    Pour vous simplifier la tâche, notre formulaire d’inscription comprend une liste déroulante des ID de participant de certaines entreprises qui reçoivent fréquemment des résultats partagés d’évaluation.[10]

    Mais si votre partenaire est un grand fabricant d’équipements d’origine, il arrive que les départements fassent part d’une demande d’évaluation TISAX sans connaître l’ID de participant de leur propre entreprise. Dans ce genre de cas, vous pouvez nous contacter. Nous pouvons vous fournir l’ID de participant de votre partenaire.

  2. Le niveau de partage requis

    Le niveau de partage définit le niveau d’accès au résultat de votre évaluation octroyé à votre partenaire.

    Soit votre partenaire demande un niveau de partage particulier, soit vous décidez jusqu’à quel niveau vous souhaitez donner accès à votre partenaire au résultat de votre évaluation.

    Pour de plus amples informations sur les niveaux de partage, veuillez consulter la Section 6.5, “Niveaux de partage”.

Ainsi, il se peut que vous souhaitiez vous assurer de disposer de ces informations.

Icône d’avertissement informatif

Remarque :

  • Vous pouvez toujours décider de publier ultérieurement le résultat de votre évaluation.

  • Vous pouvez toujours créer ultérieurement une autorisation de partage pour votre partenaire.

Icône d’avertissement important

Remarque importante :

Si vous ne publiez pas le résultat de votre évaluation ou ne le partagez pas, personne ne pourra le voir.

Icône d’avertissement important

Remarque importante :

Vous ne pouvez pas annuler la publication ou le partage.

Pour plus de détails, veuillez consulter la Section 6.4, “Permanence des résultats échangés”.

Pour de plus amples informations sur la publication et le partage du résultat de votre évaluation, veuillez consulter la Section 6, “Échange (étape 3)”.

4.3.3. Objectifs d’évaluation

Vous devez définir votre/vos objectif(s) d’évaluation durant le processus d’inscription. L’objectif d’évaluation (Icône du drapeau du Royaume-Uni assessment objective) détermine les exigences que votre système de gestion de la sécurité de l’information (ISMS) doit respecter. L’objectif d’évaluation est intégralement basé sur le type de données que vous traitez pour le compte de votre partenaire.

Dans les sections suivantes, nous décrivons les objectifs d’évaluation et fournissons des conseils concernant la sélection du/des objectif(s) d’évaluation adéquat(s).

L’utilisation des objectifs d’évaluation facilite la communication relative à TISAX avec votre partenaire et nos auditeurs TISAX, car ils font référence à un input prédéfini du processus d’évaluation TISAX.

Icône d’avertissement informatif

Remarque :

Il se peut que certains partenaires vous demandent de passer l’évaluation TISAX avec un certain « niveau d’évaluation » (assessment level ou « AL ») plutôt que de spécifier un objectif d’évaluation. Pour de plus amples informations sur les niveaux d’évaluation, veuillez consulter la Section 4.3.3.6, “Besoins de protection et niveaux d’évaluation” (sous-section « Informations supplémentaires »).

4.3.3.1. Liste des objectifs de l’évaluation

L’évaluation TISAX comporte actuellement huit objectifs. Vous devez sélectionner au moins un objectif d’évaluation. Vous pouvez en sélectionner davantage.

Considérez votre objectif d’évaluation comme la référence pour votre système de gestion de la sécurité de l’information. L’objectif d’évaluation représente un input clé du processus TISAX. Tous les auditeurs TISAX fondent principalement leur stratégie d’évaluation sur l’objectif d’évaluation.

Les objectifs actuels d’évaluation TISAX sont les suivants :

Tableau 3. Les objectifs actuels d’évaluation TISAX
Objectif d’évaluation (Icône du drapeau du Royaume-Uni Assessment objective) Abréviation

1.

Icône du drapeau de la France Informations présentant des besoins de protection importants
Icône du drapeau du Royaume-Uni Handling of information with high protection needs

Info high

2.

Icône du drapeau de la France Informations présentant des besoins de protection très importants
Icône du drapeau du Royaume-Uni Handling of information with very high protection needs

Info very high

3.

Icône du drapeau de la France Protection des pièces et composants de prototypes
Icône du drapeau du Royaume-Uni Protection of prototype parts and components

Proto parts

4.

Icône du drapeau de la France Protection des véhicules prototypes
Icône du drapeau du Royaume-Uni Protection of prototype vehicles

Proto vehicles

5.

Icône du drapeau de la France Traitement des véhicules de test
Icône du drapeau du Royaume-Uni Handling of test vehicles

Test vehicles

6.

Icône du drapeau de la France Protection des prototypes durant les événements et les films ou les shootings photo
Icône du drapeau du Royaume-Uni Protection of prototypes during events and film or photo shoots

Events + Shootings

7.

Icône du drapeau de la France Protection des données
Conformément à l’article 28 (« sous-traitant ») du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Data

8.

Icône du drapeau de la France Protection des données pour des catégories spéciales de données à caractère personnel
Conformément à l’article 28 (« sous-traitant ») concernant des catégories spéciales de données à caractère personnel, comme spécifié à l’article 9 du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Special data

Exemple : si vous effectuez des tests de conduite sur la voie publique, alors l’objectif d’évaluation n° 7 « Traitement des véhicules de test » constitue l’un de vos objectifs d’évaluation.

Pour certaines des illustrations suivantes, nous utilisons une représentation sous forme de tableau des huit objectifs d’évaluation TISAX. De plus, nous fournissons une version raccourcie pour faciliter la représentation visuelle.

Objectifs d’évaluation TISAX (tableau
Illustration 6. Objectifs d’évaluation TISAX (tableau, versions longue et courte)
img callout black 01

Informations présentant des besoins de protection importants

img callout black 02

Informations présentant des besoins de protection très importants

img callout black 03

Protection des pièces et composants de prototypes

img callout black 04

Protection des véhicules prototypes

img callout black 05

Traitement des véhicules de test

img callout black 06

Protection des prototypes durant les événements et les films ou les shootings photo

img callout black 07

Protection des données

img callout black 08

Protection des données pour des catégories spéciales de données à caractère personnel

Icône d’avertissement important

Remarque importante :

Dans TISAX, « l’objectif d’évaluation » est généralement l’input du processus. Toutefois, certains partenaires sont susceptibles de vous demander de passer l’évaluation TISAX avec un certain « niveau d’évaluation » (AL).

Pour de plus amples informations sur la relation entre les besoins de protection et les niveaux d’évaluation, veuillez consulter la Section 4.3.3.6, “Besoins de protection et niveaux d’évaluation”.

4.3.3.2. Objectifs d’évaluation et ISA

Chaque objectif d’évaluation correspond à un catalogue de critères dans l’ISA.

Exemple : les deux objectifs d’évaluation « Information » associés à des besoins de protection importants ou très importants correspondent au catalogue de critères « Sécurité de l’information » de l’ISA. La feuille Excel est identique pour les deux objectifs d’évaluation. Vous pouvez distinguer les besoins de protection requis (importants, très importants) sur la base de la description de chaque exigence (sous le sous-titre correspondant « Exigences supplémentaires en cas de besoins de protection (très) importants : » ; voir la Section 5.2.2, “Compréhension du document ISA”.

Pour de plus amples informations générales sur les objectifs d’évaluation TISAX et leur lien avec les catalogues de critères ISA et les niveaux d’évaluation, veuillez consulter la Section 5.2.2, “Compréhension du document ISA”.

4.3.3.3. Objectifs d’évaluation et labels TISAX

Votre partenaire peut parler de « labels TISAX ». « Objectifs d’évaluation » et « labels TISAX » font à peu près référence à la même chose. La différence réside dans le fait que vous entamez le processus d’évaluation avec des « objectifs d’évaluation » et si vous réussissez l’évaluation, vous recevez les « labels TISAX » correspondants.

Exemple : votre partenaire vous demande d’obtenir le label TISAX « Informations présentant des besoins de protection importants ». Vous sélectionnez ensuite « Informations présentant des besoins de protection importants » comme votre objectif d’évaluation.

L’illustration ci-dessous représente l’input et l’output du processus TISAX :

Objectifs d’évaluation et labels TISAX
Illustration 7. Objectifs d’évaluation et labels TISAX
img callout black 01

Demande

img callout black 02

Partenaire

img callout black 03

Reçoit

img callout black 04

IN

img callout black 05

Objectif

img callout black 06

Processus TISAX

img callout black 07

OUT

img callout black 08

Label

Pour de plus amples informations sur les labels TISAX, veuillez consulter la Section 5.4.13, “Labels TISAX”.

4.3.3.4. Objectifs d’évaluation et leurs dépendances

L’objectif d’évaluation « Informations présentant des besoins de protection importants » est l’objectif minimum pour une évaluation TISAX. Des objectifs d’évaluation supplémentaires sont facultatifs. Toutefois, en fonction des informations que vous traitez, il se peut que vous deviez ajouter d’autres objectifs d’évaluation. Vous trouverez plus bas de plus amples informations sur les objectifs d’évaluation dont vous pourriez avoir besoin.

Certains objectifs d’évaluation présentent des dépendances avec d’autres objectifs d’évaluation. L’objectif d’évaluation « Informations présentant des besoins de protection importants » ou « Informations présentant des besoins de protection très importants » est la base de tous les autres objectifs d’évaluation.

Exemple : si vous devez atteindre l’objectif d’évaluation « Protection des pièces et composants de prototypes », vous devez alors également atteindre automatiquement l’objectif d’évaluation « Informations présentant des besoins de protection importants ». Vous trouverez plus bas de plus amples informations sur les dépendances.

Les objectifs d’évaluation et leurs dépendances
Illustration 8. Les objectifs d’évaluation et leurs dépendances
img callout black 01

Objectifs

img callout black 02

Dépendances

img callout black 03

Ceci nécessite cela

4.3.3.5. Sélection de l’objectif d’évaluation

Idéalement, votre partenaire vous indique précisément quels objectifs d’évaluation vous devez atteindre.

Vous devez sélectionner l’objectif d’évaluation sur la base de votre propre jugement si :

  1. vous voulez passer l’évaluation TISAX avant qu’un partenaire vous le demande, ou

  2. votre partenaire ne vous indique pas l’objectif d’évaluation à atteindre.

Icône d’avertissement important

Remarque importante :

À ce stade, nous vous recommandons vivement de vous intéresser à vos autres partenaires. Avez-vous actuellement d’autres partenaires qui ont des exigences identiques ou plus élevées ? Attendez-vous des futurs partenaires qu’ils aient des exigences plus élevées ?

Peut-être envisagerez-vous de sélectionner des objectifs d’évaluation associés à des besoins de protection plus importants. Ainsi, vous éviterez les problèmes dans le cas où d’autres partenaires ont des exigences plus élevées.

Si vous devez sélectionner un objectif d’évaluation sur la base de votre propre jugement, vous trouverez peut-être utile d’analyser les aspects suivants :

Tableau 4. Conseil pour la sélection d’un objectif d’évaluation
Objectif d’évaluation Information

1.

Informations présentant des besoins de protection importants
(Info high)

Vous pouvez trouver les besoins de protection (importants, très importants) dans la classification des documents établie par votre partenaire.

2.

Informations présentant des besoins de protection très importants
(Info very high)

3.

Protection des pièces et composants de prototypes
(Proto parts)

Pour toutes les entreprises qui, sur leurs propres sites, fabriquent, stockent ou utilisent des composants ou des pièces fournis par les clients, classés comme devant être protégés.

Les exigences relatives à la sécurité physique et à la sécurité dans la zone environnante, les exigences organisationnelles et les exigences spécifiques pour le traitement des prototypes font partie de l’évaluation.

4.

Protection des véhicules prototypes
(Proto vehicles)

Pour toutes les entreprises qui, sur leurs propres sites, fabriquent, stockent ou utilisent des véhicules fournis par les clients, classés comme devant être protégés.

Les exigences relatives à la sécurité physique et à la sécurité dans la zone environnante (y compris l’existence d’ateliers et de garages protégés), les exigences organisationnelles et les exigences spécifiques pour le traitement des prototypes font partie de l’évaluation.

Après une évaluation réussie, vous recevez automatiquement le label TISAX « Protection des pièces et composants de prototypes ».

5.

Traitement des véhicules de test
(Test vehicles)

Pour toutes les entreprises qui effectuent des tests et des essais routiers (p. ex. : essais routiers sur la voie publique ou sur des pistes de test) avec des véhicules fournis par les clients classés comme devant être protégés.

Les exigences organisationnelles, les exigences spécifiques pour le traitement des prototypes, y compris le camouflage, et le traitement des véhicules durant les essais routiers sur la voie publique ou sur des pistes de test font partie de l’évaluation.

Les exigences relatives à la sécurité physique et à la sécurité dans la zone environnante ne font pas nécessairement partie de l’évaluation. Si vos sites sont équipés en conséquence, nous vous recommandons aussi de sélectionner l’objectif d’évaluation « Protection des véhicules prototypes ».

6.

Protection des prototypes durant les événements et les films ou les shootings photo
(Events + Shootings)

Pour toutes les entreprises qui effectuent des présentations ou organisent des événements (p. ex. : études de marché, événements, événements marketing), réalisent des films et des shootings photo avec des véhicules, des composants ou des pièces fournis par les clients classés comme devant être protégés.

Les exigences organisationnelles et les exigences spécifiques pour le traitement des prototypes, y compris les exigences relatives aux présentations, aux événements, aux films et aux shootings photo dans des pièces protégées et en public font partie de l’évaluation.

Les exigences relatives à la sécurité physique et à la sécurité dans la zone environnante ne font pas nécessairement partie de l’évaluation. Si vos sites sont équipés en conséquence, nous vous recommandons aussi de sélectionner l’objectif d’évaluation « Protection des véhicules prototypes ».

7.

Protection des données
(Data)

Si vous traitez des données à caractère personnel en tant que sous-traitant conformément à l’article 28 du RGPD, vous devrez probablement sélectionner « Protection des données ».

8.

Protection des données pour des catégories spéciales de données à caractère personnel
(Special data)

Si vous traitez des catégories spéciales de données à caractère personnel (telles que des données de santé ou sur les croyances religieuses) en tant que sous-traitant conformément à l’article 28 du RGPD, vous devrez probablement sélectionner « Protection des données pour des catégories spéciales de données à caractère personnel ».

Autres explications :

  • Si votre partenaire vous a fait part d’exigences précises, vous n’avez généralement pas à discuter de vos objectifs d’évaluation avec lui. Toutefois, si vous n’avez pas obtenu d’exigences précises de la part de votre partenaire, nous vous recommandons vivement de consulter ce dernier avant d’entamer le processus d’évaluation.

  • Pour chaque exigence, l’ISA décrit le cas échéant la différence de mise en œuvre entre les besoins de protection « importants » et « très importants ».
    Pour de plus amples informations à ce sujet, veuillez consulter l’ Illustration 13, “Capture d’écran : principaux éléments des questions figurant dans les catalogues de critères ISA”.

4.3.3.6. Besoins de protection et niveaux d’évaluation

Votre partenaire détient divers types d’informations, dont certains méritent éventuellement un niveau de protection supérieur aux autres. L’ISA traite la problématique en différenciant trois « besoins de protection » (Icône du drapeau du Royaume-Uni Protection needs) : normal, important et très important. Votre partenaire classe ses informations et les lie généralement à des besoins de protection.

Les objectifs d’évaluation TISAX associent un catalogue de critères ISA à des besoins de protection « importants » ou « très importants ».

Tableau 5. Correspondance entre catalogues de critères ISA, besoins de protection et objectifs d’évaluation TISAX
Catalogue de critères ISA Besoins de protection Objectif d’évaluation TISAX

1.

Sécurité de l’information

importants

Icône du drapeau de la France Informations présentant des besoins de protection importants
Icône du drapeau du Royaume-Uni Handling of information with high protection needs

2.

Sécurité de l’information

très importants

Icône du drapeau de la France Informations présentant des besoins de protection très importants
Icône du drapeau du Royaume-Uni Handling of information with very high protection needs

3.

Protection des prototypes

importants

Icône du drapeau de la France Protection des pièces et composants de prototypes
Icône du drapeau du Royaume-Uni Protection of prototype parts and components

4.

Protection des prototypes

importants

Icône du drapeau de la France Protection des véhicules prototypes
Icône du drapeau du Royaume-Uni Protection of prototype vehicles

5.

Protection des prototypes

importants

Icône du drapeau de la France Traitement des véhicules de test
Icône du drapeau du Royaume-Uni Handling of test vehicles

6.

Protection des prototypes

importants

Icône du drapeau de la France Protection des prototypes durant les événements et les films ou les shootings photo
Icône du drapeau du Royaume-Uni Protection of prototypes during events and film or photo shoots

7.

Protection des données

importants

Icône du drapeau de la France Protection des données
Conformément à l’article 28 (« sous-traitant ») du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

8.

Protection des données

très importants

Icône du drapeau de la France Protection des données pour des catégories spéciales de données à caractère personnel
Conformément à l’article 28 (« sous-traitant ») concernant des catégories spéciales de données à caractère personnel, comme spécifié à l’article 9 du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Plus le besoin de protection est important, plus votre partenaire souhaitera s’assurer qu’il peut en toute sécurité vous laisser traiter ses informations. Par conséquent, TISAX distingue trois niveaux d’évaluation (AL). Le niveau d’évaluation définit l’intensité de l’évaluation à mener par nos auditeurs TISAX et les méthodes d’audit à mettre en œuvre. En termes simples, cela signifie qu’un niveau plus élevé d’évaluation entraîne une plus grande intensité d’évaluation et le recours à des méthodes d’évaluation plus perfectionnées.

Tableau 6. Correspondance entre les objectifs d’évaluation TISAX et les niveaux d’évaluation
Objectif d’évaluation TISAX Niveau d’évaluation (AL)

1.

Icône du drapeau de la France Informations présentant des besoins de protection importants
Icône du drapeau du Royaume-Uni Handling of information with high protection needs

AL 2

2.

Icône du drapeau de la France Informations présentant des besoins de protection très importants
Icône du drapeau du Royaume-Uni Handling of information with very high protection needs

AL 3

3.

Icône du drapeau de la France Protection des pièces et composants de prototypes
Icône du drapeau du Royaume-Uni Protection of prototype parts and components

AL 3

4.

Icône du drapeau de la France Protection des véhicules prototypes
Icône du drapeau du Royaume-Uni Protection of prototype vehicles

AL 3

5.

Icône du drapeau de la France Traitement des véhicules de test
Icône du drapeau du Royaume-Uni Handling of test vehicles

AL 3

6.

Icône du drapeau de la France Protection des prototypes durant les événements et les films ou les shootings photo
Icône du drapeau du Royaume-Uni Protection of prototypes during events and film or photo shoots

AL 3

7.

Icône du drapeau de la France Protection des données
Conformément à l’article 28 (« sous-traitant ») du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

AL 2

8.

Icône du drapeau de la France Protection des données pour des catégories spéciales de données à caractère personnel
Conformément à l’article 28 (« sous-traitant ») concernant des catégories spéciales de données à caractère personnel, comme spécifié à l’article 9 du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

AL 3

Niveau d’évaluation 1 (AL 1) :

Les évaluations correspondant au niveau d’évaluation 1 visent principalement des objectifs internes au sens premier d’une auto-évaluation (Icône du drapeau du Royaume-Uni self-assessment).

Pour une évaluation correspondant au niveau d’évaluation 1, un auditeur vérifie l’existence d’une auto-évaluation déjà menée à bien. Il n’évalue pas le contenu de l’auto-évaluation. Il n’exige pas d’autres preuves.

Les résultats des évaluations correspondant au niveau d’évaluation 1 présentent un faible niveau de confiance, raison pour laquelle ils ne sont pas utilisés dans TISAX. Mais il est évidemment possible que votre partenaire demande ce genre d’auto-évaluation en dehors de TISAX.

Niveau d’évaluation 2 (AL 2) :

Pour une évaluation correspondant au niveau d’évaluation 2, l’auditeur effectue un test de plausibilité sur votre auto-évaluation (pour tous les sites appartenant au champ d’application de l’évaluation). Il confirme ce test en vérifiant les données probantes[11] et en menant des entretiens auprès de vous et d’autres collègues.

L’auditeur effectue généralement les entretiens par conférence audio. À votre demande, il peut mener des entrevues en personne.

Les évaluations correspondant au niveau d’évaluation 2 n’incluent généralement pas d’inspection sur site. Toutefois, les évaluations comprennent toujours une inspection sur site si vous avez sélectionné l’un des objectifs d’évaluation « prototype ».

Si vous ne souhaitez pas envoyer à l’auditeur certaines de vos données probantes, vous pouvez demander une inspection sur site. De cette manière, l’auditeur peut toujours vérifier vos données probantes « de manière ultra-confidentielle ».

Niveau d’évaluation 3 (AL 3) :

Pour une évaluation correspondant au niveau d’évaluation 3, l’auditeur effectue les mêmes vérifications que toutes celles prévues pour une évaluation de niveau 2. Toutefois, toutes les vérifications seront plus complètes, et l’auditeur analysera scrupuleusement le résultat de votre auto-évaluation lors d’une inspection approfondie sur site et d’entrevues en face à face.

Le tableau suivant fournit un aperçu simplifié des méthodes d’audit associées à chaque niveau d’évaluation :

Tableau 7. Applicabilité des méthodes d’évaluation aux différents niveaux d’évaluation
Méthode d’évaluation Niveau d’évaluation 1
(AL 1)
Niveau d’évaluation 2
(AL 2)
Niveau d’évaluation 3
(AL 3)

Auto-évaluation

Oui

Oui

Oui

Données probantes

Non

Test de plausibilité

Vérification approfondie

Entretiens

Non

Par conférence audio[12]

En personne, sur site

Inspection sur site

Non

À votre demande

Oui

Informations supplémentaires :

  • Classification des informations et besoins de protection
    La correspondance entre classification des informations (par exemple « confidentielles » ou « secrètes ») et besoins de protection peut différer d’un partenaire à l’autre. Par conséquent, nous ne sommes pas en mesure de vous fournir un tableau simple illustrant la correspondance exacte entre la classification des informations de votre partenaire et un besoin de protection.

  • Il ne suffit pas de connaître un niveau d’évaluation.
    Certains partenaires sont susceptibles de vous demander de passer l’évaluation TISAX avec un certain niveau d’évaluation. Notez qu’il ne suffit pas de connaître le niveau d’évaluation pour entamer le processus TISAX. Un niveau d’évaluation n’a de sens qu’en combinaison avec un catalogue de critères ISA et un besoin de protection correspondant. Habituellement, les partenaires vous demandent d’obtenir un label TISAX (catalogue de critères plus besoin de protection). Toutefois, comme les besoins de protection correspondent directement aux niveaux d’évaluation, il vous suffit de connaître le(s) catalogue(s) de critères et le niveau d’évaluation.

