CARTIER – RGPD

Conformité • Sécurité • Sensibilisation

SUR MESURE

TISAX

TISAX

TISAX :

J’ai découvert cette norme par hasard… et elle pourrait bien vous concerner également.

Je ne m’y attendais pas.
Lors d’une discussion sans prétention avec un ami qui travaille chez AGRATI, un équipementier automobile, on parle de conformité, de sécurité, de prestataires… et là, il me dit :

« Chez nous, aucun prestataire ne passe sans TISAX. »

Je le coupe :

« Sans TIS-quoi ? »

C’est comme ça que j’ai découvert TISAX, une norme essentielle mais méconnue, pourtant de plus en plus exigée dans l’industrie, notamment dans le secteur automobile.

Et si vous êtes consultant, prestataire numérique, agence de communication, développeur, ou simplement en relation avec des clients industriels, vous pourriez bien être concerné par TISAX sans même le savoir.

TISAX : de quoi s’agit-il exactement ?

TISAX signifie Trusted Information Security Assessment Exchange.
C’est un standard d’évaluation de la sécurité de l’information, développé par l’association ENX à la demande des constructeurs et équipementiers automobiles (Volkswagen, BMW, etc.).

Son objectif :
S’assurer que les fournisseurs et sous-traitants respectent un niveau de sécurité acceptable, notamment sur la confidentialité, la cybersécurité, et la protection des données personnelles.

TISAX en pratique : comment ça marche ?

On pourrait croire que c’est une énième usine à gaz, mais le principe est plutôt simple une fois qu’on a compris la logique.

Avant tout, TISAX s’applique à un périmètre précis : un site, un service, une activité… ce n’est pas toute l’entreprise qui est évaluée, mais la partie concernée par des données sensibles (par exemple un bureau d’études, une équipe IT, ou un site industriel).

Ensuite, il faut remplir un questionnaire structuré (appelé VDA ISA). Il est basé sur des critères proches de ceux de la norme ISO 27001, mais adapté aux réalités terrain de l’automobile : accès aux bâtiments, protection des documents, sécurité informatique, confidentialité des projets, etc.

Puis vient le moment de l’audit. Il existe trois niveaux :

  1. Une auto-évaluation (peu utilisée seule)
  2. Un audit classique à distance ou sur site
  3. Un audit renforcé, pour les données vraiment sensibles (comme les prototypes ou les secrets industriels)

Une fois l’audit réalisé, le résultat est publié sur une plateforme sécurisée (ENX), et il est partageable aux clients pendant trois ans.

C’est ce qui permet à un constructeur ou un grand groupe de vérifier que vous êtes “TISAX ready” sans vous demander 50 PDF ou politiques internes.

Il ne s’agit pas d’une certification classique comme l’ISO 27001, mais d’un label métier, pensé pour faciliter les échanges entre industriels et prestataires sur les questions de cybersécurité.

Quel lien entre TISAX et le RGPD ?

Contrairement à certaines normes centrées uniquement sur l’IT, TISAX intègre nativement les exigences du RGPD.

Cela signifie que la protection des données personnelles est explicitement évaluée, au même titre que :

  • la sécurité des réseaux,
  • le contrôle des accès physiques,
  • la gestion des tiers,
  • ou encore la confidentialité des projets industriels.

Si vous êtes déjà engagé dans une démarche RGPD ou ISO 27001, vous êtes probablement déjà sur la bonne voie pour répondre aux exigences TISAX.

Qui est concerné par TISAX (même sans le savoir) ?

TISAX ne s’adresse pas uniquement aux constructeurs ou équipementiers.
De nombreuses entreprises indirectement impliquées dans la chaîne de valeur peuvent être concernées, notamment si elles :

  • Gèrent de l’hébergement ou des infrastructures IT
  • Proposent du développement logiciel ou du design industriel
  • Interviennent sur des projets confidentiels ou prototypes
  • Traitent des données RH ou clients pour un acteur de l’auto

Un prestataire peut se voir refuser un contrat simplement parce qu’il ne dispose pas du label TISAX.

Pourquoi c’est stratégique pour les PME et les indépendants ?

Les exigences des grands comptes évoluent rapidement.
Même pour des prestations indirectes (maintenance, sous-traitance, consulting…), la conformité TISAX devient un critère de sélection.

Avoir ce label, c’est :

  • Gagner en crédibilité auprès des clients industriels,
  • Lever des freins à l’entrée sur certains marchés,
  • Structurer sa cybersécurité selon un standard métier reconnu.

Et moi, dans tout ça ?

Vous l’aurez compris, je ne suis pas expert Tisax.

Je viens tout juste de découvrir ce standard, et c’est justement ce qui m’a donné envie de le vulgariser.

Je viens tout juste de découvrir cette norme, mais en creusant un peu, j’ai réalisé qu’il était déjà bien présent dans certains secteurs.
Comme je suis encore en train de m’approprier cette norme, j’ai voulu poser les bases de manière simple, pour celles et ceux qui la croiseraient à leur tour.

Envie d’en discuter ?

Si vous souhaitez savoir si TISAX peut devenir un levier stratégique pour votre activité (ou au contraire, si vous pouvez vous en passer sereinement), n’hésitez pas à me contacter.
Une simple discussion permet souvent d’éclaircir les choses rapidement.

Comme quoi… il suffit parfois d’un échange entre amis pour découvrir un nouveau pan de la conformité à explorer.

Contactez nous !

Le site officiel de Tisax

Michaël

Catégories : , ,

Ce site utilise uniquement des cookies essentiels pour son bon fonctionnement.

C'est noté !
X