> ./exec Infosec.sh — ARTICLE
TISAX vs. ISO 27001 : quelle norme s'impose aux équipementiers automobiles ?
MarcusLa réponse courte : en tant qu'équipementier automobile, vous n'avez pas le choix. TISAX n'est pas une option que l'on met en balance avec ISO 27001. C'est une condition d'accès au marché.
Quiconque traite, en tant que fournisseur de rang 1 ou de rang 2, des données de véhicules confidentielles, des prototypes ou des informations OEM soumises à protection a besoin d'une attestation TISAX. BMW, Mercedes-Benz, Volkswagen et leurs partenaires directs de rang 1 ne demandent pas si vous êtes certifié ISO 27001. Ils demandent votre label TISAX. Sans celui-ci, vous êtes écarté du processus de sélection.
Cela peut sembler sévère. C'est pourtant la réalité de l'écosystème automobile européen depuis le lancement du programme TISAX par l'ENX Association en 2017.[1]
Cette question revient pourtant régulièrement dans mes projets avec des clients ETI. La plupart du temps parce qu'un consultant spécialisé ISO 27001 a présenté les exigences TISAX comme « fondamentalement identiques ». C'est faux. Et coûteux.
Ce qu'est réellement TISAX
TISAX est l'acronyme de Trusted Information Security Assessment Exchange. Le programme a été développé par le Verband der Automobilindustrie (VDA) et est opéré par l'ENX Association. Sa base technique est le catalogue VDA ISA (Information Security Assessment), qui s'appuie sur les principes de l'ISO/IEC 27001, mais y ajoute des exigences spécifiques à l'industrie automobile.
TISAX distingue trois niveaux d'évaluation :
Le niveau d'évaluation 1 est un contrôle de plausibilité. Le participant s'auto-évalue à partir du questionnaire VDA ISA. Aucune vérification externe. Non exploitable pour les exigences OEM.
Le niveau d'évaluation 2 est le label standard pour la majorité des fournisseurs. Un prestataire d'audit accrédité vérifie l'auto-évaluation et conduit des entretiens. Les OEM acceptent ce label pour le traitement des informations confidentielles et des données de développement.
Le niveau d'évaluation 3 s'applique aux données particulièrement sensibles : prototypes soumis à confidentialité stricte, architectures de véhicules expérimentales, données à caractère sécuritaire national. Peu d'ETI impliquées dans le développement actif de véhicules échappent au niveau 3.[2]
Le résultat de l'évaluation n'est pas rendu public. Il est partagé de manière sélective entre fournisseur et OEM via la plateforme ENX. TISAX n'est pas un certificat public, mais une preuve de confiance bilatérale au sein de la chaîne d'approvisionnement automobile.
Ce qu'est réellement ISO 27001
L'ISO/IEC 27001 est la norme internationale relative aux systèmes de management de la sécurité de l'information. Elle définit les exigences de mise en place, d'exploitation, de surveillance et d'amélioration continue d'un SMSI. La norme est délibérément agnostique en termes de secteur : elle s'applique indifféremment aux banques, aux établissements de santé, aux éditeurs SaaS et aux équipementiers automobiles.
La certification ISO 27001 est délivrée par un organisme accrédité, publiquement visible et reconnue à l'international. Elle signale une maturité dans le management de la sécurité. Elle ne dit rien sur la conformité aux exigences de protection spécifiques au secteur automobile.
ISO 27001, c'est la fondation. TISAX, c'est l'édifice construit sur cette fondation à des fins industrielles spécifiques. Présenter à l'OEM uniquement la fondation, ce n'est pas avoir un édifice.
La différence décisive : des exigences spécifiques au domaine
Vaughn Vernon décrit dans ses travaux sur le Domain-Driven Design comment chaque domaine métier développe son propre langage et ses propres règles, que des approches génériques ne peuvent structurellement pas couvrir intégralement.[3] Cela vaut pour l'architecture logicielle. Cela vaut tout autant pour les référentiels de conformité.
Le domaine automobile comporte des exigences qui n'apparaissent tout simplement pas dans ISO 27001 : protection des prototypes en transit, interdiction de caméras dans certaines zones de développement, segmentation réseau pour les données de développement de véhicules, exigences spécifiques concernant les chaînes d'externalisation vers les partenaires de développement logiciel. Le catalogue VDA ISA intègre ces contrôles explicitement. L'Annexe A de l'ISO 27001 ne les mentionne pas.
Présenter à un OEM une certification ISO 27001 comme preuve TISAX revient à démontrer que l'on ne comprend pas la différence. Ce n'est pas un argument de négociation, c'est un critère d'exclusion.
La profondeur d'audit diffère également de manière fondamentale. Un audit ISO 27001 examine le système de management. Un TISAX Assessment de niveau 2 contrôle la mise en oeuvre concrète à travers 60 à plus de 80 contrôles obligatoires, vérifiés par des entretiens et des documents justificatifs. Ce n'est pas « fondamentalement identique ».
La recommandation : TISAX d'abord, ISO 27001 comme complément pertinent
Je n'entretiens pas de zone grise. Pour les ETI du secteur automobile, la priorisation est la suivante :
Si vous avez ou visez des contrats OEM : le TISAX Assessment de niveau 2 n'est pas optionnel. Clarifiez avec votre interlocuteur OEM le périmètre que l'évaluation doit couvrir. Mandatez un prestataire d'audit TISAX accrédité et commencez par une analyse d'écarts par rapport au catalogue VDA ISA en vigueur.