  • Hiérarchie des niveaux d’évaluation
    Des niveaux d’évaluation plus élevés incluent toujours les niveaux d’évaluation inférieurs. Par exemple, si votre évaluation est basée sur un niveau d’évaluation 3, elle satisfera automatiquement toutes les demandes de niveau d’évaluation 2.

  • Notre recommandation concernant les niveaux d’évaluation
    Si vous devez sélectionner un objectif d’évaluation (et ainsi implicitement un niveau d’évaluation correspondant) sur la base de votre propre jugement, nous vous recommandons de sélectionner des objectifs d’évaluation qui impliquent un niveau d’évaluation 3. Le travail à fournir pour les évaluations TISAX de niveau d’évaluation 3 n’est généralement pas plus important que celui nécessaire à un niveau d’évaluation 2.
    Les fournisseurs qui ont plusieurs partenaires sélectionnent souvent des objectifs d’évaluation impliquant un niveau d’évaluation 3. De cette façon, ils sont prêts pour toutes les demandes futures et ne doivent pas se préoccuper des différents niveaux d’évaluation.

  • Autres considérations d’ordre commercial
    Concernant les niveaux d’évaluation, le coût total d’une évaluation TISAX correspond à la somme de votre travail en interne et du coût de l’évaluation. Si le coût d’une évaluation de niveau 2 est inférieur, il se peut que le travail à fournir en interne soit plus important. Cela s’explique par le fait qu’une évaluation de niveau 2 nécessite habituellement une auto-évaluation plus complète et une meilleure documentation interne. Pour des évaluations correspondant au niveau d’évaluation 3, l’auditeur considérera souvent qu’il dispose de données probantes suffisantes si vous lui montrez les choses en vous appuyant sur quelques documents de base. Mais sans inspection sur site, l’auditeur sollicitera des documents précis. Par conséquent, il n’est pas inhabituel de privilégier le niveau d’évaluation 3 par rapport au niveau 2. Toutefois, ce choix est celui posé par des entreprises de plus petite taille plutôt que par des grandes.

4.3.3.7. Les objectifs d’évaluation et vos propres fournisseurs

TISAX ne demande pas nécessairement de soumettre l’ensemble de vos propres fournisseurs aux mêmes exigences. Si votre objectif d’évaluation est « Sécurité des informations présentant des besoins de protection très importants », cela NE signifie PAS automatiquement que vos propres fournisseurs doivent atteindre le même objectif d’évaluation. Cela ne signifie pas non plus qu’ils doivent obtenir des labels TISAX.

Mais vous êtes toujours tenu de vérifier pour l’ensemble de vos fournisseurs si l’utilisation de leurs services augmente les risques ou en crée de nouveaux.

Deux exemples extrêmement simplifiés :

  1. L’un de vos réglements prévoit qu’un e-mail ordinaire ne peut être utilisé pour des données associées à des besoins de protection très importants. Par conséquent, votre fournisseur d’e-mails n’a pas besoin d’obtenir le label TISAX pour des besoins de protection très importants.
    Vous pourriez en venir à une conclusion comparable si vous n’envoyez que des e-mails cryptés et que le fournisseur d’e-mails ne peut voir aucune des données présentant des besoins de protection très importants.

  2. Vous éliminez à la déchiqueteuse les documents imprimés associés à des besoins de protection très importants. Dans ce cas, bien entendu, le service d’élimination des déchets ne doit pas répondre aux mêmes exigences que vous.

Toutefois, l’évaluation du risque peut montrer que votre fournisseur est tenu lui aussi de répondre aux exigences correspondant à des besoins de protection très importants. Dans ce cas, des labels TISAX constituent une manière de vous apporter la preuve requise.

4.3.4. Honoraires

Nous percevons des honoraires. Notre liste de prix vous informe des honoraires applicables, des ristournes possibles et de nos modalités de paiement.

Vous pouvez télécharger la liste de prix sur notre site Web à l’adresse :
Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/downloads/
Téléchargement direct du PDF :
Icône du drapeau du Royaume-Uni enx.com/tisaxgtcen.pdf

Certains aspects liés à la facture doivent être pris en compte durant votre préparation à l’inscription :

  • Sélection de l’adresse de facturation
    Par défaut, nous enverrons la facture à l’adresse de participant que vous avez fournie. Mais vous avez la possibilité de nous communiquer une adresse différente pour la facture.
    Veuillez vérifier scrupuleusement l’adresse de facturation. Les lois comptables exigent que l’adresse sur la facture corresponde exactement à l’adresse (de facturation) de votre entreprise.

  • Modification de l’adresse de facturation
    Contrairement à toutes les autres informations que vous fournissez, nous ne pouvons pas modifier l’adresse de facturation une fois que vous l’avez sélectionnée durant le processus. Veuillez nous contacter si vous devez recevoir la facture à une autre adresse.
    Remarque : si vous interrompez puis reprenez le processus d’inscription avant d’avoir sélectionné une adresse de facturation, vous ne serez pas en mesure de le faire ultérieurement. Nous identifierons les adresses de facturation manquantes, vous contacterons afin d’obtenir ces informations et les ajouterons pour vous.

  • Référence de la commande
    Si vous avez besoin de voir un numéro de commande spécifique ou une information similaire sur votre facture, vous pouvez nous fournir une référence de commande.

  • Numéro de TVA
    Tous nos honoraires sont soumis à la taxe allemande sur la valeur ajoutée (TVA) si elle s’applique.
    Nous avons besoin de ce numéro pour procéder aux paiements en provenance de l’UE. Il est obligatoire de fournir un numéro de TVA si votre adresse de facturation figure dans l’un des pays suivants :
    Allemagne, Autriche, Belgique, Bulgarie, Chypre (partie grecque), Croatie, Danemark, Espagne, Estonie, Finlande, France, Grèce, Hongrie, Irlande, Italie, Lettonie, Lituanie, Luxembourg, Malte, Pays-Bas, Pologne, Portugal, République tchèque, Royaume-Uni, Slovaquie, Slovénie, Suède

  • Gestion des fournisseurs

    Icône d’avertissement important

    Remarque importante :

    Notez qu’en raison de la mutualité entre tous les participants TISAX, nous ne pouvons accepter de conditions supplémentaires (telles que des conditions générales d’achat ou des codes de conduite).

Informations supplémentaires concernant notre processus de facturation :

  • Nous ne pouvons accepter de conditions d’achat individuelles.

  • Nous acceptons :

    • les transferts d’argent sur le compte bancaire spécifié sur la facture

    • les paiements par carte de crédit (durant le processus d’inscription, via le lien vers notre fournisseur de services de paiement « Stripe »)

  • Notre facture contiendra les références suivantes de votre inscription :

    • Le nom et l’adresse e-mail de votre principal contact de participant

    • Le nom du champ d’application de l’évaluation

    Vous trouverez un exemple de facture en annexe à la Section 7.1, “Annexe : exemple de facture”.

  • Nous indiquons directement sur la facture la plupart des données dont vous avez besoin pour son traitement. Ces données et d’autres encore sont disponibles dans notre document « Information for Members and Business Partners ». Envoyez-nous un e-mail et nous vous ferons parvenir une version actuelle.

Icône d’avertissement informatif

Remarque :

Nous sommes conscients que dans une entreprise, le processus d’approbation interne des paiements prend parfois du temps. Par conséquent, vous pouvez procéder à la prochaine étape du processus TISAX avant même que nous ayons reçu le paiement. Mais gardez à l’esprit qu’il vous sera impossible de partager le résultat de votre évaluation si nous n’avons pas reçu votre paiement.
C’est pourquoi nous vous recommandons de vous assurer que nous envoyons la facture au bon destinataire et qu’elle contient une référence de commande le cas échéant. Peut-être souhaiterez-vous aussi vérifier en interne que quelqu’un a payé la facture.

Icône d’avertissement important

Remarque importante :

Nous — ENX Association — facturons des honoraires. Il ne s’agit que d’une partie du coût total d’une évaluation TISAX. Votre auditeur TISAX facture les coût de la/des évaluation(s).

Pour de plus amples informations sur les coûts liés à l’auditeur, vous pouvez consulter la Section 5.3.4, “Évaluation des offres”.

Icône d’avertissement important

Remarque importante :

Les honoraires sont dus, indépendamment du fait que vous :

  • poursuiviez ou non le processus TISAX.

  • réussissiez le processus d’évaluation TISAX.

Par conséquent, la facture peut arriver avant que vous ayez entamé l’évaluation initiale.

4.4. Portail ENX

La prochaine section décrira le processus d’inscription en ligne au cours duquel vous saisissez l’ensemble des données que vous avez collectées comme recommandé dans la section précédente. Avant d’entamer le processus d’inscription en ligne, permettez-nous d’expliquer brièvement l’objectif et les avantages du portail ENX.

Le portail ENX nous permet de maintenir une base de données de tous les participants TISAX, et il joue un rôle important tout au long du processus TISAX. Durant le processus d’inscription TISAX, vous saisissez des données que les auditeurs TISAX pourront ensuite utiliser (si vous y consentez) pour calculer leurs offres et pour planifier les procédures d’évaluation. Une fois que vous passerez le processus d’évaluation TISAX, vous utiliserez la plateforme d’échange sur le portail ENX pour partager le résultat de votre évaluation avec votre partenaire.

Le portail porte le nom de « portail ENX » et non « portail TISAX », car nous l’utilisons aussi pour gérer d’autres activités commerciales (comme le réseau ENX).

4.5. Processus d’inscription en ligne

Si vous vous êtes préparé conformément à nos recommandations ci-dessus (Section 4.3, “Préparation de l’inscription”), vous êtes prêt à démarrer le processus d’inscription en ligne.

4.5.1. Temps nécessaire

Le temps dont vous aurez besoin dépend fortement du nombre de champs d’application et de sites que vous enregistrez. Pour une inscription en tant que participant avec un seul champ d’application et un seul site, le temps nécessaire à l’inscription sera d’au moins 20 minutes.

Nous vous recommandons de compléter l’inscription lors d’une seule session, car actuellement, il reste difficile de rattraper certaines étapes ultérieurement. Si vous avez quand même besoin de vous interrompre, nous vous contacterons pour vous demander toute donnée manquante.

4.5.2. Démarrez ici

Veuillez entamer votre inscription sur notre site Web à l’adresse :
Icône du drapeau du Royaume-Uni enx.com/en-us/Account/Login/Register?returnUrl=%2FTISAX%2Ftisax-initial-registration%2F

En fait, il vous suffit de suivre les instructions à l’écran. Néanmoins, nous décrivons brièvement le processus ci-dessous.

4.5.3. Compte sur le portail

Votre première étape consiste à créer un compte pour vous-même sur le portail TISAX. C’est une tâche purement administrative. Vous avez besoin d’un compte sur le portail pour pouvoir gérer les « données de participant » de votre entreprise.

En créant ce compte, vous ne devenez pas automatiquement un contact officiel TISAX au sein de votre entreprise[13]. Pour le moment, vous remplissez simplement nos formulaires en ligne. Vous pouvez définir le « contact de participant » et le contact de champ d’application » ultérieurement au cours du processus d’inscription en ligne et attribuer ces rôles à d’autres.

Icône d’avertissement informatif

Remarque :

Si le portail ENX indique que votre adresse e-mail est déjà utilisée, veuillez nous contacter. Ce message peut indiquer que pour une quelconque autre raison, vous figurez déjà dans notre système.

Icône d’avertissement informatif

Remarque :

Comme nous l’avons décrit, les comptes sur le portail ne sont pas nécessairement des « contacts de participant » ou des « contacts de champ d’application » (cf. ci-dessous) avec un rôle actif dans le processus d’évaluation.

À l’inverse, un « contact de participant » ou un « contact de champ d’application » n’inclut pas automatiquement les mêmes droits concernant la gestion des données de participant qu’un compte sur le portail. Cela signifie que des collègues désignés « contact de participant » ou « contact de champ d’application » ne peuvent automatiquement accéder aux données de participant sur le portail ENX.

Si vous souhaitez attribuer le droit de gérer les données de participant à un contact que vous avez déjà créé sur le portail ENX (indépendamment du fait que vous lui ayez attribué un rôle), veuillez nous contacter. Nous enverrons un e-mail d’invitation au contact. L’e-mail contient un lien qui entraînera la création d’un compte sur le portail pour le contact.

Veuillez vous assurer d’avoir déjà créé le nouveau contact avant de nous demander d’attribuer ce droit.

4.5.4. Inscription du participant

Votre deuxième étape consiste à inscrire votre entreprise en tant que participant TISAX. Le « participant TISAX » est l’entreprise qui échange des résultats d’évaluation avec d’autres participants.

4.5.5. Contact de participant

Nous vous demandons de spécifier le principal contact de participant.

Il s’agit de la personne qui est généralement en charge de toutes les questions relatives à l’évaluation de sécurité de l’information dans votre entreprise. Il peut s’agir de vous et de quelqu’un d’autre au sein de votre entreprise.

Le principal contact de participant est généralement tout ce dont nous avons besoin. Si vous préférez que toutes les communications envoyées par nos soins et par nos auditeurs TISAX dans le cadre de cette inscription le soient aussi à d’autres personnes, veuillez ajouter des contacts de participant supplémentaires.

Icône d’avertissement important

Remarque importante :
 
Nous recommandons de désigner au moins un suppléant pour chaque contact. Si un contact est provisoirement indisponible ou quitte l’entreprise, quelqu’un d’autre peut gérer les données de participant de votre entreprise.
Si vous devez désigner un nouveau contact (alors qu’il ne reste plus d’autres contacts valides), vous devez suivre un processus complexe. Notre processus garantit que seules les personnes légalement autorisées à parler au nom de l’entreprise peuvent approuver la désignation d’un nouveau contact principal.

Icône d’avertissement informatif

Remarque :

Vous pouvez toujours ajouter ou retirer des contacts ultérieurement (même après avoir complété le processus d’inscription en ligne et même une fois que vous avez terminé les évaluations).

Icône d’avertissement informatif

Remarque :

Vous ne pouvez pas utiliser des adresses électroniques de groupe pour les contacts de participant (comme « info@acme.com » ou « IT@acme.com »).

Cette règle est conforme aux exigences de l’ISA concernant l’authentification des utilisateurs.

Icône d’avertissement informatif

Remarque :

Vous pouvez décider pour chaque contact si celui-ci doit avoir accès aux données de participant de votre entreprise. Soit :

  1. Vous ajoutez simplement le contact. Le contact est sauvegardé dans notre système, mais ne peut se connecter et gérer des données.

  2. Ou vous invitez le contact. Le portail ENX envoie alors un e-mail d’invitation au contact. Le contact doit suivre le lien d’invitation dans l’e-mail. Une fois que le contact a créé son propre compte personnel pour le portail ENX, il peut gérer les données de participant de votre entreprise.

4.5.6. Conditions générales

Votre troisième étape consiste à accepter les « Conditions générales de participation TISAX ».

Vous devriez vous rapporter aux notes explicatives à la Section 4.3.1, “Le fondement juridique”.

4.5.7. Enregistrement du champ d’application de l’évaluation

Votre quatrième étape consiste à enregistrer le champ d’application pour votre évaluation de sécurité de l’information.

Nous vous demandons de :

  • donner un nom au champ d’application de l’évaluation.
    Nous utiliserons le « nom du champ d’application » pour faire référence à ce dernier dans toute communication ultérieure.

  • choisir un type de champ d’application pour l’évaluation.
    (standard, adapté)
    Vous devriez vous rapporter aux notes explicatives à la Section 4.3.2, “Le champ d’application de l’évaluation TISAX”.

  • spécifier le principal contact du champ d’application.
    Il s’agit de la personne qui est généralement en charge de l’évaluation d’un champ d’application particulier. Il peut s’agir de vous et de quelqu’un d’autre au sein de votre entreprise.
    Le principal contact du champ d’application est généralement tout ce dont nous avons besoin. Si vous préférez que toutes les communications envoyées par nos soins et par nos auditeurs TISAX dans le contexte de ce champ d’application particulier le soient aussi à d’autres personnes, vous pouvez ajouter des contacts de participant supplémentaires.

  • sélectionner votre/vos objectif(s) d’évaluation.
    Vous devriez vous rapporter aux notes explicatives à la Section 4.3.3, “Objectifs d’évaluation”.

  • ajouter un/plusieurs site(s) de champ d’application.
    Nous vous demandons de spécifier tous les sites qui font partie du champ d’application de l’évaluation.
    Vous devriez vous rapporter aux notes explicatives à la Section 4.3.2, “Le champ d’application de l’évaluation TISAX”.

  • sélectionner les niveaux de publication et de partage (facultatif).
    Vous pouvez déjà décider de publier le résultat de votre évaluation pour d’autres participants TISAX et de le partager avec votre/vos partenaire(s). En principe, vous devriez nous autoriser au moins à indiquer que votre entreprise est un participant et que vous avez réussi le processus TISAX.
    Vous pouvez sans problème ignorer cette étape durant votre inscription initiale. Il vous est toujours possible de définir ultérieurement l’accès au résultat de votre évaluation.
    Vous devriez vous rapporter aux notes explicatives à la Section 4.3.2.8, “Publication et partage”.

    Icône d’avertissement important

    Remarque importante :

    Vous ne pouvez pas annuler les autorisations de publication ou de partage.
    Pour plus de détails, veuillez consulter la Section 6.4, “Permanence des résultats échangés”.

  • spécifier qui reçoit la facture.
    Nous vous demandons de spécifier qui recevra notre/nos facture(s).
    Vous devriez vous rapporter aux notes explicatives à la Section 4.3.4, “Honoraires”.

Icône d’avertissement informatif

Remarque :

Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, votre champ d’application d’évaluation a le statut « Incomplet », « En attente de votre commande » ou « En attente d’approbation ENX ».

Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.1, “Aperçu : Assessment scope status (Icône du drapeau de la France statut du champ d’application de l’évaluation)”.

Icône d’avertissement informatif

Remarque :

Pour les grandes entreprises multi-sites, TISAX offre une évaluation de groupe simplifiée. Vous pouvez envisager cette option si :

  • vous avez au moins trois sites dans votre champ d’application[14] et

  • votre système de gestion de la sécurité de l’information se porte très bien et est organisé de façon centralisée[15].

Une évaluation de groupe simplifiée requiert un travail initial plus important. Toutefois, plus vous avez de sites, plus ces efforts seront payants.

Pour de plus amples informations sur « l’évaluation de groupe simplifiée », veuillez consulter le document « TISAX Simplified Group Assessment ».

Vous pouvez télécharger « TISAX Simplified Group Assessment » sur notre site Web à l’adresse :
Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/downloads/

Téléchargement direct du PDF :
Icône du drapeau du Royaume-Uni enx.com/sga.pdf

Icône d’avertissement informatif

Remarque :

Une fois que vous avez enregistré le champ d’application de votre évaluation, vous ne pourrez pas le modifier vous-même.

Si vous êtes en mesure de nous garantir de manière crédible que vous n’avez PAS encore envoyé votre « extrait de champ d’application TISAX » à nos auditeurs, veuillez nous contacter. Nous pouvons le modifier pour vous.

Si vous avez déjà envoyé votre « extrait de champ d’application TISAX » à (l’un de) nos auditeurs, vous créez simplement le(s) nouveau(x) site(s) sur le portail ENX (le cas échéant) et discutez de tout changement avec votre auditeur. Votre auditeur mènera l’évaluation sur la base des changements. Avec le résultat de l’évaluation, votre auditeur nous informera ensuite des changements nécessaires à apporter au champ d’application de l’évaluation.

Icône d’avertissement informatif

Remarque :

Une fois que vous avez créé un nouveau site, vous ne pouvez plus le modifier. Pour des changements mineurs (modification du nom de l’entreprise, coquilles dans le nom de la rue, le code postal, la ville, etc.), veuillez nous contacter. Nous effectuerons les changements pour vous.

Icône d’avertissement informatif

Remarque :

Vous ne pouvez pas supprimer un champ d’application d’évaluation sur le portail TISAX. Si vous avez créé un champ d’application d’évaluation par erreur, veuillez nous contacter. Nous effectuerons la suppression pour vous.

4.5.8. E-mail de confirmation

Une fois que vous aurez accompli toutes les étapes obligatoires ci-dessus, nous examinerons votre demande. Nous vous enverrons alors un e-mail de confirmation.

Cet e-mail comporte deux éléments importants :

Pour un exemple d’e-mail de confirmation, veuillez consulter la Section 7.2, “Annexe : exemple d’e-mail de confirmation”.

Pour un exemple d’« extrait de champ d’application TISAX », veuillez consulter la Section 7.3, “Annexe : exemple d’extrait de champ d’application TISAX”.

En principe, vous recevrez notre e-mail de confirmation dans les 3 jours ouvrables.

Si vous n’avez pas de nos nouvelles dans les 7 jours ouvrables, veuillez vérifier que vous avez fourni toutes les informations. Nous ne commencerons à traiter votre inscription que lorsque tout sera complet. Si vous pensez que tout est complet, mais que nous ne vous avons pas contacté, veuillez prendre contact avec nous..

Nous envoyons notre e-mail de confirmation au principal contact de participant et à tous les contacts de participant supplémentaires.

Icône d’avertissement informatif

Remarque :

Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, votre champ d’application d’évaluation a le statut « approuvé ».

Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.5, “Assessment scope status “Awaiting your payment” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « En attente de votre paiement »)”.

Les deux prochaines sous-sections fournissent des informations détaillées sur l’objectif de votre ID de participant et de l’ID de champ d’application.

4.5.8.1. Participant ID (Icône du drapeau de la France ID de participant)

L’ID de participant :

  • identifie un participant TISAX.

  • est unique pour chaque participant.

  • est attribué par nos soins au moment de compléter l’inscription.

  • est une condition préalable à la commande d’une évaluation de sécurité de l’information menée par l’un de nos auditeurs TISAX.

  • a le format suivant :

    Format de l’ID de participant
    Illustration 9. Format de l’ID de participant[16]
img callout black 01

Préfixe « P » (pour « Participant ») de l’ID de participant

img callout black 02

Chaîne aléatoire unique contenant exclusivement des caractères alphanumériques :
CFHKLMNPRTVWXYZ
0123456789

Icône d’avertissement informatif

Remarque :

Il existe deux façons de trouver votre ID de participant :

  1. Vérifiez votre « extrait de champ d’application TISAX ».
    Veuillez consulter Section 4.5.8, “E-mail de confirmation” ci-dessus.
    Si vous n’avez pas votre « extrait de champ d’application TISAX » sous la main, veuillez nous contacter pour l’obtenir.

  2. Connectez-vous sur le portail ENX, allez dans la barre de navigation principale et sélectionnez “DASHBOARD” (Icône du drapeau de la France TABLEAU DE BORD). Vous y trouverez votre ID de participant.

