TISAX (Trusted Information Security Assessment eXchange) est le référentiel de l'industrie automobile pour l'évaluation de la sécurité de l'information et de la cybersécurité des fournisseurs d'équipements et de services du secteur.
Développé par la VDA (association des constructeurs automobiles allemands) et le réseau ENX (une solution commune de l'industrie automobile européenne), le référentiel VDA ISA 6.0 vise l'échange sécurisé de données critiques relatives au développement, aux achats et au contrôle de la production. Il fait l'objet d'un audit annuel par des organismes indépendants de certification Tierce-Partie accrédités.
La version 6.0 de VDA ISA comporte un grand nombre d'améliorations qui protégeront les interconnexions au sein du maillage de la chaîne d'approvisionnement et rendront les évaluations TISAX plus simples et plus harmonisées.
La version 6.0 du TISAX VDA ISA
La version 6 a été publiée en octobre 2023. Les mises à jour qu'elle recèle constituent une étape cruciale vers le renforcement de l'infrastructure de cybersécurité dans l'industrie automobile.
Les principaux changements font ressortir un accent plus précis sur la disponibilité des technologies de l'information (IT) et des technologies opérationnelles (OT) des fournisseurs et la révision complète du catalogue de protection des données personnelles.
Les labels TISAX ont également été modifiés : les anciens labels "Info High" et "Info Very High" ont été remplacés par "Confidential" et "Strictly Confidential". Cette transition clarifie les exigences de sécurité pour les fournisseurs de pièces de production et d'infrastructure afin de protéger les secrets commerciaux.
En outre, la version 6 de l'ISA a imposé le passage de sa principale langue de travail à l'anglais. Le VDA prévoit de proposer d'autres versions linguistiques à l'avenir, mais en cas de différences avec les autres langues, c'est la version anglaise qui primera et sera utilisée pour résoudre les éventuelles inéxactitudes de traduction.
De plus, puisque d'autres normes touchant à la cybersécurité font également l'objet d'améliorations continues, le référentiel VDA ISA 6.0 a pris en compte les évolutions récentes des normes connexes.
Une nouvelle révision de la norme ISO/IEC 27001 a été publiée en 2022 et, par conséquent, le référentiel VDA ISA 6.0 contient désormais des références à la révision 2022 de la norme ISO/IEC 27001. En complément, le référentiel VDA ISA 6.0 est désormais assorti d'une nouvelle correspondance avec la version 1.1 du référentiel NIST CSF.
Calendrier de transition
La VDA a fixé au 1er avril 2024 la date d'entrée en vigueur de la VDA ISA 6.0 au niveau du TISAX. Les règles de transition relatives à cette date d'entrée en vigueur sont les mêmes que pour les changements précédents :
- Les évaluations déjà réalisées selon les anciennes versions conserveront toute leur validité. Si vos labels TISAX n'arrivent pas à expiration, aucune réévaluation n'est nécessaire.
- Les nouvelles procédures d'évaluation TISAX commandées jusqu'au 31 mars 2024 seront menées en utilisant la version 5.0 du VDA ISA.
- Les nouvelles procédures d'évaluation TISAX commandées à partir du 1er avril 2024 seront menées en utilisant la version 6.0 du VDA ISA.
- Les activités d'évaluation liées à une évaluation existante, telles que les évaluations de plans d'action corrective, les suivis ou les extensions de portée, seront menées selon la même version que l'évaluation d'origine.
- Si une organisation a commandé de nouvelles activités d'évaluation à temps pour la version 5.0 du VDA ISA mais pense que la version 6.0 du VDA ISA lui convient mieux, elle peut éventuellement passer à la version 6.0 du VDA ISA pour les activités d'évaluation exécutées après le 1er avril 2024. Pour savoir s'il est possible de passer à la version 6.0 du VDA ISA et quelles sont les conditions applicables, les organisations doivent contacter leur prestataire de services d'audit.
Se préparer à la mise en œuvre
Nous vous recommandons de commencer à préparer la transition le plus tôt possible et de planifier correctement le déploiement des changements requis dans votre système de management.
Étapes recommandées :
- Familiarisez-vous avec la mise à jour du référentiel, en vous concentrant sur les changements ;
- Formez le personnel concerné au sein de votre organisation pour vous assurer qu'il comprend les exigences et les principaux changements ;
- Identifiez les lacunes à combler et formulez un plan de mise à niveau de votre système de management ;
- Mettez à jour votre système de management et déployez les actions d’amélioration.
Comment DNV peut vous aider ?
Que vous cherchiez à effectuer une transition ou que vous commenciez votre parcours de certification, DNV peut être votre partenaire.
Nous proposons des formations aux normes et référentiels et à leur transition, des auto-évaluations, des Gap Analysis et des certifications.