Si vous servez en parallèle des clients hors secteur automobile : ISO 27001 peut être pertinent comme certification complémentaire. Il s'adresse aux clients extérieurs à l'écosystème automobile qui ne connaissent pas TISAX et ne l'exigent pas. Les deux référentiels présentant d'importantes zones communes dans leurs contrôles, le surcoût d'ISO 27001 après un TISAX Assessment solide reste limité.
Si vous avez uniquement ISO 27001 et attendez des demandes TISAX : cela ne fonctionnera pas. Le délai jusqu'à l'attestation TISAX est typiquement de 9 à 18 mois, selon la maturité de vos mesures de sécurité existantes et la complexité du périmètre évalué. Commencez maintenant.
L'ordre est clair : TISAX en premier, parce que le marché l'exige. Puis ISO 27001 en option, parce qu'elle ouvre des marchés supplémentaires et rend la gouvernance interne visible à l'international.
Conseil TISAX : ce qui fonctionne réellement dans les ETI
Voici ce que j'observe en pratique, et ce que je recommande à tout RSSI dans une ETI du secteur automobile :
Vérifiez le background VDA ISA de votre consultant. La question décisive n'est pas de savoir si quelqu'un est auditeur principal certifié ISO 27001. La question est de savoir combien d'assessments TISAX il a accompagnés et à quels niveaux. Quelqu'un qui ne connaît qu'ISO 27001 vous construira un SMSI qui échouera aux contrôles spécifiques à l'automobile lors de l'Assessment TISAX.
Commencez par une analyse d'écarts structurée par rapport au VDA ISA en vigueur. Le catalogue est régulièrement mis à jour ; la version actuellement en vigueur est la 6.0.[2] Un consultant expérimenté conduit cette analyse d'écarts en deux à quatre jours et livre une liste de lacunes priorisée avec classification des risques.
Définissez le périmètre d'évaluation avec précision. Un périmètre trop large coûte du temps, de l'argent et augmente le risque d'audit. Un périmètre trop étroit conduit les OEM à réclamer des sites ou des systèmes que vous avez écartés. La définition du périmètre est l'une des décisions les plus critiques de toute la préparation TISAX.
Prévoyez au minimum 12 mois pour le niveau d'évaluation 2. Qui sous-estime l'effort produit des dettes de conformité sans maturité opérationnelle de sécurité derrière. Martin Fowler a popularisé la notion de « dette technique » pour décrire les coûts à long terme des raccourcis dans les systèmes logiciels.[4] L'analogie s'applique de la même manière aux dettes de conformité : qui implémente des contrôles sur le papier sans profondeur de mise en oeuvre réelle génère des risques qui se matérialisent lors du prochain cycle d'évaluation ou en cas d'incident.
Choisissez consultant et prestataire d'audit de manière indépendante. L'ENX publie la liste des prestataires d'audit accrédités. Celui qui vous prépare et celui qui conduit l'évaluation ne doivent pas venir de la même structure. Conflit d'intérêts.
Utilisez TISAX comme levier de construction d'un SMSI, et non comme un projet de checklist. L'Office fédéral de la sécurité des systèmes d'information (BSI) recommande, pour la construction de systèmes de management de la sécurité de l'information dans les ETI, une approche basée sur les risques avec une détermination systématique des besoins de protection comme point de départ.[5] TISAX impose précisément cela : classification de l'information, sélection de contrôles basée sur les risques, documentation traçable. Qui construit TISAX correctement dispose, après deux cycles, d'un SMSI solide qui couvre largement les exigences ISO 27001.
Conclusion
TISAX ou ISO 27001 n'est pas un arbitrage stratégique pour les ETI du secteur automobile. C'est une réalité de marché. TISAX est obligatoire dès lors que vous traitez des données OEM. ISO 27001 est un complément pertinent si vous visez des marchés extérieurs à la chaîne d'approvisionnement automobile.
Qui confond les deux paie deux fois : une fois pour une certification ISO 27001 qu'aucun OEM n'exige, et une fois pour l'Assessment TISAX qui finit de toute façon par s'imposer.
Investissez dans un conseil TISAX de qualité, qui connaît le VDA ISA, délimite précisément le périmètre et construit une maturité de sécurité opérationnelle. Le reste n'est qu'administration.
Sources
[1] ENX Association. TISAX Participant Handbook, Version 3.0. ENX Association, 2024. https://portal.enx.com/tisaxPH.pdf
[2] Verband der Automobilindustrie (VDA). Information Security Assessment (ISA), Version 6.0. VDA, 2024. https://www.vda.de/de/themen/digitalisierung/informationssicherheit
[3] Vernon, Vaughn. Implementing Domain-Driven Design. Addison-Wesley Professional, 2013.
[4] Fowler, Martin. "Technical Debt". martinfowler.com, 2019. https://martinfowler.com/bliki/TechnicalDebt.html
[5] Bundesamt für Sicherheit in der Informationstechnik (BSI). IT-Grundschutz-Kompendium, Edition 2024. BSI, 2024. https://www.bsi.bund.de/grundschutz
Marcus
Solution Architect
Architecture globale, ADR, coherence technique, knowledge graphs.
Besoin d'aide sur Infosec?
Premier échange gratuit, forfait après audit.
INIT_CONSULTATION() →