4.5.8.2. Scope ID (Icône du drapeau de la France ID de champ d’application)

Votre ID de champ d’application :

  • identifie un champ d’application d’évaluation.

  • est unique pour chaque champ d’application d’évaluation.

  • est attribué par nos soins au moment de compléter l’inscription.

  • constitue une condition préalable pour être autorisé à commander une évaluation de sécurité de l’information menée par l’un de nos auditeurs TISAX.

  • a le format suivant :

    Format de l’ID de champ d’application
    Illustration 10. Format de l’ID de champ d’application
img callout black 01

Préfixe « S » (pour « Scope ») de l’ID de champ d’application

img callout black 02

Chaîne aléatoire unique contenant exclusivement des caractères alphanumériques :
CFHKLMNPRTVWXYZ
0123456789

Icône d’avertissement informatif

Remarque :

Il existe deux façons de trouver votre ID de champ d’application :

  1. Vérifiez votre « extrait de champ d’application TISAX ».
    Veuillez consulter Section 4.5.8, “E-mail de confirmation” ci-dessus.
    Si vous n’avez pas votre « extrait de champ d’application TISAX » sous la main, veuillez nous contacter pour l’obtenir.

  2. Connectez-vous sur le portail ENX, allez dans la barre de navigation principale, sélectionnez « MON TISAX », puis « CHAMPS D’APPLICATION ET ÉVALUATIONS ». Vous y trouverez votre/vos ID de champ d’application.

Icône d’avertissement informatif

Remarque :

Chaque champ d’application d’évaluation (identifié par son ID) a un cycle de vie.

Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5, “Annexe : Assessment scope status (Icône du drapeau de la France Statut du champ d’application de l’évaluation)”.

4.5.9. Informations de statut

À ce stade, il existe deux statuts importants que nous utilisons pour décrire votre position dans le processus TISAX :

  1. Statut du participant

  2. Statut du champ d’application de l’évaluation

Le diagramme suivant illustre les conditions à remplir pour atteindre un certain statut :

Conditions relatives au statut du participant et au statut du champ d’application de l’évaluation
Illustration 11. Conditions relatives au statut du participant et au statut du champ d’application de l’évaluation
img callout black 01

Vos actions

img callout black 02

Nos actions

img callout black 03

Inscription

img callout black 04

Participant :
[ ] Entreprise
[ ] Site
[ ] Contact(s)
[ ] CG

img callout black 05

Champ d’application de l’évaluation :
[ ] Contact(s)
[ ] Objectifs d’évaluation
[ ] Sites d’évaluation
[ ] Publication + Partage

img callout black 06

Non

img callout black 07

Oui

img callout black 08

Complet ?

img callout black 09

Complet ?

img callout black 10

Non

img callout black 11

Oui

img callout black 12

Vérifier + approuver (e-mail de confirmation)

img callout black 13

Facture

img callout black 14

[ ] Paiement

img callout black 15

Payé ?

img callout black 16

ID de participant

img callout black 17

ID de champ d’application

img callout black 18

Statut du participant :

img callout black 19

Statut du champ d’application de l’évaluation

img callout black 20

1. Incomplet

img callout black 21

2. En attente d’approbation

img callout black 22

3. Préliminaire

img callout black 23

Inscrit

img callout black 24

Expiré

img callout black 25

1. Incomplet

img callout black 26

2. En attente de votre commande

img callout black 27

3. En attente d’approbation ENX

img callout black 28

4. En attente de votre paiement

img callout black 29

5. Inscrit

img callout black 30

6. Actif

img callout black 31

7. Expiré

Vous trouverez en annexe les définitions des statuts et les étapes à réaliser pour accéder au prochain statut.

Pour de plus amples informations sur :

4.5.10. Modifications de vos informations d’inscription

Icône d’avertissement informatif

Remarque :

Pour toutes les réponses concernant le cycle de vie des données, veuillez consulter la Section 7.8, “Annexe : gestion du cycle de vie des données du participant”. Elle contient des instructions pour les cas où vous souhaitez modifier ou mettre à jour des données telles que le nom de l’entreprise ou vos coordonnées.


Félicitations, vous êtes désormais inscrit en tant que participant TISAX. Vous êtes prêt à passer à l’étape suivante du processus TISAX.

5. Évaluation (étape 2)

Le temps de lecture estimé de la section consacrée à l’évaluation est de 30 - 35 minutes.

5.1. Aperçu

L’évaluation TISAX est votre deuxième étape. C’est à ce stade que l’essentiel du travail doit être réalisé pour mener à bien l’évaluation TISAX.

Les sections suivantes vous guideront tout au long du processus d’évaluation :

  1. Dans un premier temps, nous vous expliquerons comment vous pouvez utiliser l’auto-évaluation ISA pour déterminer si vous êtes prêt à passer une évaluation TISAX.

  2. Ensuite, nous vous guiderons dans le choix de l’un de nos auditeurs TISAX.

  3. Nous décrirons alors votre cheminement tout au long du processus d’évaluation.

  4. Enfin, nous vous expliquerons la « conclusion du processus » : le résultat de votre évaluation et les labels TISAX qui y sont associés.

5.2. Auto-évaluation basée sur l’ISA

Pour être prêt à passer une évaluation TISAX, vous devez d’abord vous assurer que votre système de gestion de la sécurité de l’information (ISMS) fonctionne de façon irréprochable. Pour vérifier que votre ISMS correspond au niveau de maturité attendu, vous devez effectuer une auto-évaluation basée sur l’ISA.

L’« évaluation de sécurité de l’information » (ISA) est un catalogue de critères publié par l’« Association allemande de l’industrie automobile » (Verband der Automobilindustrie e.V. – VDA). Il s’agit de la norme utilisée dans l’industrie automobile pour procéder aux évaluations de sécurité de l’information.

Les sections suivantes fournissent des instructions pratiques pour effectuer une auto-évaluation basée sur l’ISA.

Les explications, exemples et captures d’écran dans le présent manuel se fondent sur la « Version 5.0.3 » du document ISA.

Icône d’avertissement informatif

Remarque :

Vous trouverez des informations sur les modifications effectuées par rapport aux versions précédentes de l’ISA dans la feuille Excel « Historique des changements ».

Icône d’avertissement informatif

Remarque :

Pour de plus amples informations sur la version de l’ISA applicable à votre évaluation lorsque la VDA publie une nouvelle version, veuillez consulter la Section 7.9, “Annexe : gestion du cycle de vie ISA”.

5.2.1. Téléchargement du document ISA

Débutez votre auto-évaluation en téléchargeant le document ISA.

Vous pouvez le télécharger depuis le site Web de la VDA :
Icône du drapeau du Royaume-Uni portal.enx.com/isa5-en.xlsx

L’ISA est également disponible en allemand :
Icône du drapeau de l’Allemagne portal.enx.com/isa5-de.xlsx

5.2.2. Compréhension du document ISA

Avant de débuter votre auto-évaluation, voici quelques explications qui pourraient vous être utiles. Elles vous sont données en complément aux explications officielles et aux définitions exposées dans le document ISA, et se concentrent surtout sur une utilisation dans le cadre des évaluations TISAX.

5.2.2.1. Catalogues de critères

L’ISA a actuellement trois « catalogues de critères »[17] :

Icône du drapeau de la France Icône du drapeau du Royaume-Uni

1.

Sécurité de l’information

Information Security

2.

Protection des prototypes

Prototype Protection

3.

Protection des données

Data Protection

Chaque catalogue de critères a sa propre feuille Excel :

Capture d’écran : catalogues de critères ISA en tant que feuilles Excel
Illustration 12. Capture d’écran : catalogues de critères ISA en tant que feuilles Excel

Le catalogue de critères « Sécurité de l’information » est l’élément central de l’ISA. Les questions dans ce catalogue de critères sont obligatoires pour toutes les évaluations TISAX.

Les autres catalogues de critères sont facultatifs. Leur application dépend de votre/vos objectif(s) d’évaluation.

Les objectifs d’évaluation susmentionnés correspondent à ces catalogues de critères :

Tableau 8. Correspondance entre les objectifs d’évaluation TISAX et les catalogues de critères ISA
Objectif d’évaluation (Icône du drapeau du Royaume-Uni Assessment objective) Catalogue de critères ISA

1.

Icône du drapeau de la France Informations présentant des besoins de protection importants
Icône du drapeau du Royaume-Uni Handling of information with high protection needs

Information Security (Icône du drapeau de la France Sécurité de l’information)

2.

Icône du drapeau de la France Informations présentant des besoins de protection très importants
Icône du drapeau du Royaume-Uni Handling of information with very high protection needs

Information Security (Icône du drapeau de la France Sécurité de l’information)

3.

Icône du drapeau de la France Protection des pièces et composants de prototypes
Icône du drapeau du Royaume-Uni Protection of prototype parts and components

Prototype Protection (Icône du drapeau de la France Protection des prototypes)

4.

Icône du drapeau de la France Protection des véhicules prototypes
Icône du drapeau du Royaume-Uni Protection of prototype vehicles

Prototype Protection (Icône du drapeau de la France Protection des prototypes)

5.

Icône du drapeau de la France Traitement des véhicules de test
Icône du drapeau du Royaume-Uni Handling of test vehicles

Prototype Protection (Icône du drapeau de la France Protection des prototypes)

6.

Icône du drapeau de la France Protection des prototypes durant les événements et les films ou les shootings photo
Icône du drapeau du Royaume-Uni Protection of prototypes during events and film or photo shoots

Prototype Protection (Icône du drapeau de la France Protection des prototypes)

7.

Icône du drapeau de la France Protection des données
Conformément à l’article 28 (« sous-traitant ») du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection
According to Article 28 (“Processor”) of the European General Data Protection Regulation (GDPR)

Data Protection (Icône du drapeau de la France Protection des données)

8.

Icône du drapeau de la France Protection des données pour des catégories spéciales de données à caractère personnel
Conformément à l’article 28 (« sous-traitant ») concernant des catégories spéciales de données à caractère personnel, comme spécifié à l’article 9 du Règlement général européen sur la protection des données (RGPD)
Icône du drapeau du Royaume-Uni Data protection with special categories of personal data
According to Article 28 (“Processor”) with special categories of personal data as specified in Article 9 of the European General Data Protection Regulation (GDPR)

Data Protection (Icône du drapeau de la France Protection des données)

Exemple : si vous avez sélectionné l’objectif d’évaluation « Protection des données », vous devrez répondre aux questions dans les catalogues de critères « Sécurité de l’information » ET « Protection des données ».

Vous aurez peut-être remarqué qu’il existe plus d’un objectif d’évaluation par catalogue de critères. Comment savoir quelles exigences sont applicables à quel objectif d’évaluation ?

Le tableau suivant vous indique quelles exigences sont applicables :

Tableau 9. Applicabilité des exigences aux objectifs d’évaluation
Objectif d’évaluation (Icône du drapeau du Royaume-Uni Assessment objective) Exigences applicables

1.

Icône du drapeau de la France Informations présentant des besoins de protection importants
Icône du drapeau du Royaume-Uni Handling of information with high protection needs

  • Toutes les exigences du catalogue de critères “Information Security” (Icône du drapeau de la France Sécurité de l’information) (colonnes “Requirements (must)” (Icône du drapeau de la France Exigences (obligatoires)) et “Requirements (should)” (Icône du drapeau de la France Exigences (recommandées)))

  • Plus les exigences supplémentaires dans la colonne “Additional requirements for high protection needs” (Icône du drapeau de la France Exigences supplémentaires pour des besoins de protection importants) (le cas échéant)

2.

Icône du drapeau de la France Informations présentant des besoins de protection très importants
Icône du drapeau du Royaume-Uni Handling of information with very high protection needs

  • Toutes les exigences du catalogue de critères “Information Security” (Icône du drapeau de la France Sécurité de l’information) (colonnes “Requirements (must)” (Icône du drapeau de la France Exigences (obligatoires)) et “Requirements (should)” (Icône du drapeau de la France Exigences (recommandées)))

  • Plus les exigences supplémentaires dans la colonne “Additional requirements for very high protection needs” (Icône du drapeau de la France Exigences supplémentaires pour des besoins de protection très importants) (le cas échéant)

3.

Icône du drapeau de la France Protection des pièces et composants de prototypes
Icône du drapeau du Royaume-Uni Protection of prototype parts and components

  • Toutes les exigences applicables à l’objectif d’évaluation « Informations présentant des besoins de protection importants »

  • Plus les exigences dans les chapitres suivants du catalogue de critères “Prototype Protection” (Icône du drapeau de la France Protection des prototypes) :

    • 8.1 Physical and Environmental Security (Icône du drapeau de la France Sécurité physique et environnementale)

    • 8.2 Organizational Requirements (Icône du drapeau de la France Exigences organisationnelles)

    • 8.3 Handling of vehicles, components and parts (Icône du drapeau de la France Traitement des véhicules, composantes et pièces)

4.

Icône du drapeau de la France Protection des véhicules prototypes
Icône du drapeau du Royaume-Uni Protection of prototype vehicles

  • Toutes les exigences applicables à l’objectif d’évaluation « Informations présentant des besoins de protection importants »

  • Plus les exigences dans les chapitres suivants du catalogue de critères “Prototype Protection” (Icône du drapeau de la France Protection des prototypes) :

    • 8.1 Physical and Environmental Security (Icône du drapeau de la France Sécurité physique et environnementale)

    • 8.2 Organizational Requirements (Icône du drapeau de la France Exigences organisationnelles)

    • 8.3 Handling of vehicles, components and parts (Icône du drapeau de la France Traitement des véhicules, composantes et pièces)

  • Plus les exigences supplémentaires dans la colonne “Additional requirements for vehicles classified as requiring protection” (Icône du drapeau de la France Exigences supplémentaires pour des véhicules classés comme nécessitant une protection) (le cas échéant)

5.

Icône du drapeau de la France Traitement des véhicules de test
Icône du drapeau du Royaume-Uni Handling of test vehicles

  • Toutes les exigences applicables à l’objectif d’évaluation « Informations présentant des besoins de protection importants »

  • Plus les exigences dans les chapitres suivants du catalogue de critères “Prototype Protection” (Icône du drapeau de la France Protection des prototypes) :

    • 8.2 Organizational Requirements (Icône du drapeau de la France Exigences organisationnelles)

    • 8.3 Handling of vehicles, components and parts (Icône du drapeau de la France Traitement des véhicules, composantes et pièces)

    • 8.4 Requirements for trial vehicles (Icône du drapeau de la France Exigences pour les véhicules de test)

6.

Icône du drapeau de la France Protection des prototypes durant les événements et les films ou les shootings photo
Icône du drapeau du Royaume-Uni Protection of prototypes during events and film or photo shoots

  • Toutes les exigences applicables à l’objectif d’évaluation « Informations présentant des besoins de protection importants »

  • Plus les exigences dans les chapitres suivants du catalogue de critères “Prototype Protection” (Icône du drapeau de la France Protection des prototypes) :

    • 8.2 Organizational Requirements (Icône du drapeau de la France Exigences organisationnelles)

    • 8.3 Handling of vehicles, components and parts (Icône du drapeau de la France Traitement des véhicules, composantes et pièces)

    • 8.5 Requirements for events and shootings (Icône du drapeau de la France Exigences pour les événements et les shootings)

7.

Icône du drapeau de la France Protection des données
Icône du drapeau du Royaume-Uni Data protection

  • Toutes les exigences applicables à l’objectif d’évaluation « Informations présentant des besoins de protection importants »

  • Toutes les exigences du catalogue de critères “Data Protection” (Icône du drapeau de la France Protection des données)

8.

Icône du drapeau de la France Protection des données pour des catégories spéciales de données à caractère personnel
Icône du drapeau du Royaume-Uni Data protection with special categories of personal data

  • Toutes les exigences applicables à l’objectif d’évaluation « Informations présentant des besoins de protection très importants »

  • Toutes les exigences du catalogue de critères “Data Protection” (Icône du drapeau de la France Protection des données)

La capture d’écran ci-dessous illustre les principaux éléments des questions figurant dans chaque catalogue de critères. Tous les éléments sont expliqués plus bas.

Capture d’écran : principaux éléments des questions figurant dans les catalogues de critères ISA
Illustration 13. Capture d’écran : principaux éléments des questions figurant dans les catalogues de critères ISA
img callout black 01

Niveau de maturité

img callout black 02

Chapitre

img callout black 03

Question de contrôle

img callout black 04

Exigences

img callout black 05

Objectif

img callout black 06

Tous les besoins de protection

img callout black 07

Besoins de protection importants

img callout black 08

Besoins de protection très importants

5.2.2.2. Chapitres

Chaque catalogue de critères groupe les questions en chapitres.

Exemple : « 4 Identité et gestion des accès »

Le groupement est effectué selon les différents aspects des systèmes de gestion de la sécurité de l’information.

5.2.2.3. Questions de contrôle

Vous trouverez les questions relatives à chaque catalogue de critères dans les feuilles Excel correspondantes.

Exemple : « 4.1.2 Dans quelle mesure l’accès utilisateur aux services en réseau, aux systèmes et applications informatiques est-il sécurisé ? »

Les questions de contrôle sont également désignées « contrôles ». Elles sont comparables à des questions d’audit. Les normes ISO sur lesquelles s’appuie l’ISA utilisent le terme de « contrôle ».

5.2.2.4. Champs du formulaire d’auto-évaluation

Entre les colonnes “Maturity level” (Icône du drapeau de la France Niveau de maturité) et “Control question” (Icône du drapeau de la France Question de contrôle) se trouvent les champs du formulaire que vous devez remplir lorsque vous effectuez une auto-évaluation :

Tableau 10. Champs du formulaire d’auto-évaluation et leur objectif
Champ du formulaire Objectif Obligatoire ?

Implementation description (Icône du drapeau de la France Description de la mise en œuvre)
(colonne F)

Vous devez ici décrire brièvement ce que vous avez mis en œuvre pour traiter cette question de contrôle dans votre entreprise.

Oui

Reference Documentation (Icône du drapeau de la France Documentation de référence)
(colonne G)

Vous devez ici spécifier dans quel(s) document(s) vous attestez de la mise en œuvre.

Oui

Findings/Result (Icône du drapeau de la France Constatations/résultat)
(colonne H)

Vous pouvez ici prendre note de toutes les constatations pour lesquelles, selon vous, il existe un écart entre la situation telle qu’elle est et telle qu’elle devrait être.

Non

Seules la brève description de votre mise en œuvre et la référence à votre documentation sont obligatoires. Cette information aidera nos auditeurs TISAX à mieux comprendre votre entreprise et à préparer l’évaluation.

Il existe d’autres colonnes facultatives utiles à votre auto-évaluation :

  • Measures/recommendations (Icône du drapeau de la France Mesures/recommandations) (colonne R)

  • Date of assessment (Icône du drapeau de la France Date d’évaluation) (colonne S)

  • Date of completion (Icône du drapeau de la France Date d’achèvement) (colonne T)

  • Responsible department (Icône du drapeau de la France Département responsable) (colonne U)

  • Contact (Icône du drapeau de la France Contact) (colonne V)

Icône d’avertissement important

Remarque importante :

Si vous ouvrez le fichier Excel téléchargé et sélectionnez l’une des feuilles de travail du catalogue de critères (p. ex. : Sécurité de l’information), il se peut que vous ne voyiez pas immédiatement les champs du formulaire d’auto-évaluation. Pour les afficher, vous devez cliquer sur le bouton de groupement de niveau « 2 »[18]. Le bouton se trouve en haut à gauche de la cellule C1. Vous agrandirez ainsi la zone de visualisation et afficherez les champs du formulaire d’auto-évaluation.

Capture d’écran : bouton de groupement Excel

Vous pouvez aussi utiliser les touches fléchées de défilement vers le bas. En raison de la taille importante des cellules, il se peut que le défilement à l’aide de la barre nécessite une excellente motricité fine. Si vous utilisez la fonction de défilement de votre dispositif de pointage, vous risquez aussi de sauter par mégarde certaines des cellules de grande taille.

5.2.2.5. Objectif

La colonne « Objectif » (colonne J) se trouve à droite de la colonne « Question de contrôle ». Son contenu décrit ce que vous devez effectuer concernant cet aspect de votre gestion de la sécurité de l’information.

Exemple (pour la question de contrôle 4.1.2) : « Seuls des utilisateurs identifiés de manière fiable (authentifiés) peuvent accéder aux systèmes informatiques. Dans cette optique, l’identité d’un utilisateur est déterminée en toute fiabilité par l’intermédiaire de procédures adéquates. »

5.2.2.6. Exigences

Les exigences désignent les conditions que vous devez remplir pour atteindre l’objectif.

Les exigences sont réparties sur quatre colonnes :

  1. Requirements (must) (Icône du drapeau de la France Exigences (obligatoires)) (colonne K)

  2. Requirements (should) (Icône du drapeau de la France Exigences (recommandées)) (colonne L)

  3. Additional requirements for high protection needs (Icône du drapeau de la France Exigences supplémentaires pour des besoins de protection importants) (colonne M)

  4. Additional requirements for very high protection needs (Icône du drapeau de la France Exigences supplémentaires pour des besoins de protection très importants) (colonne N)

Vous devez répondre à toutes les exigences correspondant au besoin de protection à satisfaire (que vous pouvez trouver dans votre objectif d’évaluation).

Pour de plus amples informations sur les définitions ISA des niveaux d’exigence « obligatoire » et « recommandée », veuillez consulter les « termes clés » dans la feuille Excel « Définitions ».

Icône d’avertissement important

Remarque importante :

Soyez conscient que même si vous répondez à l’ensemble des exigences, l’auditeur NE confirmera PAS nécessairement que vous avez atteint l’objectif.

Les exigences et leur formulation sont basées sur une mise en œuvre théorique par une entreprise moyenne et fictive de taille inconnue.

L’auditeur doit toujours comparer l’objectif à la mise en œuvre particulière dans votre entreprise. Ce qui est approprié pour une entreprise moyenne ne l’est pas forcément dans votre situation.

En cas de doute, adressez-vous à nos auditeurs TISAX.

Pour de plus amples informations, veuillez consulter la Section 5.2.5, “Traitement du résultat d’auto-évaluation”.

5.2.2.7. Niveaux de maturité

L’ISA utilise le concept de “maturity levels” (Icône du drapeau de la France niveaux de maturité) pour évaluer la qualité de tous les aspects de votre système de gestion de la sécurité de l’information. Plus votre système est sophistiqué, plus votre niveau de maturité sera élevé.

L’ISA distingue six niveaux de maturité. Vous trouverez la définition détaillée dans la feuille Excel “Maturity levels” (Icône du drapeau de la France Niveaux de maturité). Pour assurer une vision consolidée des niveaux de maturité, nous reprenons les descriptions informelles fournies dans l’ISA :

Tableau 11. Description informelle des niveaux de maturité
Maturity level (Icône du drapeau de la France Niveau de maturité) En un mot Description

0

Incomplete (Icône du drapeau de la France Incomplet)

Un processus n’est pas disponible, pas suivi ou pas adapté à la réalisation de l’objectif

1

Performed (Icône du drapeau de la France Exécuté)

Un processus non documenté ou documenté de façon incomplète est suivi, et des indicateurs attestent qu’il atteint son objectif.

2

Managed (Icône du drapeau de la France Géré)

Un processus atteignant ses objectifs est suivi. La documentation du processus et des preuves de sa mise en œuvre sont disponibles.

3

Established (Icône du drapeau de la France Établi)

Un processus standard intégré dans un système global est suivi. Des dépendances à d’autres processus sont documentées et des interfaces adéquates sont créées. Il existe des preuves que le processus a été utilisé de manière durable et active sur une période prolongée.

4

Predictable (Icône du drapeau de la France Prévisible)

Un processus établi est suivi. L’efficacité du processus est surveillée en permanence grâce à la collecte de données clés. Des valeurs limites sont définies auxquelles le processus est considéré comme insuffisamment efficace et nécessitant des ajustements. (Indicateurs clés de performance)

5

Optimizing (Icône du drapeau de la France Optimisant)

Un processus prévisible est suivi, dont l’un des objectifs majeurs est l’amélioration continue. L’amélioration est promue de manière active par des ressources dédiées.

Vous devez évaluer le niveau de maturité de votre système de gestion de la sécurité de l’information par question. Saisissez votre niveau de maturité dans la colonne “Maturity level” (Icône du drapeau de la France Niveau de maturité) (colonne E).

Capture d’écran : exemple de sélection du niveau de maturité dans le document ISA (feuille Excel « Sécurité de l’information »)
Illustration 14. Capture d’écran : exemple de sélection du niveau de maturité dans le document ISA (feuille Excel « Sécurité de l’information »)
img callout black 01

Votre niveau de maturité

Pour de plus amples informations sur les niveaux de maturité cibles et leur impact sur le résultat de votre évaluation, veuillez consulter la Section 5.2.4, “Interprétation du résultat d’auto-évaluation”.


Maintenant que vous avez une meilleure compréhension des choses, vous pouvez commencer votre auto-évaluation.

5.2.3. Réalisation de l’auto-évaluation

Ouvrez le fichier Excel, passez en revue toutes les questions de contrôle de chaque catalogue de critères applicable à votre/vos objectif(s) d’évaluation et déterminez le niveau de maturité qui correspond à l’état actuel de votre système de gestion de la sécurité de l’information. Faites-le sur la base de votre meilleur jugement. À ce stade, il n’y a pas de bon ou de mauvais jugement.

Une fois que vous avez rempli l’auto-évaluation, la colonne « Résultat » (H) dans la feuille Excel « Résultats (ISA5) » doit être intégralement complétée à l’aide de chiffres (0-5) ou avec la mention « n.a. » (non applicable).

Capture d’écran : exemple de feuille « Résultats (ISA5) » dans le document ISA
Illustration 15. Capture d’écran : exemple de feuille « Résultats (ISA5) » dans le document ISA
img callout black 01

Vert

Si vous avez des questions concernant l’ISA, veuillez nous contacter.

5.2.4. Interprétation du résultat d’auto-évaluation

Les cinq sous-sections suivantes expliquent comment analyser et interpréter le résultat de votre auto-évaluation. L’analyse vous dira si vous êtes prêt ou pas pour une évaluation TISAX.

5.2.4.1. Analyse

Votre note de résultat synthétise le résultat de l’auto-évaluation.

Vous trouverez la note du résultat (« Résultat réduit au niveau de maturité cible ») dans la feuille Excel « Résultats (ISA5) » (cellule D6). Nous expliquerons plus tard la notion de « réduction ».

Capture d’écran : votre note de résultat et la note de résultat maximale (feuille Excel « Résultats (ISA5) »
Illustration 16. Capture d’écran : votre note de résultat et la note de résultat maximale (feuille Excel « Résultats (ISA5) », cellules D6 et G6)
img callout black 01

Votre note de résultat

img callout black 02

Note de résultat maximale

Afin de mieux comprendre et d’interpréter le résultat de votre auto-évaluation et votre note de résultat, vous devez distinguer deux niveaux d’analyse :

  1. Niveau questions
    Ce niveau regroupe toutes les questions. Pour chaque question, on distingue le niveau de maturité cible et votre niveau de maturité.

  2. Niveau note
    On trouve à ce niveau le résultat global synthétisant les résultats de toutes les questions. On distingue la note de résultat maximale et votre note de résultat.

La figure ci-dessous illustre les niveaux d’analyse :

Analyse du résultat d’auto-évaluation au niveau questions et au niveau note
Illustration 17. Analyse du résultat d’auto-évaluation au niveau questions et au niveau note
img callout black 01

Analyse

img callout black 02

Niveau questions

img callout black 03

Niveau de maturité cible

img callout black 04

Votre niveau de maturité

img callout black 05

Niveau note

img callout black 06

Note de résultat maximale

img callout black 07

Votre note de résultat

La figure ci-dessous vous montre où trouver les résultats au niveau note et au niveau questions :

Niveau note et niveau questions dans la feuille Excel « Résultats (ISA5) »
Illustration 18. Niveau note et niveau questions dans la feuille Excel « Résultats (ISA5) »
img callout black 01

Niveau note

img callout black 02

Niveau questions

La figure suivante offre une vue simplifiée des niveaux d’analyse, des définitions des cibles ISA et de vos propres résultats :

Les cibles et vos résultats au niveau questions et au niveau note
Illustration 19. Les cibles et vos résultats au niveau questions et au niveau note
img callout black 01

Niveau de maturité cible

img callout black 02

Votre niveau de maturité

img callout black 03

Niveau questions

img callout black 04

Q (Question)

img callout black 05

TML (Niveau de maturité cible)

img callout black 06

YML (Votre niveau de maturité)

img callout black 07

Note de résultat maximale

img callout black 08

Votre note de résultat

img callout black 09

Niveau note

Les sections suivantes expliquent en détail le résultat et son analyse.

5.2.4.2. Le niveau de maturité cible (au niveau questions)

L’ISA définit un « niveau de maturité cible » de 3 pour chaque question.

Pour de plus amples informations sur la définition de chaque niveau de maturité, veuillez consulter la Section 5.2.2, “Compréhension du document ISA”.

L’ISA définit les niveaux de maturité cibles dans la feuille Excel « Résultats (ISA5) » (en commençant par la colonne G, ligne 22 ; cf. la figure ci-dessous).

La définition du niveau de maturité cible dans la feuille Excel « Résultats (ISA5) »
Illustration 20. La définition du niveau de maturité cible dans la feuille Excel « Résultats (ISA5) »
img callout black 01

Niveau de maturité cible

5.2.4.3. Votre résultat (au niveau questions)

Pour recevoir des labels TISAX, vous devez normalement avoir pour chaque question des niveaux de maturité égaux ou supérieurs au niveau de maturité cible.

Exemple : si le niveau de maturité cible pour la question X est de « 3 », votre niveau de maturité pour cette question doit être au moins égal à « 3 ». Si votre niveau de maturité pour cette question est inférieur à « 3 », il se peut que vous ne receviez pas de labels TISAX.

Il en va de même pour chaque question. Si le niveau de maturité cible pour deux questions est de « 3 », vous ne pouvez pas compenser le niveau de maturité de « 2 » obtenu pour une question avec un niveau de maturité de « 4 » obtenu pour l’autre.

Le document ISA transfère automatiquement vos niveaux de maturité de la feuille Excel « Sécurité de l’information » (colonne E) à la feuille Excel « Résultats (ISA5) (en commençant par la colonne H, ligne 23) :

Vos niveaux de maturité dans la feuille Excel « Résultats (ISA5) »
Illustration 21. Vos niveaux de maturité dans la feuille Excel « Résultats (ISA5) »
img callout black 01

Votre niveau de maturité cible

Votre niveau de maturité fait l’objet d’un calcul avant que le document ISA le synthétise dans votre note de résultat. En fait, votre niveau de maturité est « réduit » au niveau de maturité cible. Cette réduction est effectuée de sorte que les questions pour lesquelles votre niveau de maturité est supérieur au niveau de maturité cible ne puissent pas compenser les questions pour lesquelles votre niveau de maturité est inférieur au niveau de maturité cible.

Voici comment l’ISA calcule votre résultat au niveau questions :

  • Elle prend votre niveau de maturité et le compare au niveau de maturité cible de la question.

  • Si votre niveau de maturité est supérieur au niveau de maturité cible, il est « réduit » au niveau de maturité cible.

  • Si votre niveau de maturité est inférieur ou égal au niveau de maturité cible, il ne se passera rien pour cette question.

Exemple (cf. la figure ci-dessous) : le niveau de maturité cible est de « 3 ». Votre niveau de maturité est de « 4 ». Votre « résultat réduit » pour cette question sera de « 3 ».

Calcul de réduction du niveau de maturité du résultat
Illustration 22. Calcul de réduction du niveau de maturité du résultat
img callout black 01

In

img callout black 02

Calcul

img callout black 03

Out

img callout black 04

(Niveau questions)

img callout black 05

Niveau de maturité cible (TML)

img callout black 06

Votre niveau de maturité (YML)

img callout black 07

YML > TML ?

img callout black 08

Oui : réduction au TML

img callout black 09

Non : pas de réduction

img callout black 10

Niveau de maturité du résultat (RML)

La figure ci-dessous montre que si votre niveau de maturité est supérieur au niveau de maturité cible, l’ISA le réduira (les couleurs verte, orange et rouge correspondent aux couleurs utilisées dans la colonne « Résultat », cf. Illustration 21, “Vos niveaux de maturité dans la feuille Excel « Résultats (ISA5) »”).

Illustration de la réduction avec les couleurs utilisées dans la feuille Excel « Résultats (ISA5) »
Illustration 23. Illustration de la réduction avec les couleurs utilisées dans la feuille Excel « Résultats (ISA5) »
img callout black 01

Exemple :

img callout black 02

YML

img callout black 03

TML

img callout black 04

Réduction

Une autre façon d’afficher les niveaux de maturité au niveau questions est illustrée ci-dessous. Les couleurs des cercles illustrent le niveau de maturité cible ou la « distance » par rapport à celui-ci (exemple : le cercle est orange si le niveau de maturité est de « -1 » par rapport au niveau de maturité cible). Les coches illustrent votre niveau de maturité.

Niveaux de maturité au niveau questions
Illustration 24. Niveaux de maturité au niveau questions
img callout black 01

Niveau de maturité

img callout black 02

Question

img callout black 03

Réduction

img callout black 04

Niveau de maturité cible (TML)

img callout black 05

Un niveau ou plus au-dessus du TML

img callout black 06

Un niveau en dessous du TML

img callout black 07

Deux niveaux ou plus en dessous du TML

img callout black 08

Votre niveau de maturité (YML)

img callout black 09

Réduction au TML

Icône d’avertissement informatif

Remarque :

Vous pouvez passer avec succès une évaluation TISAX, même si vous n’atteignez pas le niveau de maturité cible pour toutes les questions. La question principale dans ce genre de cas est de savoir si vous courez un risque important. Si votre niveau de maturité est inférieur à la valeur cible, mais qu’il n’existe aucun risque, ce niveau peut quand même être suffisant.

5.2.4.4. La cible (au niveau note)

L’ISA définit un niveau de maturité global « idéal » — la « note de résultat maximale » (ou la « note maximale », cellule G6).

Note de résultat maximale (feuille Excel « Résultats (ISA5) »)
Illustration 25. Note de résultat maximale (feuille Excel « Résultats (ISA5) »)
img callout black 01

Note de résultat maximale

En théorie, ce niveau de maturité global est la moyenne de tous les niveaux de maturité cibles (au niveau questions). Il s’agira d’une note de résultat maximale de « 3,0 ».

Toutefois, celle-ci est égale à « 3,0 » uniquement si toutes les questions s’appliquent à votre situation. Dès qu’une question ne s’applique pas à votre situation, la moyenne change et la note de résultat maximale descend en dessous de « 3,0 ».

Sur la base de ce qui a été illustré plus haut (Illustration 24, “Niveaux de maturité au niveau questions”), vous pouvez voir ci-dessous ce qui est pris en compte dans la moyenne pour la note de résultat maximale :

La note de résultat maximale (au niveau note)
Illustration 26. La note de résultat maximale (au niveau note)
img callout black 01

Niveau de maturité

img callout black 02

Question

img callout black 03

Réduction

img callout black 04

Note de résultat maximale

5.2.4.5. Votre résultat (au niveau note)

Votre note de résultat globale (« Résultat réduit au niveau de maturité cible »,cellule D6) :

  • synthétise le niveau de maturité global de votre système de gestion de la sécurité de l’information.

  • est la moyenne de tous vos niveaux de maturité (au niveau questions).

  • peut être inférieure ou égale à la note de résultat maximale.

  • doit être la plus proche possible de la note de résultat maximale. Plus votre note de résultat est inférieure à la note de résultat maximale, plus la probabilité de bénéficier de labels TISAX sera faible.

Votre note de résultat (feuille Excel « Résultats (ISA5) »)
Illustration 27. Votre note de résultat (feuille Excel « Résultats (ISA5) »)
img callout black 01

Votre note de résultat

Sur la base de la même illustration que celle présentée plus haut (Illustration 24, “Niveaux de maturité au niveau questions”), vous pouvez voir ci-dessous ce qui est pris en compte dans la moyenne pour la note de résultat :

Votre note de résultat (au niveau note)
Illustration 28. Votre note de résultat (au niveau note)
img callout black 01

Niveau de maturité

img callout black 02

Question

img callout black 03

Réduction

img callout black 04

Votre note de résultat

La note de résultat vous indique si :

  • vous êtes prêt pour une évaluation TISAX.

  • vous pouvez vous attendre à recevoir des labels TISAX.

Si votre note de résultat (« Résultat réduit au niveau de maturité cible ») est inférieure à « 3,0 », alors votre niveau de maturité ne correspond pas au niveau de maturité cible, du moins pour une question. Dans ce cas, vous devrez probablement améliorer votre système de gestion de la sécurité de l’information avant de pouvoir passer l’évaluation TISAX.

Icône d’avertissement informatif

Remarque :

Concernant la note globale, il existe des limites formelles quant à une « distance » acceptable entre votre note de résultat et la note de résultat maximale (« Résultat réduit au niveau de maturité cible »).

Si votre note de résultat est de plus de :

  • 10 % inférieure, le résultat global de l’évaluation sera « non conforme mineur ».

  • 30 % inférieure, le résultat global de l’évaluation sera « non conforme majeur ».

Icône d’avertissement important

Remarque importante :

Si votre note de résultat (« Résultat réduit au niveau de maturité cible ») est de « 3 », vous n’avez aucune garantie de passer l’évaluation TISAX sans constatations rédhibitoires. Gardez à l’esprit que l’auditeur peut avoir un point de vue différent du vôtre sur certains aspects.

5.2.4.6. Êtes-vous prêt ?

L’analyse ci-dessus vise à savoir si vous êtes prêt à passer une évaluation TISAX.

Vous êtes réellement prêt pour une évaluation TISAX si votre note de résultat (« Résultat réduit au niveau de maturité cible ») est (proche) de « 3,0 ». Dans ce cas, toutes les valeurs dans la colonne « Résultats » (H) sont vertes (aucune valeur orange ni rouge).

Si elles ne sont pas vertes, vous devez remédier au résultat de votre auto-évaluation (veuillez consulter la Section 5.2.5, “Traitement du résultat d’auto-évaluation”).

La figure ci-dessous illustre le diagramme en forme de toile d’araignée de l’ISA dans la feuille Excel « Résultats (ISA5) ». La ligne verte marque le niveau de maturité cible par chapitre. Si vos niveaux de maturité sont sur ou au-dessus de cette ligne, vous êtes prêt pour une évaluation TISAX. S’ils sont sous cette ligne, il se peut qu’ils ne soient pas suffisants pour vous permettre de recevoir des labels TISAX.

Capture d’écran : réalisation du niveau de maturité cible sur le diagramme en toile d’araignée ISA (feuille Excel « Résultats (ISA5) »)
Illustration 29. Capture d’écran : réalisation du niveau de maturité cible sur le diagramme en toile d’araignée ISA (feuille Excel « Résultats (ISA5) »)
img callout black 01

Vous êtes prêt pour une évaluation TISAX

img callout black 02

Niveaux de maturité cibles

img callout black 03

Il se peut que les niveaux de maturité ne suffisent pas pour permettre l’obtention de labels TISAX !

Si vous développez la toile ISA jusqu’au niveau questions, vous obtiendrez un affichage similaire vert/rouge au niveau questions :

Développement du diagramme en forme de toile d’araignée ISA
Illustration 30. Développement du diagramme en forme de toile d’araignée ISA
img callout black 01

Niveau de maturité

img callout black 02

Question

img callout black 03

Il se peut que votre note de résultat ne suffise pas pour permettre l’obtention de labels TISAX

img callout black 04

Vous êtes prêt pour une évaluation TISAX

5.2.5. Traitement du résultat d’auto-évaluation

Le résultat de votre auto-évaluation peut indiquer que vous devez améliorer votre système de gestion de la sécurité de l’information pour pouvoir recevoir des labels TISAX.

Il se peut que vous sachiez comment combler certains écarts entre votre niveau de maturité et le niveau de maturité cible. Concernant d’autres écarts, il est possible que vous ayez besoin de conseils externes. Dans ce cas, vous pouvez solliciter des services de conseil auprès de nos auditeurs TISAX. TISAX permet leur consultation sans l’exiger. Notez qu’un auditeur qui vous fournit des services de conseil ne peut plus effectuer d’évaluation TISAX pour vous.

Icône d’avertissement important

Remarque importante :

À défaut de traitement adéquat du résultat d’auto-évaluation avant l’évaluation proprement dite, bon nombre d’entreprises se heurtent à un obstacle de taille. Ne sous-estimez pas les efforts nécessaires pour adapter votre système de gestion de la sécurité de l’information aux exigences. Dans beaucoup d’entreprises, un projet d’envergure devra être mis en place dans les règles pour se préparer à une évaluation TISAX.

Icône d’avertissement informatif

Remarque :

Si vous cherchez une aide externe pour passer le processus TISAX, vous découvrirez que diverses entreprises offrent des services de conseil et de formation. Aucune de ces entreprises ne travaille avec nous.

Actuellement, nous :

  • ne proposons pas de formations officielles, ni directement ni par l’intermédiaire de tiers.

  • ne faisons aucune déclaration sur la qualité des services de tiers et invitons donc à la prudence.

5.3. Sélection de l’auditeur

Seuls des auditeurs que nous avons engagés peuvent mener des évaluations TISAX[19] pour savoir comment devenir un auditeur TISAX.]. Les auditeurs TISAX sont autorisés à mener des évaluations TISAX pour vous, à la condition qu’ils n’aient jamais mené de missions de conseil auprès de vous par le passé.

Tous nos auditeurs TISAX sont tenus de mener les évaluations TISAX uniquement pour les entreprises inscrites comme participants TISAX.

Icône d’avertissement informatif

Remarque :

Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, votre champ d’application d’évaluation doit avoir le statut « approuvé » ou « inscrit »

Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.5, “Assessment scope status “Awaiting your payment” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « En attente de votre paiement »)”.

5.3.1. Informations de contact

Une fois que vous êtes inscrit, vous pouvez contacter tous les auditeurs TISAX et solliciter des offres. Leurs coordonnées figurent dans l’e-mail de confirmation d’inscription que vous avez reçu[20] (veuillez consulter la Section 4.5.8, “E-mail de confirmation”).

Icône d’avertissement informatif

Remarque :

Ne sollicitez des offres auprès de nos auditeurs TISAX qu’APRÈS votre inscription. Les auditeurs vérifieront que vous êtes bien inscrit. Ils sont tenus de rejeter toute demande sans inscription préalable.

C’est également la raison pour laquelle vous ne recevrez les coordonnées des auditeurs que dans l’e-mail de confirmation d’inscription et qu’elles ne figurent pas sur notre site Web public.

5.3.2. Couverture

Si actuellement, bon nombre de nos auditeurs se trouvent en Allemagne, tous sont en mesure de mener des évaluations TISAX partout dans le monde. La plupart d’entre eux ont même du personnel propre dans de nombreux pays.

Sur notre site Web, nous disposons d’une page sur laquelle vous pouvez sélectionner votre pays et voir ensuite quel auditeur a une équipe commerciale et/ou des auditeurs sur place (Icône du drapeau du Royaume-Uni enx.com/en-US/TISAX/xap/).

5.3.3. Demande d’offres

Pour permettre à nos auditeurs TISAX de calculer précisément le travail à fournir pour l’évaluation, vous devez toujours inclure « l’extrait du champ d’application TISAX ».

Miniature d’un extrait de champ d’application (première page)
Illustration 31. Miniature d’un extrait de champ d’application (première page)

Pour de plus amples informations, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.

Icône d’avertissement informatif

Remarque :

L’impartialité est une caractéristique essentielle de nos auditeurs TISAX. Ils veilleront à ce qu’aucun conflit d’intérêts n’apparaisse. Peut-être souhaiterez-vous aborder le sujet lorsque vous les contacterez. Si votre entreprise est d’une quelconque manière liée à un auditeur, vous ne pouvez pas espérer être évalué par ce dernier.

5.3.4. Évaluation des offres

Vous pouvez librement choisir parmi tous nos auditeurs TISAX. Ils sont tous liés au même contrat. Ils mènent tous les évaluations sur la base des mêmes critères et utilisent tous les mêmes méthodes d’audit. En matière de résultat d’évaluation, vous n’observerez aucune différence selon l’auditeur choisi. Le résultat de votre évaluation sera accepté par tous les participants TISAX.

Outre des facteurs évidents tels que le prix, la réputation et l’amabilité, il existe d’autres aspects à prendre en considération dans une offre :

  • Disponibilité : quand le processus d’évaluation peut-il débuter? Cela peut être un aspect important si vous avez besoin rapidement de conclure l’évaluation TISAX.

  • Frais de déplacement pour les rendez-vous sur site : les auditeurs qui ont des bureaux dans votre pays sont susceptibles d’avoir moins de frais de déplacement.

  • Langue : est-ce que toute personne interviewée dans votre entreprise et vous-même serez en mesure de communiquer avec l’auditeur dans votre langue maternelle ?

  • Quelles sont les évaluations comprises ?
    Pour de plus amples informations sur les évaluations, veuillez consulter la Section 5.4.2, “Types et éléments de l’évaluation TISAX”.
    Habituellement, les offres incluent l’évaluation initiale et l’évaluation du plan d’action corrective. Comme il est difficile de présumer du travail à fournir pour les évaluations de suivi, celles-ci font généralement l’objet d’une offre après la clôture des autres évaluations.

Enfin, il s’agit aussi de confiance. Vous devrez instaurer une relation de confiance avec votre auditeur, dans la mesure où il accédera à certains renseignements sur votre entreprise.

Icône d’avertissement informatif

Remarque :

Nous déconseillons de solliciter ou de commander des services tels qu’une « pré-évaluation ». Nous comprenons que vous souhaitiez vous préparer à l’évaluation de cette façon, mais il est préférable dans la plupart des cas d’entamer l’évaluation sans attendre. Concernant le prix, il ne doit pas exister de grande différence entre une « pré-évaluation » et une évaluation proprement dite. Et pour cette dernière, vous avez toujours la possibilité de régler les problèmes constatés par le biais d’actions correctives. Cela vous paraîtra plus clair lorsque vous lirez la prochaine section.

Icône d’avertissement informatif

Remarque :

Chaque évaluation a un cycle de vie.

Pour de plus amples informations sur le statut d’une évaluation, veuillez consulter la Section 7.6, “Annexe : Assessment status (Icône du drapeau de la France Statut de l’évaluation)”.

Une fois que vous avez choisi l’un de nos auditeurs TISAX, vous pouvez enfin entamer le processus d’évaluation TISAX.

5.4. Processus d’évaluation TISAX

5.4.1. Aperçu

Le processus d’évaluation TISAX comprend plusieurs types d’évaluation. Dans la plupart des cas, il y aura plus d’une évaluation.

Vous devez considérer le processus d’évaluation comme une suite d’étapes imbriquées les unes dans les autres où :

  • Vous préparez votre système de gestion de sécurité de l’information pour le rendre excellent.

  • L’auditeur vérifie si votre système de gestion de la sécurité de l’information répond à un ensemble prédéfini d’exigences. Il peut y trouver des lacunes.

  • Vous comblez alors ces lacunes dans les délais impartis.

  • Ensuite, l’auditeur vérifie une fois de plus si vous avez comblé les lacunes.

Ces étapes se succéderont jusqu’à ce que toutes les lacunes soient comblées.

Il est important de comprendre que vous êtes à l’initiative de chaque sous-étape dans le processus d’évaluation. Tout le processus d’évaluation est sous votre contrôle. Et bien entendu, vous seul décidez d’arrêter et d’abandonner le processus d’évaluation quand bon vous semble.[21]

5.4.2. Types et éléments de l’évaluation TISAX

Le processus d’évaluation TISAX comprend trois types d’évaluation TISAX :

  • Évaluation initiale (Icône du drapeau du Royaume-Uni Initial assessment)

  • Évaluation du plan d’action corrective (Icône du drapeau du Royaume-Uni Corrective action plan assessment)

  • Évaluation de suivi (Icône du drapeau du Royaume-Uni Follow-up assessment) [22]

L’évaluation initiale marque le début du processus d’évaluation TISAX.

Les deux autres évaluations TISAX peuvent avoir lieu, et ce à plusieurs reprises. Elles interviendront soit :

  • jusqu’à ce que vous ayez comblé toutes les lacunes

  • ou jusqu’à ce que vous abandonniez le processus d’évaluation TISAX

  • ou que vous atteigniez la durée maximale de neuf mois (moment auquel une autre évaluation initiale est requise).

Toutes les évaluations TISAX seront décrites dans les sections suivantes.

Icône d’avertissement informatif

Remarque :

Chaque évaluation a un cycle de vie.

Pour de plus amples informations sur le statut d’une évaluation, veuillez consulter la Section 7.6, “Annexe : Assessment status (Icône du drapeau de la France Statut de l’évaluation)”.

5.4.3. Éléments de l’évaluation TISAX

Chaque évaluation TISAX comprend les éléments suivants :

  • Réunion d’ouverture officielle[23][24]

    • Elle a pour objectif de traiter toutes les questions d’ordre organisationnel.

    • Il ne doit pas nécessairement s’agir d’une réunion physique.

    • Les sujets peuvent être traités simultanément ou répartis sur plusieurs sessions.

    • Il s’agit d’un « conteneur logique » pour l’ensemble des questions organisationnelles d’avant l’évaluation.

  • Procédure d’évaluation

    • Votre auditeur vérifie toutes les exigences.

    • Les méthodes d’évaluation sont sélectionnées selon le niveau d’évaluation en question.

  • Réunion de clôture officielle[25]

    • Elle conclut une évaluation TISAX.

    • L’auditeur y présente ses conclusions.

    • L’auditeur annonce le résultat de l’évaluation.

    • Il ne doit pas nécessairement s’agir d’une réunion physique.

    • Il s’agit d’un « conteneur logique » pour l’ensemble des questions organisationnelles d’après l’évaluation.

Après la « réunion de clôture », l’auditeur prépare et vous envoie une ébauche du « rapport TISAX » mis à jour. Vous pouvez faire part de vos objections si vous pensez que l’auditeur a mal compris quelque chose.[26] L’auditeur publie ensuite le « rapport TISAX » final.

Tous ces éléments seront décrits dans les sections suivantes.

5.4.4. À propos de la conformité

Avant de continuer à décrire le processus d’évaluation TISAX, nous souhaitons vous expliquer un concept clé, essentiel à la bonne compréhension des sections suivantes.

L’objectif d’une évaluation TISAX est de déterminer si votre système de gestion de la sécurité de l’information répond à un ensemble prédéfini d’exigences. L’auditeur vérifie si votre système de gestion de la sécurité de l’information « est conforme » (Icône du drapeau du Royaume-Uni to conform) aux exigences.

Étape 1 : les vérifications sont effectuées individuellement pour chaque exigence applicable.

Si votre approche « est conforme » à toutes les exigences, vous réussissez l’évaluation et recevez les labels TISAX correspondant à vos objectifs d’évaluation.

Si votre approche n’est pas conforme à une exigence particulière, l’auditeur distingue deux types de « non-conformité » (Icône du drapeau du Royaume-Uni non-conformity) :

  1. Non-conformité mineure (Icône du drapeau du Royaume-Uni Minor non-conformity)
    Elle s’applique lorsque la non-conformité ne remet pas en question l’efficacité générale de votre système de gestion de la sécurité de l’information et qu’elle ne crée pas de risque significatif pour la sécurité de l’information.
    Exemples : erreurs isolées ou sporadiques, déficits de mise en œuvre

  2. Non-conformité majeure (Icône du drapeau du Royaume-Uni Major non-conformity)
    Elle s’applique lorsque la non-conformité crée des doutes quant à l’efficacité générale de votre système de gestion de la sécurité de l’information ou qu’elle entraîne des risques significatifs pour la sécurité de l’information.
    Exemples : non-conformités systématiques, déficits de mise en œuvre qui créent des risques critiques pour la sécurité des informations confidentielles, déficits de mise en œuvre qui ne sont pas résolus par le biais d’une action corrective appropriée

Icône d’avertissement informatif

Remarque :

Pour le résultat de l’évaluation, tout ce qui est en-deçà d’une conformité complète ou idéale par rapport aux exigences est appelé une constatation. TISAX distingue quatre types de constatation :

  • Observation (Icône du drapeau du Royaume-Uni Observation)

  • Marge d’amélioration (Icône du drapeau du Royaume-Uni Room for improvement)

  • Non-conformité mineure (Icône du drapeau du Royaume-Uni Minor non-conformity)

  • Non-conformité majeure (Icône du drapeau du Royaume-Uni Major non-conformity)

Seules les deux non-conformités sont pertinentes pour le résultat de l’évaluation.

Étape 2 : tous les résultats de l’étape précédente « par exigence » sont fusionnés en un résultat global d’évaluation.

Le résultat global d’évaluation peut être :

  1. Conforme (Icône du drapeau du Royaume-Uni Conform)
    Le résultat global d’évaluation est « conforme ». Toutes les exigences sont satisfaites.

  2. Non conforme mineur (Icône du drapeau du Royaume-Uni Minor non-conform)
    Le résultat global d’évaluation est « non conforme mineur » si vous avez au moins une « non-conformité mineure » pour une exigence.

  3. Non conforme majeur (Icône du drapeau du Royaume-Uni Major non-conform)
    Le résultat global d’évaluation est « non conforme majeur » si vous avez au moins une « non-conformité majeure » pour une exigence.
    (Sans plan d’action corrective approuvé, chaque non-conformité entraîne un résultat global d’évaluation « non conforme majeur ».)

Si le résultat global de votre évaluation est :

  • « non conforme mineur », vous pouvez recevoir des labels TISAX provisoires jusqu’à ce que toutes les non-conformités soient résolues.

  • « non conforme majeur », vous devez résoudre le problème en question avant de recevoir un label TISAX.
    À l’aide de mesures compensatoires appropriées et des actions correctives approuvées par l’auditeur, il est possible de changer le résultat global de votre évaluation de « non conforme majeur » en « non conforme mineur », et donc de recevoir des labels TISAX provisoires.

Il est important de comprendre que le résultat global de votre évaluation s’améliorera au cours de tout le processus d’évaluation TISAX.

Prenez cet exemple extrêmement simplifié : vous obtenez un résultat global d’évaluation correspondant à « non conforme majeur » après l’évaluation initiale. Ensuite, vous atténuez le risque correspondant. Votre démarche permet de modifier le résultat global de votre évaluation de « non conforme majeur » en « non conforme mineur ». Et une fois le risque éliminé, le résultat final de votre évaluation globale sera « conforme ».

Des explications plus détaillées à ce sujet sont données ci-dessous. Et vous trouverez davantage d’informations sur les labels TISAX plus loin à la Section 5.4.13, “Labels TISAX”.

5.4.5. Votre préparation pour le processus d’évaluation TISAX

L’auditeur préparera l’évaluation sur la base de votre auto-évaluation. Par conséquent, pensez à mettre à temps votre auto-évaluation à la disposition de votre auditeur. Les échéances exactes de fourniture sont fixées lors de la réunion d’ouverture officielle.

Un auditeur bien préparé abrégera le temps nécessaire à l’évaluation. Outre l’auto-évaluation, il demandera aussi de la documentation connexe avant l’évaluation. Il peut s’agir de documentation à laquelle vous avez fait référence dans l’auto-évaluation et d’autres documents que l’auditeur juge pertinents.

Sur la base de ces informations, votre auditeur planifiera la procédure d’évaluation.

5.4.6. Évaluation initiale

Cette première évaluation TISAX marque le début officiel du processus d’évaluation TISAX.

Icône d’avertissement important

Remarque importante :

L’évaluation initiale marque le début de deux périodes importantes :

  1. Période de validité maximale de trois ans pour les labels TISAX

  2. Durée maximale de neuf mois pour l’intégralité du processus d’évaluation TISAX
    Cette période débute par l’évaluation initiale. Elle se termine avec la dernière évaluation de suivi.
    Il s’agit d’échéances fermes. Si vous ne parvenez pas à mener le processus d’évaluation à son terme dans le délai imparti, vous ne recevrez pas de labels TISAX.

Les deux périodes débutent le jour de la réunion de clôture.

5.4.6.1. La première réunion d’ouverture officielle

Comme toutes les évaluations TISAX, l’évaluation initiale commence par une réunion d’ouverture officielle. Contrairement aux autres types d’évaluation TISAX, cette réunion couvre la plupart des sujets, car elle coïncide avec le début de l’interaction avec votre auditeur. La réunion d’ouverture officielle se tient généralement sous la forme d’une conférence téléphonique ou sur le Web.

L’objectif de cette réunion est de :

  • vérifier les conditions de l’évaluation

  • présenter le chef de projet et l’équipe d’évaluation

  • planifier l’évaluation


Les conditions d’évaluation à vérifier sont :

  • Avez-vous une inscription TISAX valable ?

  • Le contrat entre votre auditeur et vous est-il signé ?


Le planning d’évaluation comprend :

  • Vérification du champ d’application de l’évaluation

    • Votre champ d’application est-il enregistré et approprié ?[27]

  • Vérification de l’objectif d’évaluation

    • L’objectif d’évaluation correspond-il à vos propres exigences et/ou à celles de votre partenaire ?

  • Équipe à vos côtés

    • Sur la base des rôles en lien avec l’ISMS dans votre entreprise, qui doit être disponible pour des entretiens (par téléphone ou en personne, au cours des évaluations sur site) ?

  • Communication entre votre auditeur et vous

    • Comment échangerez-vous des informations confidentielles ? Nous ferons parvenir de la documentation confidentielle à l’auditeur et il enverra des rapports d’évaluation confidentiels.

    • Qui doit être inclus dans les communications ?

    • Le cas échéant : comment organiserez-vous les entretiens par conférence téléphonique ou sur le Web ?

  • Principaux sujets d’évaluation

    • Sur la base de votre auto-évaluation, l’auditeur présentera les principaux sujets sur lesquels il axera sa mission.

  • Détermination des échéances

    • Échéances applicables à la documentation que vous devez envoyer (en ce compris votre auto-évaluation sur la base de l’ISA et de la documentation connexe, si elle n’a pas encore été envoyée)

    • Rendez-vous pour les entretiens et les inspections sur site (le cas échéant)

    • Échéances applicables aux rapports d’évaluation (ébauche et version finale)

5.4.6.2. Procédure d’évaluation

Conformément au plan préparé, l’auditeur mène l’évaluation initiale. Sa mise en œuvre concrète dépend de vos objectifs d’évaluation. L’évaluation consiste principalement en des conférences téléphoniques, des entretiens et des inspections sur site plus ou moins approfondies[28].

L’auditeur présente l’ensemble de ses constatations durant l’évaluation initiale.

5.4.6.3. Réunion de clôture

Durant la réunion de clôture, votre auditeur synthétise à nouveau ses constatations.

5.4.6.4. Rapport TISAX

Après la réunion de clôture, l’auditeur prépare et vous envoie l’ébauche du « rapport TISAX ». Vous pouvez faire part de vos objections si vous pensez que l’auditeur a mal compris quelque chose.[29] L’auditeur publie ensuite le « rapport TISAX ».

À ce stade, le résultat global d’évaluation peut être :

  • Conforme ou

  • Non conforme majeur
    L’absence de traitement des non-conformités (mineures) entraîne toujours un résultat global d’évaluation « non conforme majeur ». Le résultat global de votre évaluation ne peut être « non conforme mineur » qu’une fois que vous avez défini des actions pour la mise en œuvre de mesures permettant de traiter les non-conformités.
    Pour de plus amples informations sur cette démarche, veuillez consulter la Section 5.4.8.4, “Labels TISAX provisoires”.

Si le résultat global de votre évaluation est « conforme » au moment de l’évaluation initiale, vous pouvez passer le reste de la section concernant l’évaluation et aller à la section sur l’échange du résultat.

Si le résultat global de votre évaluation est « non conforme majeur », votre prochaine tâche consistera à élaborer un plan pour traiter les constatations et combler toute lacune identifiée par l’auditeur. Le plan est appelé officiellement « plan d’action corrective » (Icône du drapeau du Royaume-Uni “corrective action plan”).

5.4.7. Préparation du plan d’action corrective

Votre « plan d’action corrective » (Icône du drapeau du Royaume-Uni “corrective action plan”) définit comment vous prévoyez de traiter les constatations de l’évaluation initiale. Votre auditeur évaluera l’adéquation de votre « plan d’action corrective » (cf. la section suivante).

Pour créer votre « plan d’action corrective », vous devez tenir compte des exigences suivantes :

  • Actions correctives

    • Pour chaque non-conformité, vous devez définir une ou plusieurs « actions correctives » prévoyant les mesures nécessaires au traitement de la non-conformité.

  • Date de mise en œuvre

    • Vous devez définir une date de mise en œuvre pour chaque action corrective.

    • La période de mise en œuvre doit offrir suffisamment de temps pour appliquer intégralement les mesures.

  • Mesures compensatoires

    • Pour l’ensemble des non-conformités qui créent des risques critiques, vous devez définir des mesures compensatoires qui traitent les non-conformités avant la mise en œuvre des actions correctives.

  • Période de mise en œuvre

    • Pour toutes les actions correctives dont l’application prend plus de trois mois, vous devez justifier la période de mise en œuvre.

    • Pour toutes les actions correctives dont l’application prend plus de six mois, vous devez en plus fournir la preuve attestant qu’une mise en œuvre plus rapide n’est pas possible.

    • La période de mise en œuvre pour toute action corrective ne peut excéder neuf mois.

Une fois que votre plan d’action corrective est complet, vous pouvez demander « l’évaluation du plan d’action corrective ».

Icône d’avertissement important

Remarque importante :

Nous recommandons de commencer la mise en œuvre le plus rapidement possible. Il n’est pas nécessaire d’attendre le résultat de « l’évaluation du plan d’action corrective ».
« L’évaluation du plan d’action corrective » intervient généralement une fois que vous avez présenté votre plan d’action corrective à votre auditeur.

5.4.8. Évaluation du plan d’action corrective

« L’évaluation du plan d’action corrective » vise à vérifier que votre « plan d’action corrective » (cf. ci-dessus) répond aux exigences TISAX.

Vous présentez votre « plan d’action corrective » à votre auditeur. Votre auditeur évalue le plan par rapport aux exigences (cf. ci-dessous). Si votre plan est conforme aux exigences, votre auditeur publiera le « rapport TISAX » mis à jour.

Cette évaluation ne prend habituellement pas beaucoup de temps. Elle peut intervenir sous la forme d’une réunion physique, d’une conférence téléphonique ou sur le Web.

5.4.8.1. Conditions préalables à une évaluation du plan d’action corrective

Les conditions préalables à une « évaluation du plan d’action corrective » sont :

  • une récente[30] évaluation initiale ayant révélé des non-conformités

  • ou un « plan d’action corrective » qui a déjà été évalué, mais n’a pas répondu aux exigences.

5.4.8.2. Combinaison avec l’évaluation initiale

« L’évaluation du plan d’action corrective » ne constitue pas forcément un événement indépendant. Vous avez déjà la possibilité de présenter votre « plan d’action corrective » lors de la réunion de clôture de l’évaluation initiale. L’auditeur peut alors mener directement « l’évaluation du plan d’action corrective ».

Si vous combinez « l’évaluation du plan d’action corrective » avec l’évaluation initiale, et que votre « plan d’action corrective » répond aux exigences, vous pouvez convenir avec votre auditeur que vous n’avez pas besoin d’un « rapport d’évaluation initiale ». Au lieu de cela, votre auditeur préparera uniquement le « rapport d’évaluation du plan d’action corrective ». Ce rapport vous permet de recevoir directement des labels TISAX provisoires.

5.4.8.3. Exigences concernant le plan d’action corrective

L’auditeur évalue votre « plan d’action corrective » sur la base des exigences suivantes :

  • Les mesures sont appropriées

  • Les risques critiques sont atténués par des mesures compensatoires appropriées[31]

  • Les périodes de mise en œuvre sont appropriées

    • Les périodes de mise en œuvre commencent le jour où se termine l’évaluation initiale.

  • Aucune période de mise en œuvre n’excède :

    • trois mois sans justification supplémentaire

    • six mois sans justification et preuves supplémentaires

    • neuf mois

5.4.8.4. Labels TISAX provisoires

Si le résultat global de votre évaluation est « non conforme mineur », vous recevez des labels TISAX provisoires.

L’avantage des labels TISAX provisoires est que votre partenaire les accepte généralement à la condition que vous receviez ultérieurement des labels TISAX permanents. Cela peut vous aider si vous devez prouver d’urgence l’efficacité de votre système de gestion de la sécurité de l’information à votre partenaire.

La condition pour l’obtention de labels TISAX provisoires est un rapport d’évaluation du plan d’action corrective présentant le résultat global d’évaluation « non conforme mineur ».

Concernant la période de validité, les labels TISAX provisoires :

  • expirent neuf fois après la réunion de clôture de l’évaluation initiale.

  • sont valables jusqu’à la résolution de toutes les non-conformités.

    • Cela est établi lors de l’évaluation de suivi et documenté dans le rapport correspondant.

  • ne peuvent être renouvelés.

Icône d’avertissement informatif

Remarque :

« L’évaluation du plan d’action corrective » est facultative.

Vous pouvez procéder directement à l’évaluation de suivi si vous :

  • n’avez pas besoin de labels TISAX provisoires et

  • êtes sûr de pouvoir mettre en œuvre toute action corrective sans que votre plan soit approuvé par votre auditeur

Une fois que vous avez exécuté l’ensemble des actions correctives, vous devez demander une « évaluation de suivi ».

5.4.9. Évaluation de suivi

« L’évaluation de suivi » vise à évaluer si toutes les non-conformités préalablement identifiées sont résolues. Généralement, vous demandez l’évaluation de suivi lorsque vous êtes sûr que toutes les non-conformités sont résolues.

Mais vous pouvez passer autant d’évaluations de suivi que nécessaire. Si au cours d’une évaluation de suivi, votre auditeur atteste encore de non-conformités existantes ou même nouvelles, vous mettez simplement à jour votre plan d’action corrective et recommencez cette partie du processus d’évaluation.

Cette évaluation peut prendre la forme d’une réunion physique ou d’une conférence téléphonique ou sur le Web.

5.4.9.1. Calendrier

Votre auditeur peut mener l’/les évaluation(s) de suivi dans un délai de neuf mois après la conclusion de l’évaluation initiale[32].

5.4.9.2. Conditions préalables

Si vous n’avez pas besoin de labels TISAX provisoires, vous pouvez demander directement une évaluation de suivi. Vous ne devez pas avoir d’« évaluation du plan d’action corrective » avant l’évaluation de suivi.

5.4.9.3. Expiration des labels TISAX provisoires

Si vous avez besoin de labels TISAX provisoires, peut-être souhaiterez-vous vous assurer de ne pas devoir attendre vos labels TISAX permanents. Par conséquent, nous recommandons de demander votre évaluation de suivi bien avant la date limite[33]. Vous souhaitez en effet disposer d’une période tampon suffisante pour traiter toute constatation mineure identifiée durant une évaluation de suivi.

5.4.10. Diagramme du processus d’évaluation TISAX

Les précédentes sections sont à présent synthétisées dans le diagramme de processus suivant :

Diagramme du processus d’évaluation TISAX (1/2)
Illustration 32. Diagramme du processus d’évaluation TISAX (1/2)
img callout black 01

Vos actions

img callout black 02

Actions de l’auditeur

img callout black 03

Début

img callout black 04

Préparation de l’évaluation

img callout black 05

Initié par vous

img callout black 06

Début de la période maximale de neuf mois

img callout black 07

Évaluation initiale

img callout black 08

Rapport d’évaluation initiale

img callout black 09

Non-conformités identifiées ?

img callout black 10

Non

img callout black 11

e)

img callout black 12

Oui

img callout black 13

Rédiger un plan d’action corrective

img callout black 14

d)

img callout black 15

Initié par vous

img callout black 16

Début/poursuite des actions correctives

img callout black 17

Évaluation du plan d’action corrective

img callout black 18

Rapport d’évaluation du plan d’action corrective

img callout black 19

Non (incomplet ou inapproprié)

img callout black 20

Plan d’action corrective ok ?

img callout black 21

c)

img callout black 22

b)

img callout black 24

a)

img callout black 25

Labels TISAX provisoires possibles

Diagramme du processus d’évaluation TISAX (2/2)
Illustration 33. Diagramme du processus d’évaluation TISAX (2/2)
img callout black 01

c)

img callout black 02

b)

img callout black 03

a)

img callout black 04

Non

img callout black 05

Actions correctives réalisées ?

img callout black 06

Oui, initiées par vous

img callout black 07

Évaluation de suivi

img callout black 08

Rapport d’évaluation de suivi

img callout black 09

e)

img callout black 10

Résultat d’évaluation « conforme » ?

img callout black 11

d)

img callout black 12

Fin de la période maximale de neuf mois

img callout black 13

Oui

img callout black 14

Labels TISAX

img callout black 15

Auditeur : télécharger le résultat sur la plateforme d’échange

img callout black 16

Vous : partager le résultat sur la plateforme d’échange

img callout black 17

Vous : Auditeur : Facultatif : télécharger le résultat sur le fournisseur de services géré

img callout black 18

Vous : définir un rappel pour le renouvellement

img callout black 19

Fin

5.4.11. Assessment ID (Icône du drapeau de la France ID d’évaluation)

Chaque évaluation TISAX d’un champ d’application d’évaluation est identifiée par un « ID d’évaluation ». Cet ID fait référence au résultat de votre évaluation et au rapport TISAX correspondant.

Voici à quoi ressemble l’ID d’évaluation :

Format de l’ID d’évaluation
Illustration 34. Format de l’ID d’évaluation
img callout black 01

Préfixe « A » (pour « Assessment ») de l’ID d’évaluation

img callout black 02

Préfixe de l’auditeur attribué par ENX Association

img callout black 03

Chaîne aléatoire unique contenant exclusivement des caractères alphanumériques :
CFHKLMNPRTVWXYZ
0123456789

img callout black 04

Compteur d’évaluation
- Vide pour l’évaluation initiale
- Incrémenté de 1 pour chaque évaluation ultérieure (comme l’évaluation du plan d’action corrective)

L’ID d’évaluation est généralement utilisé lorsque votre auditeur communique avec vous.

5.4.12. Rapport TISAX

Le « rapport TISAX » (Icône du drapeau du Royaume-Uni TISAX report) :

  • est (mis à jour et) publié après chaque évaluation TISAX.

  • documente les constatations de votre auditeur.

  • contient le résultat global de votre évaluation (conforme, non conforme mineur, non conforme majeur).

  • contient toutes les autres informations en lien avec votre évaluation TISAX (telles que l’objectif d’évaluation, le champ d’application, les personnes impliquées et les sites).

Le « rapport TISAX » peut avoir les types suivants (selon le type d’évaluation) :

  • Rapport d’évaluation initial (Icône du drapeau du Royaume-Uni Initial assessment report)

  • Rapport d’évaluation du plan d’action corrective (Icône du drapeau du Royaume-Uni Corrective action plan assessment report)

  • Rapport d’évaluation de suivi (Icône du drapeau du Royaume-Uni Follow-up assessment report) [34]

Le « rapport TISAX » a toujours la même structure[35]. Votre auditeur l’étend simplement après chaque type d’évaluation. Ainsi, vous vous préoccuperez uniquement de la dernière version du rapport TISAX, car celle-ci reprend toujours le contenu de la/des version(s) antérieure(s).

Les premières sections du « rapport TISAX » représentent ce que vous partagez au final avec votre partenaire.

L’une des caractéristiques principales de TISAX est que vous êtes totalement libre de décider quelles parties du rapport TISAX vous souhaitez partager avec votre partenaire ou tout autre participant. La structure du rapport TISAX est conçue pour permettre ce genre de partage sélectif. Chaque section accroît le niveau de détail.

Voici à quoi ressemble la structure du « rapport TISAX » :

  • A : informations sur l’évaluation
    Nom de l’entreprise, champ d’application de l’évaluation, ID du champ d’application, ID de l’évaluation, niveau d’évaluation, objectif(s) d’évaluation, date(s) d’évaluation, auditeur
    Cette section ne contient aucun résultat d’évaluation.

  • B : résultat global de l’évaluation
    Synthèse de gestion du résultat d’évaluation (conforme, non conforme mineur, non conforme majeur), nombre de constatations, brève classification des risques qui en résultent

  • C : résumé du résultat d’évaluation
    Résumé du résultat d’évaluation par chapitre (par exemple : « 9 Contrôle d’accès ») et par catalogue de critères (par exemple : « Sécurité de l’information »)

  • D : résultats détaillés de l’évaluation
    Description détaillée de toutes les constatations, résultats correspondants d’évaluation du risque, mesures requises, période de mise en œuvre

  • E : niveaux de maturité de l’ISA (onglet Résultat de l’ISA)
    Niveau de maturité pour chaque exigence
    Lors de l’étape « d’échange » (détaillée ci-dessous), vous décidez le niveau maximum auquel votre partenaire aura accès au contenu de votre rapport TISAX.

5.4.13. Labels TISAX

Nous avons brièvement évoqué ce sujet dans la section de préparation de l’inscription. Comme nous l’avons déjà expliqué, ce qui initialement était un objectif d’évaluation devient à présent un label TISAX.

Objectifs d’évaluation et labels TISAX
Illustration 35. Objectifs d’évaluation et labels TISAX
img callout black 01

Demande

img callout black 02

Partenaire

img callout black 03

Reçoit

img callout black 04

IN

img callout black 05

Objectif

img callout black 06

Processus TISAX

img callout black 07

OUT

img callout black 08

Label

Les labels TISAX :

  • sont le fruit du processus d’évaluation TISAX.

  • synthétisent votre résultat d’évaluation.

  • sont la confirmation que votre système de gestion de la sécurité de l’information répond à un ensemble prédéfini d’exigences.

L’utilisation des labels TISAX facilite la communication relative à TISAX avec votre partenaire et votre auditeur TISAX, car ils font référence à un output prédéfini du processus d’évaluation TISAX.

5.4.13.1. Hiérarchie des labels TISAX

La correspondance entre tout objectif d’évaluation et les labels TISAX associés est assez directe. Mais il faut tenir compte d’un autre aspect important : certains labels sont hiérarchiquement liés les uns aux autres. Cela signifie que si vous recevez un certain label TISAX, vous recevrez automatiquement tous les labels TISAX « inférieurs » à ce label en particulier.

Exemple (avec les noms de label abrégés) : si votre objectif d’évaluation est « Info very high », vous recevrez le label TISAX associé « Info very high ». Mais comme l’objectif d’évaluation « Info very high » est une extension de « Info high », vous recevrez automatiquement aussi le label TISAX « Info high ».

Objectifs d’évaluation et labels TISAX (dépendances et hiérarchie)
Illustration 36. Objectifs d’évaluation et labels TISAX (dépendances et hiérarchie)
img callout black 01

Objectifs

img callout black 02

Deviennent

img callout black 03

Des labels

img callout black 04

Dépendances

img callout black 05

Hiérarchie

img callout black 06

Ceci nécessite cela

img callout black 07

Ceci est inclus dans cela

Cela peut ne pas sembler important à tous les participants. Mais imaginez qu’un partenaire vous demande de lui montrer le label TISAX « Info very high » et qu’un autre demande le label TISAX « Info high ». Disposer des deux labels rend les choses plus faciles pour tout le monde, car cela évite de devoir comprendre que « Info high » est hiérarchiquement inférieur à « Info very high ». Cela peut être particulièrement vrai pour les partenaires chez qui le fait d’avoir certains labels TISAX s’inscrit dans un processus d’achat assez rigoureux. Vous n’aurez certainement pas envie d’expliquer que « Info very high » est « mieux » que « Info high ». Il vous suffira de montrer l’ensemble de vos labels TISAX, et la personne en charge de l’évaluation pourra simplement cocher l’exigence « doit avoir le label TISAX ‘Info high’ ».

5.4.13.2. Période de validité des labels TISAX

Les labels TISAX sont généralement valables trois ans. La période de validité débute à la fin du processus d’évaluation (voire avant la publication du rapport TISAX).

Leur période de validité peut être plus courte si un élément significatif lié au champ d’application de l’évaluation TISAX est modifié.

Exemple : déménagement de votre entreprise, nouveaux sites. (Pour connaître les instructions sur les mesures à prendre en pareil cas, veuillez consulter la Section 7.8.4, “Déménagements” et Section 7.8.5, “Site supplémentaire (évaluation d’extension du champ d’application)”.)

Icône d’avertissement informatif

Remarque :

Vous ne pouvez voir vos labels TISAX que sur le portail ENX. Ils ne sont pas repris dans le rapport TISAX.

5.4.13.3. Renouvellement des labels TISAX

Pour conserver durablement vos labels TISAX, vous devez les renouveler[36] tous les trois ans.

Pour ce faire, vous devez en principe repasser le processus TISAX (enregistrer un champ d’application d’évaluation, obtenir à nouveau l’évaluation TISAX, partager le résultat de votre évaluation). L’inscription est un peu plus facile, dans la mesure où vous ne devez pas recréer votre entreprise en tant que participant TISAX. Et vous pouvez bien entendu réutiliser tous vos contacts et sites déjà sauvegardés dans la base de données TISAX.

Icône d’avertissement important

Remarque importante :

Veuillez enregistrer un NOUVEAU champ d’application AVANT de contacter votre auditeur. Votre auditeur ne peut entamer un nouveau processus d’évaluation que si vous êtes en mesure de fournir un nouvel ID de champ d’application.

Dans la plupart des cas, il est aisé d’enregistrer un nouveau champ d’application. Il vous suffit de lui attribuer un nouveau nom, d’ajouter des contacts, de sélectionner l’/les objectif(s) d’évaluation et d’ajouter des sites. Vous pouvez réutiliser les contacts et les sites préalablement enregistrés dans le système pour tout autre champ d’application.

Icône d’avertissement important

Remarque importante :

S’il est nécessaire de toujours disposer de labels TISAX valables au cours de la relation avec votre partenaire, nous vous conseillons vivement de définir un rappel dans votre calendrier pour lancer le processus de renouvellement nécessaire.

Nous recommandons d’entamer les démarches de renouvellement au moins un an avant l’expiration de vos labels TISAX.


Maintenant que vous avez reçu vos labels TISAX, vous pouvez passer à la dernière étape et les partager avec votre partenaire.

6. Échange (étape 3)

Le temps de lecture estimé de la section consacrée à l’échange est de 7 minutes.

Vous avez à présent terminé le processus TISAX, mais votre partenaire n’a toujours pas vu de « preuve » que votre système de gestion de la sécurité de l’information est capable de protéger ses données confidentielles. La présente section décrit à présent comment partager le résultat de votre évaluation avec votre partenaire et lui présenter la preuve qu’il demande.

6.1. Principe

L’une des caractéristiques principales de TISAX est que le résultat de votre évaluation est intégralement sous votre contrôle. Sans votre permission explicite, toutes les informations relatives à votre évaluation ne sont pas partagées avec n’importe qui.

6.2. La plateforme d’échange

La plateforme d’échange se trouve sur le portail ENX.

Votre auditeur téléchargera les deux premières sections (A et B) de votre rapport TISAX. À ce stade, les informations ne sont disponibles pour personne sauf pour vous.

Vous pouvez vous servir du compte créé durant l’inscription pour accéder au portail et utiliser la plateforme d’échange.

Vous pouvez accéder au portail à l’adresse suivante :
Icône du drapeau du Royaume-Uni enx.com/en-US/SignIn

6.3. Conditions générales

Vous ne pouvez partager le résultat de votre évaluation avec votre partenaire que si ces deux conditions sont remplies :

  1. Votre auditeur a introduit le résultat de l’évaluation sur la plateforme d’échange.
    D’ordinaire, le résultat de l’évaluation est disponible sur la plateforme d’échange entre 5 et 10 jours ouvrables après la publication du rapport TISAX.

  2. Nous avons reçu de votre part le paiement des honoraires (le cas échéant).

Le statut de votre champ d’application de l’évaluation est « actif » lorsque les deux conditions sont remplies.

Icône d’avertissement informatif

Remarque :

Chaque champ d’application d’évaluation a un cycle de vie. À ce stade, le champ d’application de votre évaluation doit avoir le statut « actif ».

Pour de plus amples informations sur le statut d’un champ d’application d’évaluation, veuillez consulter la Section 7.5.5, “Assessment scope status “Awaiting your payment” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « En attente de votre paiement »)”.

Pour vérifier si le résultat de votre évaluation est prêt à être partagé (statut du champ d’application de l’évaluation = actif), suivez les étapes suivantes :

  1. Connectez-vous sur le portail ENX.

  2. Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (Icône du drapeau de la France « MON TISAX »).

  3. À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (Icône du drapeau de la France « CHAMPS D’APPLICATION ET ÉVALUATIONS »).

  4. Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.

  5. Vérifiez que le champ d’application de votre évaluation a le statut “Active” (Icône du drapeau de la France « Actif ») (colonne “Scope Status” (Icône du drapeau de la France « Statut du champ d’application »)).

6.4. Permanence des résultats échangés

Icône d’avertissement important

Remarque importante :

Vous ne pouvez pas annuler les autorisations de publication ou de partage.

En effet, nous souhaitons que tous les participants passifs puissent compter sur un accès permanent à chaque résultat d’évaluation qu’ils reçoivent. Sans cet accès, ils devraient gérer et archiver eux-mêmes les résultats d’évaluation.

L’autorisation reste valable pour toute la période de validité de votre évaluation TISAX.

Si vous avez créé par erreur une autorisation de publication ou de partage, veuillez nous contacter immédiatement.

6.5. Niveaux de partage

Les niveaux de partage correspondent directement aux sections principales A-E du rapport TISAX.

Tableau 12. Principales sections du rapport TISAX et niveaux de partage sur la plateforme d’échange
Principales sections du rapport TISAX Niveaux de partage sur la plateforme d’échange

1

A : informations sur l’évaluation (Icône du drapeau du Royaume-Uni Assessment-related information)

2

B : résultat global de l’évaluation (Icône du drapeau du Royaume-Uni Overall assessment result)

3

C : résumé du résultat d’évaluation (Icône du drapeau du Royaume-Uni Assessment result summary)

4

D : résultats détaillés de l’évaluation (Icône du drapeau du Royaume-Uni Detailed assessment results)

5

E : niveaux de maturité de l’ISA (onglet Résultat de l’ISA) (Icône du drapeau du Royaume-Uni Maturity levels of ISA (result tab of ISA))

Plus le niveau de partage est élevé, plus le(s) participant(s) concerné(s) disposera/disposeront d’informations détaillées sur votre évaluation TISAX.

Pour plus de détails sur le contenu de chaque section du rapport TISAX, veuillez consulter la Section 5.4.6.4, “Rapport TISAX”.

6.6. Publier le résultat de votre évaluation sur la plateforme d’échange

Vous pouvez partager le résultat de votre évaluation avec tous les autres participants TISAX en le publiant sur la plateforme d’échange. Ce faisant, vous autorisez tous les autres participants TISAX à accéder au résultat de votre évaluation dans les limites du niveau de partage que vous leur avez attribué.

Vous ne pouvez publier le résultat de votre évaluation que si le résultat global d’évaluation est « conforme ».

Les niveaux de partage pour la publication du résultat de votre évaluation sur la plateforme d’échange sont limités aux options suivantes :

  • Do not publish (Default) (Icône du drapeau de la France Ne pas publier (valeur par défaut))

  • A: Assessment-Related Information (Icône du drapeau de la France A : informations sur l’évaluation)

  • A + Labels (Icône du drapeau de la France A + labels)

  • A + Labels + B: Overall Assessment Result (Icône du drapeau de la France A + labels + B : résultat global de l’évaluation)

Nous recommandons le niveau de partage “A + Labels” (Icône du drapeau de la France « A + labels ») pour ce type général de publication.

Icône d’avertissement important

Remarque importante :

Vous ne pouvez publier le résultat de votre évaluation que si les conditions préalables décrites à la Section 6.3, “Conditions générales” sont remplies.

Pour publier le résultat de votre évaluation sur la plateforme d’échange, suivez les étapes suivantes :

  1. Connectez-vous sur le portail ENX.

  2. Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (Icône du drapeau de la France « MON TISAX »).

  3. À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (Icône du drapeau de la France « CHAMPS D’APPLICATION ET ÉVALUATIONS »).

  4. Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.

  5. Vérifiez que le champ d’application de votre évaluation a le statut “Active” (Icône du drapeau de la France « Actif ») (colonne “Scope Status” (Icône du drapeau de la France « Statut du champ d’application »)).

  6. Allez au bout de la ligne du tableau du champ d’application de votre évaluation et cliquez sur le bouton avec la flèche vers le bas Image de l’icône de flèche vers le bas du portail ENX.

  7. Sélectionnez “Scope Information” (Icône du drapeau de la France « Informations sur le champ d’application »).

  8. Dans la nouvelle fenêtre (“Scope Information” (Icône du drapeau de la France Informations sur le champ d’application »), sélectionnez l’onglet “EXCHANGE” (Icône du drapeau de la France « ÉCHANGE »).
    figure screenshot portal exchange fr

  9. Allez à la section “PUBLISHING” (Icône du drapeau de la France « PUBLICATION »), ouvrez le menu déroulant et sélectionnez le niveau de partage souhaité (cf. la recommandation ci-dessus).

Icône d’avertissement informatif

Remarque :

Les résultats d’évaluation ne sont publiés que sur la plateforme d’échange. Seuls les autres participants TISAX y ont accès. Il n’existe pas de listing public de tous les participants TISAX. Seul le numéro de ligne des participants TISAX peut être mentionné sur le site Web public de TISAX.

6.7. Partager le résultat de votre évaluation avec un partenaire particulier

Outre l’option ci-dessus pour la publication sur la plateforme d’échange, vous pouvez partager le résultat de votre évaluation TISAX avec des participants TISAX particuliers bénéficiant d’un niveau de partage plus élevé.

Contrairement à la publication susmentionnée, vous pouvez partager le résultat de votre évaluation, même si le résultat global est non conforme (mineur/majeur).

Le partage des résultats d’évaluation fait partie intégrante de TISAX. Votre système de gestion de la sécurité de l’information a été évalué une seule fois, mais désormais, vous pouvez partager le résultat de votre évaluation avec autant de partenaires que vous le souhaitez.

Les options de partage du résultat de votre évaluation sur la plateforme d’échange sont :

  • A: Assessment Related Information (Icône du drapeau de la France A : informations sur l’évaluation)

  • A + Labels (Icône du drapeau de la France A + labels)

  • A + Labels + B: Assessment Summary (Icône du drapeau de la France A + labels + B : résumé de l’évaluation)

  • A + Labels + B + C: Summarized Results (Icône du drapeau de la France A + labels + B + C : résumé des résultats)

  • A + Labels + B + C + D: Detailed Assessment Results (Icône du drapeau de la France A + labels + B + C + D : résultats détaillés de l’évaluation)

  • A + Labels + B + C + D + E: Maturity Levels according to ISA (Icône du drapeau de la France A + labels + B + C + D + E : niveaux de maturité selon l’ISA)

Nous recommandons le niveau de partage “A + Labels” (Icône du drapeau de la France « A + labels) pour le partage. Il est suffisant pour la majorité des partenaires. Vous pouvez toujours modifier ultérieurement le niveau de partage.

Icône d’avertissement informatif

Remarque :

Certains participants TISAX traitent automatiquement les résultats d’évaluation de leurs partenaires. Ils synchronisent leur propre système avec le portail ENX. Seuls les résultats d’évaluation partagés spécifiquement avec ce participant sont synchronisés. Une publication seule, telle que décrite à la Section 6.6, “Publier le résultat de votre évaluation sur la plateforme d’échange”, n’est pas reconnue.

Parmi les fabricants d’équipements d’origine qui utilisent TISAX, BMW, par exemple, adopte cette démarche. Si vous êtes un partenaire de BMW, veuillez vous assurer de partager (et pas uniquement de publier) le résultat de votre évaluation avec BMW.

6.7.1. Conditions préalables

Les conditions préalables au partage du résultat de votre évaluation avec votre partenaire (ou tout autre participant TISAX) sont les suivantes :

  • Vous ne pouvez partager le résultat de votre évaluation TISAX qu’avec d’autres participants TISAX.

  • Votre partenaire doit être un participant TISAX.

  • Vous avez besoin de l’ID de participant de votre partenaire.[37]

  • Vous devez payer les honoraires (le cas échéant).

Icône d’avertissement important

Remarque importante :

Vous ne pouvez partager le résultat de votre évaluation que si les conditions générales décrites à la Section 6.3, “Conditions générales” sont remplies.

6.7.2. Comment créer une autorisation de partage

Pour partager le résultat de votre évaluation avec un autre participant TISAX, suivez les étapes suivantes :

  1. Connectez-vous sur le portail ENX.

  2. Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (Icône du drapeau de la France « MON TISAX »).

  3. À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (Icône du drapeau de la France « CHAMPS D’APPLICATION ET ÉVALUATIONS »).

  4. Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.

  5. Vérifiez que le champ d’application de votre évaluation a le statut “Active” (Icône du drapeau de la France « Actif ») (colonne “Scope Status” (Icône du drapeau de la France « Statut du champ d’application »)).

  6. Allez au bout de la ligne du tableau du champ d’application de votre évaluation et cliquez sur le bouton avec la flèche vers le bas Image de l’icône de flèche vers le bas du portail ENX.

  7. Sélectionnez “Scope Information” (Icône du drapeau de la France « Informations sur le champ d’application »).

  8. Dans la nouvelle fenêtre (“Scope Information” (Icône du drapeau de la France Informations sur le champ d’application »), sélectionnez l’onglet “EXCHANGE” (Icône du drapeau de la France « ÉCHANGE »).
    figure screenshot portal exchange share fr

  9. Allez à la section “SHARING” (Icône du drapeau de la France « PARTAGE ») et cliquez sur le bouton “Share” (Icône du drapeau de la France « PARTAGER »).

  10. Dans la nouvelle fenêtre (“SHARE THIS SCOPE” (Icône du drapeau de la France « PARTAGER CE CHAMP D’APPLICATION »)), saisissez l’ID de participant de votre partenaire (ou sélectionnez-le dans la liste de participants depuis la zone de recherche voisine).

  11. Sélectionnez le niveau de partage souhaité.

  12. Cliquez sur le bouton “Next” (Icône du drapeau de la France « SUIVANT »).

  13. Lisez attentivement les instructions concernant la permanence de l’autorisation de partage.

  14. Cochez les deux cases “confirm” (Icône du drapeau de la France « confirmer »).

  15. Cliquez sur le bouton “Submit” (Icône du drapeau de la France « Envoyer »).

Tout le reste est effectué sur la plateforme d’échange. Pour les niveaux de partage A et B, les informations sont disponibles sur la plateforme d’échange. Votre partenaire peut à présent se connecter sur le portail ENX et voir le résultat partagé de votre évaluation[38].

Pour les niveaux de partage supérieurs (C-E), la plateforme d’échange avise votre auditeur. Ensuite, votre auditeur envoie les informations (correspondant au niveau de partage sélectionné) au principal contact de participant de votre partenaire.

6.8. Partager le résultat de votre évaluation en dehors de TISAX

La règle[39] prévoit que vous pouvez utiliser la plateforme d’échange TISAX uniquement pour informer d’autres participants TISAX du résultat de votre évaluation.

6.8.1. Les raisons d’une gestion stricte du mécanisme d’échange

TISAX fournit un mécanisme d’échange standardisé pour les résultats d’évaluation. Celui-ci présente une valeur ajoutée par rapport à l’échange des résultats d’autres certifications (p. ex. : ISO), pour lesquelles l’échange se fait de diverses manières et ne comprend pas toujours toutes les informations nécessaires pour fournir une image complète.

Les fabricants d’équipements d’origine en particulier apprécient cette standardisation. Mais d’autres sociétés tirent également profit de procédures définies avec clarté.

6.8.2. Un guide concernant les références écrites publiques à TISAX

S’il vous est interdit d’écrire publiquement à propos du résultat d’évaluation, vous pouvez mentionner le travail que vous réalisez pour l’évaluation TISAX. Sur le portail ENX, nous prodiguons des conseils sur la manière d’aborder les déclarations publiques. Nous fournissons aussi les logos TISAX que vous pouvez utiliser.

Après vous être connecté sur le portail ENX, vous pouvez accéder aux informations suivantes :
Icône du drapeau du Royaume-Uni enx.com/en-US/myenxportal/marketing/
Téléchargement direct de l’archive ZIP (document et logos) :
Icône du drapeau du Royaume-Uni enx.com/myenxportal/marketing/tisax-trademark-and-logos-guidelines

Si vous vous demandez s’il existe un certificat que vous pourriez afficher sur votre mur :
En raison du processus d’échange standardisé mentionné ci-dessus, nous ne fournissons pas ce genre de certificat.

6.8.3. Partage avec un partenaire qui n’est pas encore participant TISAX

Si vous souhaitez partager le résultat de votre évaluation TISAX avec un partenaire particulier qui a) n’est pas encore participant TISAX et b) n’a pas encore reçu de labels TISAX (après avoir passé le processus d’évaluation), vous pouvez suivre les étapes suivantes :

  1. Dites à votre partenaire de s’inscrire en tant que participant TISAX.
    Il lui suffit de s’inscrire comme participant TISAX. Il n’a pas besoin de poursuivre le processus en enregistrant un champ d’application d’évaluation.

  2. Dites à votre partenaire de nous contacter.
    Habituellement, nous ne procédons à une nouvelle inscription que si l’entreprise enregistre également un champ d’application d’évaluation. À la demande de votre partenaire, nous procédons à son inscription. Ainsi, il deviendra participant TISAX. Il peut désormais recevoir le résultat de votre évaluation TISAX par le biais du processus d’échange normal.

L’objectif de cette approche est de s’assurer que votre partenaire consent à respecter les « Conditions générales de participation TISAX » qui régissent l’échange des résultats d’évaluation TISAX.

Seul l’enregistrement d’un champ d’application d’évaluation implique des coûts. Comme l’inscription d’un participant TISAX est gratuite, votre partenaire peut recevoir gratuitement le résultat de votre évaluation. Toutefois, en l’absence d’un résultat d’évaluation propre, votre partenaire ne peut recevoir qu’un maximum de cinq résultats d’évaluation et ne peut voir aucune des publications.

6.8.4. Partage avec des salariés de votre partenaire qui n’ont pas d’accès direct au portail ENX

Seuls les salariés de votre partenaire qui ont un compte sur notre portail ENX peuvent voir directement votre résultat. Pour prouver vos labels TISAX à un salarié de votre partenaire qui n’a pas accès au portail, vous pouvez utiliser un document PDF particulier. Pour obtenir le document, veuillez suivre les étapes suivantes :

  1. Partagez le résultat de votre évaluation avec votre partenaire comme décrit à la Section 6.7, “Partager le résultat de votre évaluation avec un partenaire particulier”.

  2. Connectez-vous sur le portail ENX.

  3. Allez dans la barre de navigation principale et sélectionnez “MY TISAX” (Icône du drapeau de la France « MON TISAX »).

  4. À partir du menu déroulant, sélectionnez “SCOPES AND ASSESSMENTS” (Icône du drapeau de la France « CHAMPS D’APPLICATION ET ÉVALUATIONS »).

  5. Allez dans le tableau et identifiez-y la ligne contenant le champ d’application de votre évaluation.

  6. Vérifiez que le champ d’application de votre évaluation a le statut “Active” (Icône du drapeau de la France « Actif ») (colonne “Scope Status” (Icône du drapeau de la France « Statut du champ d’application »)).

  7. Allez au bout de la ligne du tableau du champ d’application de votre évaluation et cliquez sur le bouton avec la flèche vers le bas Image de l’icône de flèche vers le bas du portail ENX.

  8. Sélectionnez “Scope Information” (Icône du drapeau de la France « Informations sur le champ d’application »).

  9. Dans la nouvelle fenêtre (“Scope Information” (Icône du drapeau de la France « Informations sur le champ d’application »), sélectionnez l’onglet “EXCHANGE” (Icône du drapeau de la France « ÉCHANGE »).
    figure screenshot portal exchange fr

  10. Allez à la section “SHARING” (Icône du drapeau de la France « PARTAGE ») et identifiez la ligne du tableau contenant l’autorisation de partage (telle que créée à l’étape 1).

  11. Allez au bout de la ligne du tableau de l’autorisation de partage et cliquez sur le bouton avec la flèche vers le bas Image de l’icône de flèche vers le bas du portail ENX.

  12. Sélectionnez “Edit” (Icône du drapeau de la France « Modifier »)

  13. Dans la nouvelle fenêtre (“SHARE THIS SCOPE” (Icône du drapeau de la France « PARTAGER CE CHAMP D’APPLICATION »)), faites défiler jusqu’en bas et sélectionnez “Request Shared Information as PDF” (Icône du drapeau de la France « Demander des informations partagées en PDF »).

  14. Attendez un moment que le document soit généré.

  15. Téléchargez le document (“Copy of information shared with ACME.pdf (66.84 KB)” (Icône du drapeau de la France « Copie des informations partagées avec ACME.pdf (66.84 KB) »))

7. Annexes

7.1. Annexe : exemple de facture

Voici un exemple de facture que nous envoyons.

Pour de plus amples informations, veuillez consulter la Section 4.3.4, “Honoraires”.

Exemple de facture

7.2. Annexe : exemple d’e-mail de confirmation

Nous envoyons l’e-mail de confirmation une fois que vous avez terminé toutes les étapes obligatoires au cours du processus d’inscription en ligne.

Pour de plus amples informations concernant le moment où nous envoyons cet e-mail de confirmation, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.

Objet : [TISAX] Champ d’application S3ZY5V approuvé

Cher Jean Dupont,

Merci pour l’enregistrement du champ d’application de l’évaluation TISAX. J’ai procédé à l’enregistrement de votre champ d’application et ai approuvé ce dernier. Vous trouverez en pièce jointe l’extrait de champ d’application TISAX comprenant l’ensemble des informations sur le champ d’application et la liste actualisée des auditeurs TISAX.

Quelle est la prochaine étape ?

Avec l’extrait du champ d’application TISAX en pièce jointe, vous pouvez désormais demander des offres à tous les auditeurs TISAX pour votre champ d’application.

Vous avez besoin d’aide ?

Pour toute autre question concernant TISAX, veuillez lire les FAQ TISAX ou le manuel du participant TISAX (https://enx.com/en-US/TISAX/faqs/). Si vous avez besoin d’une aide supplémentaire concernant TISAX, n’hésitez pas à contacter la hotline TISAX par e-mail (tisax@enx.com) ou par téléphone (+49 69 986692-777).

Sincères salutations,

Votre équipe TISAX

7.3. Annexe : exemple d’extrait de champ d’application TISAX

Vous recevez « l’extrait du champ d’application TISAX » joint à l’e-mail de confirmation.

Pour de plus amples informations, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.

figure scope excerpt first page fr

7.4. Annexe : Participant status (Icône du drapeau de la France Statut du participant)

7.4.1. Aperçu : statut du participant

Le « statut du participant » » définit à quel stade du processus TISAX vous (en tant qu’entreprise) vous trouvez.

Votre « statut du participant » peut être :

  1. Incomplete (Icône du drapeau de la France Incomplet)

  2. Awaiting approval (Icône du drapeau de la France En attente d’approbation)

  3. Preliminary (Icône du drapeau de la France Préliminaire)

  4. Registered (Icône du drapeau de la France Inscrit)

  5. Expired (Icône du drapeau de la France Expiré)

Les tableaux dans chaque section de statut ci-dessous décrivent :

  • votre situation
    (telle qu’elle est actuellement alors que vous présentez ce statut)

  • votre prochaine action
    (ce que vous devez faire pour progresser vers le prochain statut, le cas échéant)

  • notre prochaine action
    (ce que nous devons faire pour faire passer votre statut au niveau supérieur, le cas échéant)

  • le prochain statut
    (le cas échéant)

L’illustration suivante présente les actions qui permettent de progresser d’un statut à l’autre :

figure-participant-status-overview
Illustration 37. Aperçu des statuts du participant
img callout black 01

Vous

img callout black 02

Nous

img callout black 03

Statut du participant

img callout black 04

1. Incomplet

img callout black 05

Tant que les données d’inscription sont incomplètes

img callout black 06

Inscription

img callout black 07

2. En attente d’approbation

img callout black 08

Vérifier + confirmation

img callout black 09

3. Préliminaire

img callout black 10

Résultat d’évaluation publié et partagé

img callout black 11

4. Inscrit

img callout black 12

5. Expiré

img callout black 13

Factures impayées, contrat annulé

7.4.2. Participant status “Incomplete” (Icône du drapeau de la France Statut du participant « Incomplet »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Incomplet

Vous n’avez pas terminé l’inscription TISAX.
Vous n’avez pas accepté les conditions générales,
ou vous n’avez pas spécifié le principal site du participant,
ou vous n’avez pas spécifié le principal contact de participant,
ou il manque d’autres informations requises.

Continuez sur Icône du drapeau du Royaume-Uni enx.com/en-US/SignIn

Nous vous enverrons un rappel par e-mail (généralement sous quelques jours).

En attente d’approbation

7.4.3. Participant status “Awaiting approval” (Icône du drapeau de la France Statut du participant « En attente d’approbation »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

En attente d’approbation

Votre inscription TISAX est complète.
À ce stade, vous avez ou n’avez pas encore enregistré de champ d’application pour l’évaluation.

Attendez notre prochaine action.

Nous vérifierons et en principe, nous approuverons votre demande.
Toutefois, nos vérifications sont aussi généralement déclenchées par l’enregistrement d’un champ d’application d’évaluation.
Nous vous attribuerons un ID de participant et un/des ID de champ d’application.
Nous vous enverrons un e-mail de confirmation. « L’extrait de champ d’application TISAX » en pièce jointe (PDF) résume les informations que nous avons dans notre base de données.

Préliminaire

7.4.4. Participant status “Preliminary” (Icône du drapeau de la France Statut du participant « Préliminaire »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Préliminaire

Vous avez terminé avec succès le processus d’inscription TISAX.

Payez les honoraires (le cas échéant).
Suivez le processus d’évaluation TISAX.
Publiez et partagez votre résultat d’évaluation.

Aucune

Inscrit

7.4.5. Participant status “Registered” (Icône du drapeau de la France Statut du participant « Inscrit »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Inscrit

Vous avez terminé avec succès le processus d’évaluation TISAX et avez reçu des labels TISAX.
Vous avez publié et partagé le résultat de votre évaluation.
Vous obtenez des labels TISAX uniquement si vous avez passé avec succès le processus d’évaluation TISAX. Dans le portail ENX, cela se traduit par un champ d’application de l’évaluation associé au statut « Actif ».

Aucune

Aucune

(Expiré)

Icône d’avertissement informatif

Remarque :

Si vous souhaitez accéder aux résultats d’évaluation de votre/vos partenaire(s) :

Le prérequis conceptuel pour pouvoir recevoir des résultats d’évaluation d’autres participants est soit :

  • Que vous partagiez le résultat de votre propre évaluation (cela « prouve » que vous êtes un participant TISAX sérieux et un membre de la communauté automobile) ;

  • Que nous vous reconnaissions sur la base de votre réputation dans l’industrie automobile (p. ex. : en tant que fabricant d’équipements d’origine, fournisseur de premier rang) ;

  • Que vous prouviez que vous avez un intérêt légitime à recevoir les résultats d’évaluation d’autres participants. Nous devons le vérifier lors d’un processus élaboré susceptible d’impliquer des honoraires substantiels. Pour de plus amples détails, veuillez nous contacter.

7.4.6. Participant status “Expired” (Icône du drapeau de la France Statut du participant « Expiré »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Expiré

Vous n’avez pas payé les honoraires
ou vous avez / nous avons annulé notre contrat mutuel (les CG).

Aucune

Aucune

n/a

7.5. Annexe : Assessment scope status (Icône du drapeau de la France Statut du champ d’application de l’évaluation)

7.5.1. Aperçu : Assessment scope status (Icône du drapeau de la France statut du champ d’application de l’évaluation)

Le « statut du champ d’application de l’évaluation » définit à quel stade de son cycle de vie se trouve le champ d’application de votre évaluation.

Notez que le « statut du champ d’application de l’évaluation » est différent du « statut de l’évaluation ». Pour de plus amples informations sur le « statut de l’évaluation », veuillez consulter la Section 7.6, “Annexe : Assessment status (Icône du drapeau de la France Statut de l’évaluation)”.

Le « statut du champ d’application de votre évaluation » peut être :

  1. Incomplete (Icône du drapeau de la France Incomplet)

  2. Awaiting your order (Icône du drapeau de la France En attente de votre commande)

  3. Awaiting ENX approval (Icône du drapeau de la France En attente d’approbation ENX)

  4. Awaiting your payment (Icône du drapeau de la France En attente de votre paiement)

  5. Registered (Icône du drapeau de la France Inscrit)

  6. Active (Icône du drapeau de la France Actif)

  7. Expired (Icône du drapeau de la France Expiré)

Les tableaux dans chaque section de statut ci-dessous décrivent :

  • votre situation
    (telle qu’elle est actuellement alors que vous présentez ce statut)

  • votre prochaine action
    (ce que vous devez faire pour progresser vers le prochain statut, le cas échéant)

  • notre prochaine action
    (ce que nous devons faire pour faire passer votre statut au niveau supérieur, le cas échéant)

  • le prochain statut
    (le cas échéant)

L’illustration suivante présente les actions qui permettent de progresser d’un statut à l’autre :

Aperçu du statut du champ d’application de l’évaluation
Illustration 38. Aperçu du statut du champ d’application de l’évaluation
img callout black 01

Vous

img callout black 02

Nous

img callout black 03

Statut du champ d’application de l’évaluation

img callout black 04

1. Incomplet

img callout black 05

Tant que les données d’inscription sont incomplètes

img callout black 06

Saisie des données

img callout black 07

2. En attente de votre commande

img callout black 08

Tant que l’inscription n’est pas envoyée

img callout black 09

Inscription

img callout black 10

3. En attente d’approbation ENX

img callout black 11

Vérifier + confirmation

img callout black 12

4. En attente de votre paiement

img callout black 13

Paiement

img callout black 14

5. Inscrit

img callout black 15

Évaluation

img callout black 16

6. Actif

img callout black 17

A

img callout black 18

7. Expiré

img callout black 19

Habituellement, lorsqu’un résultat d’évaluation expire

La référence hors page « A » dans l’illustration ci-dessus relie le statut du champ d’application de l’évaluation « Actif » au « statut de l’évaluation ». Pour de plus amples informations sur le « statut de l’évaluation », veuillez consulter la Section 7.6, “Annexe : Assessment status (Icône du drapeau de la France Statut de l’évaluation)”.

7.5.2. Assessment scope status “Incomplete” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « Incomplet »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Incomplet

Vous n’avez pas terminé l’enregistrement du champ d’application de l’évaluation
ou vous n’avez pas fourni toutes les informations requises.

Continuez sur Icône du drapeau du Royaume-Uni enx.com/en-US/SignIn

Nous vous enverrons un rappel par e-mail (généralement sous quelques jours).

En attente de votre commande

Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.7, “Enregistrement du champ d’application de l’évaluation”.

7.5.3. Assessment scope status “Awaiting your order” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « En attente de votre commande »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

En attente de votre commande

Vous n’avez pas terminé l’enregistrement de votre champ d’application.

Continuez sur Icône du drapeau du Royaume-Uni enx.com/en-US/SignIn

Nous vous enverrons un rappel par e-mail (généralement sous quelques jours).

En attente d’approbation ENX

Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.7, “Enregistrement du champ d’application de l’évaluation”.

7.5.4. Assessment scope status “Awaiting ENX approval” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « En attente d’approbation ENX »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

En attente d’approbation ENX

L’enregistrement de votre champ d’application de l’évaluation est terminé.

Attendez notre prochaine action.

Nous vérifierons et en principe, nous approuverons votre demande.
Nous attribuerons le(s) ID de champ d’application.
Nous vous enverrons un e-mail de confirmation. « L’extrait de champ d’application TISAX » en pièce jointe (PDF) résume les informations que nous avons dans notre base de données.

En attente de votre paiement

Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.7, “Enregistrement du champ d’application de l’évaluation”.

7.5.5. Assessment scope status “Awaiting your payment” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « En attente de votre paiement »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

En attente de votre paiement

L’enregistrement du champ d’application de votre évaluation est terminé et approuvé.
Vous avez reçu notre e-mail de confirmation et « l’extrait du champ d’application TISAX ».

Payez les honoraires (le cas échéant).
Demandez des offres à nos auditeurs TISAX.
À partir du statut « En attente de votre paiement », vous :

  • pouvez commencer à partager certaines informations relatives à l’évaluation avec votre partenaire.[40]

  • pouvez préconfigurer la publication du résultat de votre évaluation (elle ne sera effective que lorsque le statut du champ d’application de votre évaluation passera à « Actif ».


40. Au moment où le statut du champ d’application de votre évaluation est « En attente de votre paiement » ou « Inscrit », les « informations relatives à l’évaluation » comprennent le(s) site(s) du champ d’application de l’évaluation, le statut du champ d’application de l’évaluation et l’/les objectif(s) de l’évaluation. Elles n’incluent pas les résultats d’évaluation ou les labels TISAX.

En attente de votre paiement.

Inscrit

Pour de plus amples informations sur les circonstances dans lesquelles ce statut joue un rôle, veuillez consulter la Section 4.5.8, “E-mail de confirmation”.

7.5.6. Assessment scope status “Registered” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « Inscrit »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Inscrit

Le champ d’application de votre évaluation est enregistré.
Nous avons reçu l’intégralité de votre paiement ou votre statut commercial est « vert » en raison d’autres circonstances.

Suivez le processus d’évaluation TISAX.

Aucune

Actif

7.5.7. Assessment scope status “Active” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « Actif »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Actif

Vous avez terminé avec succès le processus d’évaluation TISAX et avez reçu des labels TISAX.

Publiez et partagez le résultat de votre évaluation.
Toute autorisation de publication et de partage préconfigurée à un statut inférieur devient à présent effective.

Aucune

Expiré

Pour de plus amples informations sur la publication et le partage, veuillez consulter la Section 6, “Échange (étape 3)”.

7.5.8. Assessment scope status “Expired” (Icône du drapeau de la France Statut du champ d’application de l’évaluation « Expiré »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Expiré

Soit :

  • Vous n’avez pas terminé l’enregistrement du champ d’application de votre évaluation dans les 90 jours,

  • ou il y a eu un retard excessif dans le paiement des honoraires,

  • ou vous avez abandonné le processus d’évaluation TISAX,

  • ou la validité du résultat de votre évaluation a expiré (trois ans),

  • ou vous avez apporté des modifications majeures au champ d’application de l’évaluation (exemple : plus aucun site dans un champ d’application de l’évaluation n’appartient à votre entreprise).

Démarrez un nouvel enregistrement du champ d’application de l’évaluation.

Aucune

Incomplet
ou
En attente de votre commande
ou
En attente d’approbation ENX

7.6. Annexe : Assessment status (Icône du drapeau de la France Statut de l’évaluation)

7.6.1. Aperçu : Assessment status (Icône du drapeau de la France Statut de l’évaluation)

Le « statut de l’évaluation » définit à quel stade du processus d’évaluation vous vous trouvez. Le statut change à mesure que vous progressez d’un type d’évaluation au suivant (comme « évaluation initiale » à « évaluation du plan d’action corrective »).

Notez que le « statut de l’évaluation » est différent du « statut du champ d’application de l’évaluation ». Pour de plus amples informations sur le « statut du champ d’application de l’évaluation », veuillez consulter la Section 7.5, “Annexe : Assessment scope status (Icône du drapeau de la France Statut du champ d’application de l’évaluation)”.

Votre « statut de l’évaluation » peut être :

  1. Initial assessment ordered (Icône du drapeau de la France Évaluation initiale commandée)

  2. Initial assessment ongoing (Icône du drapeau de la France Évaluation initiale en cours)

  3. Waiting for corrective action plan assessment (Icône du drapeau de la France En attente de l’évaluation du plan d’action corrective)

  4. Waiting for follow-up (Icône du drapeau de la France En attente de suivi)

  5. Finished (Icône du drapeau de la France Terminé)

Les tableaux dans chaque section de statut ci-dessous décrivent :

  • votre situation
    (telle qu’elle est actuellement alors que vous présentez ce statut)

  • votre prochaine action
    (ce que vous devez faire pour progresser vers le prochain statut, le cas échéant)

  • notre prochaine action
    (ce que nous devons faire pour faire passer votre statut au niveau supérieur, le cas échéant)

  • le prochain statut
    (le cas échéant)

L’illustration suivante présente les actions qui permettent de progresser d’un statut à l’autre :

Aperçu du statut de l’évaluation
Illustration 39. Aperçu du statut de l’évaluation
img callout black 01

Vous

img callout black 02

Statut du champ d’application de l’évaluation

img callout black 03

Statut de l’évaluation

img callout black 04

Commandez l’évaluation

img callout black 05

Évaluation initiale commandée

img callout black 06

Débutez l’évaluation

img callout black 07

Évaluation initiale en cours

img callout black 08

A

img callout black 09

Passez l’évaluation

img callout black 10

6. Actif

img callout black 11

En attente de l’évaluation du plan d’action corrective

img callout black 12

Créez un plan d’action corrective
Demandez l’évaluation du plan d’action corrective

img callout black 13

En attente de suivi

img callout black 14

Demandez l’évaluation de suivi

img callout black 15

Terminé

La référence hors page « A » dans l’illustration ci-dessus relie le statut du champ d’application de l’évaluation « Actif » au «  statut de l’évaluation » « En attente de l’évaluation du plan d’action corrective ». Pour de plus amples informations sur le « statut du champ d’application de l’évaluation », veuillez consulter la Section 7.5, “Annexe : Assessment scope status (Icône du drapeau de la France Statut du champ d’application de l’évaluation)”.

7.6.2. Assessment status “Initial assessment ordered” (Icône du drapeau de la France Statut de l’évaluation « Évaluation initiale commandée »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Évaluation initiale commandée

Vous avez sélectionné l’un de nos auditeurs TISAX et avez commandé une évaluation initiale.

Poursuivez le processus d’évaluation TISAX.

Aucune

Évaluation initiale en cours

7.6.3. Assessment status “Initial assessment ongoing” (Icône du drapeau de la France Statut de l’évaluation « Évaluation initiale en cours »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Évaluation initiale en cours

Votre évaluation initiale :

  • a commencé

  • ou est terminée, mais votre auditeur n’a pas encore envoyé le rapport TISAX

Aucune

Aucune

En attente de l’évaluation du plan d’action corrective (le cas échéant)

7.6.4. Assessment status “Waiting for corrective action plan assessment” (Icône du drapeau de la France Statut de l’évaluation « En attente de l’évaluation du plan d’action corrective »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

En attente de l’évaluation du plan d’action corrective

Votre auditeur a mené une évaluation initiale.
Votre auditeur nous a envoyé le rapport TISAX.
Le résultat de l’évaluation est non conforme (majeur/mineur).

Créez un plan d’action corrective.
Entamez les actions correctives.
Demandez une évaluation du plan d’action corrective.

Aucune

En attente de suivi (le cas échéant)

Le statut d’évaluation « En attente de l’évaluation du plan d’action corrective » est limité à neuf mois. Pour de plus amples informations, veuillez consulter la Section 5.4.8.3, “Exigences concernant le plan d’action corrective”.

7.6.5. Assessment status “Waiting for follow-up” (Icône du drapeau de la France Statut de l’évaluation « En attente de suivi »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

En attente de suivi

Votre auditeur a approuvé votre plan d’action corrective.
Vous avez mis en œuvre les actions correctives.

Demandez une évaluation de suivi.

Aucune

Terminé

Le statut de l’évaluation « En attente de suivi » est limité à neuf mois. Pour de plus amples informations, veuillez consulter la Section 5.4.8.3, “Exigences concernant le plan d’action corrective”.

7.6.6. Assessment status “Finished” (Icône du drapeau de la France Statut de l’évaluation « Terminé »)

Statut Situation Votre prochaine action Notre prochaine action Prochain statut

Terminé

Votre auditeur a mené une évaluation de suivi.
Le résultat de l’évaluation ne présente aucune non-conformité.
Votre auditeur nous a envoyé le rapport TISAX.

Publiez et partagez votre résultat d’évaluation.

Aucune

n/a

7.7. Annex: Custom scopes

Almost all TISAX participants choose the standard scope. However, in certain and rare circumstances you may need to choose a custom scope.

There are two types of custom scopes:

7.7.1. Custom extended scope

You can extend the scope. A custom extended scope contains MORE than the standard scope. The audit provider will perform more checks.

Purpose: A custom extended scope may be relevant if you want to use your TISAX assessment for internal purposes or outside of the automotive industry.

TISAX labels and sharing results: A custom extended scope always includes the standard scope. Therefore, a custom extended scope will receive TISAX labels[41]. Other TISAX participants will still accept the assessment result.

Description: While the standard scope has a predefined description, you need to write your own scope description if you need a custom extended scope.

7.7.2. Full custom scope

You can fully define your own scope.

Purpose: If you have locations that belong to different assessment scopes and that use services at a particular site (such as a data centre), you may use a full custom scope for those services. Thus, a TISAX audit provider can easily reuse the assessment result of the service’s full custom scope.

Example: You have many locations (possibly part of different scopes) and you have a central IT department at one of those locations. Defining a full custom scope just for the IT department may make it easier to reuse the respective assessment result in the other scopes.

TISAX labels and sharing results: Full custom scopes don’t receive TISAX labels. Your assessment result is recorded in the ENX portal with the date, validity period and whether the overall assessment result is conform or non-conform. You could share such an assessment result. But sharing an assessment result without TISAX labels will look like a “failed” assessment to most recipients. Other TISAX participants generally don’t accept assessment results of full custom scopes.

Description: As for the custom extended scope, you need to write your own scope description if you need a full custom scope.

Icône d’avertissement important

Important note:

To emphasize how rare the use of full custom scopes is: There is a 98% chance that your audit provider will revert your full custom scope to a standard scope. No participant ever successfully chose a full custom scope without advise from his audit provider.

An assessment with a full custom scope won’t receive TISAX labels. We therefore generally advise against choosing a full custom scope — mainly because other participants generally don’t accept assessment results with full custom scopes.
Do not choose a full custom scope if you don’t have the explicit confirmation that your partner will accept the result and agreed with your particular scope description.

7.8. Annexe : gestion du cycle de vie des données du participant

Les sections suivantes décrivent ce que vous devez faire si un élément en lien avec vos données de participant est modifié.

7.8.1. Changement du nom de l’entreprise

Si vous souhaitez modifier le nom de votre entreprise, veuillez nous contacter.

7.8.2. Changement des contacts

Les contacts principaux du participant de votre entreprise et tous les autres « contacts administratifs » ayant un compte sur le portail peuvent toujours se rendre sur le portail ENX et :

  • ajouter de nouveaux contacts

  • supprimer des contacts existants

  • modifier les détails des contacts existants

7.8.2.1. How to add a new contact

To add a new contact, follow these steps:

  1. Log in to the ENX portal.

  2. Go to the main navigation bar and select “MY TISAX”.

  3. From the dropdown menu, select “ADMINISTRATORS”.

  4. Click the button “Create new TISAX Administrator”.

  5. Enter the contact’s data.

  6. Click the button “Save Contact”.

  7. Go to the table and find the table row with the contact.

  8. Go to the end of the table row of the contact and click the button with the down arrow ENX portal icon down image.

  9. Select “Edit TISAX Administrator”.

  10. In the new window (“Edit TISAX Contact”), scroll down to the section “ENX PORTAL ACCESS”.

  11. Select “Yes”.

  12. In the appearing section “WEB ROLES”, click the button “Add Role”.

  13. Select the role you want to assign (e.g. “TISAX Administrator”).

  14. Click the button “Add Role”.

  15. Click the button “Save Contact”.

7.8.2.2. How to delete an existing contact

To delete an existing contact, follow these steps:

  1. Log in to the ENX portal.

  2. Go to the main navigation bar and select “MY TISAX”.

  3. From the dropdown menu, select “ADMINISTRATORS”.

  4. Go to the table and find the table row with the contact.

  5. Go to the end of the table row of the contact and click the button with the down arrow ENX portal icon down image.

  6. Select “Delete TISAX Administrator”.

  7. In the appearing confirmation request, click the button “Delete”.

7.8.2.3. How to update details of an existing contact

To update the details of an existing contact, follow these steps:

  1. Log in to the ENX portal.

  2. Go to the main navigation bar and select “MY TISAX”.

  3. From the dropdown menu, select “ADMINISTRATORS”.

  4. Go to the table and find the table row with the contact.

  5. Go to the end of the table row of the contact and click the button with the down arrow ENX portal icon down image.

  6. Select “Edit TISAX Administrator”.

  7. Update the details.

  8. Click the button “Save Contact”.

7.8.3. Perte d’accès aux données du participant (portail ENX)

Si dans votre entreprise, plus personne n’a accès à votre portail ENX et par conséquent à vos données de participant, veuillez nous contacter. Nous tenterons de vous aider à accéder à nouveau aux données de participant de votre entreprise.

7.8.4. Déménagements

Si seul le nom de la rue a officiellement changé, il suffit au principal contact de participant de votre entreprise de nous contacter. Nous modifierons les données d’adresse en conséquence.

Mais si l’un de vos sites déménage à une nouvelle adresse, vous devez :

  1. élargir le champ d’application de l’évaluation.
    Suivez les étapes décrites à la Section 7.8.5, “Site supplémentaire (évaluation d’extension du champ d’application)”.

  2. nous envoyer un e-mail pour nous informer que l’ancien site ne fait plus partie de votre entreprise.
    Nous actualiserons en conséquence les données du champ d’application de l’évaluation. Nous vous enverrons une confirmation.

7.8.5. Site supplémentaire (évaluation d’extension du champ d’application)

Si vous inaugurez un nouveau site durant la période de validité de vos labels TISAX actuels, vous devez demander une « évaluation d’extension du champ d’application » (Icône du drapeau du Royaume-Uni scope extension assessment) à votre auditeur. Vous ne pouvez pas sélectionner un autre auditeur pour mener une « évaluation d’extension du champ d’application ». L’évaluation est similaire aux autres types d’évaluation. Toutefois, il est probable que votre auditeur envisagera de réutiliser les résultats applicables des précédentes évaluations.

Une fois que l’évaluation d’extension du champ d’application se termine sans que des non-conformités soient identifiées, votre auditeur :

  • mettra à jour le champ d’application de votre évaluation sur le portail ENX.

  • publiera un rapport d’évaluation d’extension du champ d’application.

Une évaluation d’extension du champ d’application ne prolonge pas la période de validité d’origine de vos labels TISAX actuels.

7.9. Annexe : gestion du cycle de vie ISA

Un groupe de travail ENX est chargé de maintenir l’ISA. La VDA publie officiellement de nouvelles versions. Nous avons défini un calendrier qui détermine quelle version de l’ISA sert de base à l’évaluation TISAX à un moment donné.

Lorsque la VDA publie une nouvelle version qui contient des changements de forme et de contenu, notre calendrier commence à courir et nous distribuons la nouvelle version à nos auditeurs TISAX. En général, huit semaines plus tard, les auditeurs PEUVENT mener des évaluations sur la base de la nouvelle version. Seize semaines plus tard, les auditeurs DOIVENT mener des évaluations sur la base de la nouvelle version. Ces périodes s’appliquent aux évaluations qui sont commandées APRÈS que le calendrier a commencé à courir. Si vous avez commandé votre évaluation AVANT que le calendrier commence à courir, votre auditeur PEUT mener l’évaluation sur la base de l’ancienne version de l’ISA. Toutefois, votre auditeur recommandera généralement une évaluation basée sur la nouvelle version.

Vous trouverez les dates de publication dans l’ISA dans l’onglet « Historique des modifications » et sur le site Web ISA de la VDA (portal.enx.com/isa5-en.xlsx).

7.10. Annexe : documents utiles

La présente section énumère les documents que nous jugeons utiles.

  • Livre blanc « Harmonization of security levels »

    « Un élément clé nécessaire pour atteindre le niveau de sécurité de l’information axé sur les besoins est la classification des informations. Le présent livre blanc fournit des orientations pour des niveaux de classification harmonisés et standardisés en lien avec la confidentialité. »

    Langues disponibles : allemand, anglais

    Éditeur : Verband der Automobilindustrie e.V. (« Association allemande de l’industrie automobile »)

  • Livre blanc « Gestion du risque en matière de sécurité de l’information »

    « L’objectif de ce livre blanc est d’informer les entreprises actives dans l’industrie automobile sur la gestion du risque lié à la sécurité de l’information et de leur permettre d’instaurer une gestion efficace du risque en la matière. Il vise à aider les organisations à préparer ou mener une évaluation TISAX pour répondre aux exigences de la VDA associées à la question de contrôle 1.4.1 de l’ISA. Les informations qu’il contient doivent être considérées comme des recommandations de mise en œuvre, et non comme des exigences obligatoires. »

    Langues disponibles : allemand, anglais

    Éditeur : Verband der Automobilindustrie e.V. (« Association allemande de l’industrie automobile »)

7.11. Annex: Complaint management

7.11.1. Causes for complaint

Our complaint management differentiates between these two areas:

  1. ENX Association — the organisation that governs TISAX

  2. Audit providers — the organisations that conduct the TISAX assessments

7.11.1.1. Complaints about ENX Association

If you have a complaint about ENX Association, please contact our “TISAX manager on duty” (see contact details below).

7.11.1.2. Complaints about audit providers

First, you should try to solve the issue directly with the auditor.

The next step should be the person responsible for TISAX at the audit provider.

Thereafter, your next contact would be the person responsible for the audit provider’s quality management.

If the issue is still unsolved, you should contact our “TISAX manager on duty” (see contact details below).

There are even options above the “TISAX manager on duty”. In such cases, you would talk to ENX Association’s managing director.

The VDA has no role in the complaint management.

7.11.1.3. Requirements for complaints

If you want to involve us, we need the following information:

  • Who is complaining?

    • Company name

    • TISAX Participant ID

    • Contact (name, email address, phone number)

  • Which assessment is it?

    • Assessment ID

    • If the assessment is not yet recorded in the ENX portal: Scope ID

  • Who is the audit provider?

    • Audit provider company name

    • Name of the auditor(s)

  • What are you complaining about?

    1. General complaint about the performance of the audit provider

    2. Complaint about the approach of the auditor

    3. Complaint about the assessment with regards to content

  • For complaints about the assessment with regards to content: Which finding do you object?

    • Control (e.g. 1.6.1 "To what extent are information security events processed?")

    • Finding (full text)

    • Objection against:

      • Interpretation of the control

      • Ascertainment with regards to content (available evidence is not assessed correctly)

      • Risk assessment (appropriateness not considered)

    • Reasoning why you assess things differently

7.11.2. Contact for complaints

Please contact the “TISAX manager on duty”:

Send him an email at:

tisax-complaints@enx.com

Or call him at:

+49 69 9866927-79

You can reach him during regular business hours in Germany (UTC+01:00).

He speaks Icône du drapeau du Royaume-Uni English and Icône du drapeau de l’Allemagne German.

8. Historique du document

Version Remarques

2.3

  • Reformulation du sous-titre

  • Changement de Word/PDF en HTML comme format primaire pour le manuel

  • Autres traductions disponibles (chinois et français, cf. le point suivant)

  • Ajout de la section « Le manuel du participant TISAX dans d’autres langues et formats »

  • Tous les liens vers la page d’accueil d’ENX ont été modifiés de "https://portal.enx.com" en "https://enx.com" (les anciens liens fonctionnent toujours)

  • « VDA ISA » devient « ISA »

  • Mise à jour de la section Section 5.2, “Auto-évaluation basée sur l’ISA” pour refléter les modifications introduites dans la version 5 de l’ISA

  • Les lignes de tous les tableaux énumérant les objectifs d’évaluation ont été réorganisées pour cadrer avec le nouvel ordre des catalogues de critères dans l’ISA 5

  • Les figures énumérant les objectifs d’évaluation ont été mises à jour pour cadrer avec le nouvel ordre des catalogues de critères dans l’ISA 5

  • Mise à jour de la section « Adaptation du champ d’application » (figure 6, faute de frappe corrigée, mise à jour des objectifs d’évaluation)

  • Mise à jour de la section « Honoraires » avec des informations concernant les paiements par carte de crédit

  • Mise à jour de la section « Diagramme du processus d’évaluation TISAX » (figure 34, suppression de la référence aux fournisseurs de services gérés)

  • Mise à jour de la section « Annexe : documents utiles » (ajout du livre blanc « Gestion du risque en matière de sécurité de l’information »)

2.2.1

  • Correction de fautes d’orthographe mineures

2.2

2.1.2

  • Limite formelle pour la « distance » entre la « note de votre résultat » et la « note maximale de résultat » corrigée de 25 % à 30 %

2.1.1

  • Correction de fautes d’orthographe mineures

2.1





1. Verband der Automobilindustrie e. V. (VDA, l’association allemande de l’industrie automobile), www.vda.de
2. Vous devriez envisager de réaliser le processus TISAX de manière préventive. Certaines entreprises procèdent de la sorte pour être mieux préparées. Le fait d’avoir déjà passé l’évaluation TISAX peut impliquer une période d’initiation plus courte et dès lors vous donner une longueur d’avance sur vos concurrents qui n’ont pas encore réalisé cette évaluation.
3. Les « labels TISAX » désignent un concept visant à synthétiser le résultat de votre évaluation et constituent l’output du processus TISAX. Veuillez consulter la Section 5.4.13, “Labels TISAX” pour obtenir davantage de détails à ce sujet.
4. Vous ne devez effectuer la plupart des étapes d’inscription qu’une fois lorsque vous débutez le processus en tant que participant TISAX. Si vous renouvelez le résultat de votre évaluation, vous devez uniquement mettre à jour et confirmer vos données d’inscription.
5. Nous publierons les changements apportés à nos CG sur le portail ENX et en aviserons les contacts inscrits.
6. Cela vaut aussi pour l’ensemble des autres accords supplémentaires (p. ex : les codes de conduite).
7. Ceci est la description de champ d’application standard dans la version 1.0. Nous avons introduit un système de versions, car nous pouvons être amenés à adapter la description ultérieurement.
8. Une manière de contourner cette situation serait de : a) retirer le site du champ d’application, b) résoudre les problèmes, c) ajouter le site ultérieurement moyennant une évaluation d’extension du champ d’application
9. Veuillez noter qu’actuellement, votre partenaire n’est pas informé automatiquement des nouvelles autorisations. Peut-être souhaiterez-vous informer votre partenaire une fois que le résultat de votre évaluation sera disponible pour lui.
10. Si vous souhaitez figurer sur cette liste, veuillez nous contacter.
11. Les données probantes désignent tout élément qui appuie votre affirmation selon laquelle vous répondez à une certaine exigence. Les données probantes sont généralement des documents. Les documents internes vous serviront certainement de données probantes.
12. Les entretiens pour les évaluations de niveau d’évaluation 2 sont habituellement menés par conférence audio. À votre demande, des entrevues peuvent avoir lieu sur site.
13. Nos communications usuelles par e-mail sont envoyées uniquement aux contacts du participant. Elles ne sont pas envoyées à des comptes qui n’ont pas le rôle de participant. Pour que nos e-mails soient également envoyés aux détenteurs de comptes, attribuez-leur au moins un rôle de contact de participant supplémentaire.
14. Le minimum théorique pour des évaluations de groupe simplifiées est de trois sites.
15. Si vous savez déjà que vous devrez améliorer votre système de gestion de la sécurité de l’information, le minimum recommandé est d’au moins douze sites.
16. Pour éviter tout risque de confusion entre les chiffres et les lettres (comme 8 et B), certaines lettres ne sont pas autorisées pour les ID de participant. Néanmoins, certains anciens ID de participant peuvent contenir la lettre « G ».
17. Ces catalogues sont également appelés « modules » dans l’ISA
18. Vous trouverez la fonction Excel sous-jacente dans le ruban « Données », section « Exposer ».
19. Disposez-vous pour votre entreprise d’auditeurs responsables d’évaluations similaires (comme pour la norme ISO 27001) et qui souhaitent également mener des évaluations TISAX ? Dans ce cas, partagez le présent manuel avec eux et dites-leur de nous contacter
20. Les auditeurs qui ne sont pas inclus dans notre listing ne sont pas autorisés à mener des évaluations TISAX.
21. Si vous mettez un terme au processus d’évaluation, vous ne recevrez pas de labels TISAX.
22. Il existe en fait un quatrième type : « l’évaluation d’extension du champ d’application ». Il s’agit d’un cas spécial décrit en détail en annexe à la Section 7.8.5, “Site supplémentaire (évaluation d’extension du champ d’application)”.
23. La réunion d’ouverture officielle ne sera décrite en détail que pour l’évaluation initiale. Pour les autres évaluations TISAX, votre auditeur planifiera et organisera ces réunions.
24. Certains auditeurs peuvent utiliser les termes de « kickoff meeting » au lieu de « réunion d’ouverture officielle ».
25. La réunion de clôture officielle ne sera décrite en détail que pour l’évaluation initiale. Votre auditeur planifiera et organisera cette réunion pour les autres évaluations TISAX.
26. Si un litige ne peut être résolu, vous pouvez faire remonter le problème. Veuillez nous contacter pour plus de détails.
27. Il est toujours possible à ce stade d’apporter des modifications au champ d’application.
28. Pour de plus amples informations sur les méthodes et l’intensité des audits, veuillez consulter la Section 4.3.3.6, “Besoins de protection et niveaux d’évaluation”.
29. Si un litige ne peut être résolu, vous pouvez faire remonter le problème. Veuillez nous contacter pour plus de détails.
30. La période entre l’évaluation initiale et l’évaluation du plan d’action corrective ne peut excéder neuf mois.
31. Veuillez noter que le résultat global de votre évaluation peut toujours être « non conforme majeur », même si vous avez défini des actions correctives appropriées. C’est le cas si vos mesures ne peuvent pas prendre effet/ne prennent pas effet immédiatement.
32. Cela s’applique bien entendu uniquement à l’évaluation initiale qui a identifié des non-conformités. Vous n’avez pas besoin d’une évaluation de suivi pour une évaluation initiale présentant un résultat d’évaluation « conforme ».
33. En théorie, il peut s’agir de neuf mois après la conclusion de l’évaluation initiale.
34. Il existe en fait un quatrième type : le « rapport d’évaluation d’extension du champ d’application ». Il s’agit d’un cas spécial décrit en détail à la Section 7.8.5, “Site supplémentaire (évaluation d’extension du champ d’application)”.
35. Le « rapport TISAX » est basé sur un modèle que tous les auditeurs TISAX sont tenus d’utiliser.
36. Le terme de « renouvellement » peut prêter à confusion. Pour conserver un label TISAX plus de trois ans, vous devez repasser le processus TISAX. Cela commence par l’enregistrement d’un nouveau champ d’application d’évaluation.
37. Nous ne maintenons pas de liste « publique TISAX » des ID de participant. En effet, nous voulons éviter un partage accidentel fondé sur des noms d’entreprise similaires ou d’autres « erreurs humaines ». Par conséquent, vous devez toujours obtenir l’ID de participant de votre partenaire en le contactant directement.
38. Votre partenaire doit se connecter sur le portail et rechercher activement le résultat partagé de votre évaluation. Votre partenaire ne reçoit pas de notification automatique concernant de nouveaux résultats d’évaluation partagés.
39. La règle est définie dans les « Conditions générales de participation TISAX » (https://enx.com/tisaxgtcen.pdf).
41. “TISAX labels” are a concept to summarise your assessment result and are the output of the TISAX process. Please refer to Section 5.4.13, “Labels TISAX” for more details.