L'association allemande des constructeurs automobiles (VDA) déploie une nouvelle version optimisée de son évaluation de la sécurité de l'information (ISA), la VDA ISA 6.0. Ce changement entrera en vigueur le 1er avril 2024 et simplifiera et rationalisera les audits vers le mécanisme d'audit et d'échange ENX correspondant - Trusted Information Security Assessment Exchange (TISAX®).
Dans tous les secteurs, l'information et la cybersécurité prennent une importance nouvelle. C'est particulièrement vrai pour l'industrie automobile, où la sécurité de la chaîne d'approvisionnement et la confidentialité des nouveaux modèles et composants sont d'une importance capitale. Les constructeurs automobiles exigent donc que les fournisseurs démontrent qu'ils respectent les exigences en matière de sécurité de l'information, notamment en ce qui concerne la confidentialité et un niveau approprié de résilience contre les perturbations, tant dans le domaine cybernétique que dans celui de la sécurité physique.
Pour répondre à cette exigence, le VDA et l'ENX, qui représentent les constructeurs automobiles, les fournisseurs et les organisations de toute l'Europe, ont collaboré à l'élaboration d'une norme prévoyant des mesures de protection adéquates. Deux résultats importants de cette collaboration sont la norme industrielle pour les évaluations de la sécurité de l'information, le catalogue VDA Information Security Assessment (VDA-ISA), et le mécanisme d'audit et d'échange ENX Trusted Information Security Assessment Exchange (ENX TISAX).
"La nouvelle version VDA ISA 6.0 apporte des changements positifs aux évaluations TISAX", déclare Alexey Komlev, ICT Global Technical Hub Manager chez DNV, et ajoute : "La mise à jour conduira à une plus grande efficacité et précision du processus d'évaluation, bénéficiant à la fois à nos clients et à nos auditeurs-rices. En tant que fournisseur officiel d'audits TISAX, nous nous réjouissons de créer ensemble un avenir plus sûr".
Selon VDA, les deux normes constituent également une base importante dans l'industrie pour la conformité aux réglementations légales, telles que la réglementation NIS 2 de l'Union européenne et d'autres directives de l'UE, ainsi que leurs mises en œuvre nationales dans les États membres de l'UE.
La norme VDA ISA 6.0 apporte un certain nombre d'améliorations, dont la principale est de mettre davantage l'accent sur les technologies de l'information (IT) et les technologies opérationnelles (OT) et de créer de nouveaux labels TISAX pour mieux protéger les secrets commerciaux. De nouvelles étiquettes concernant la disponibilité des produits ont été introduites plus tôt en 2023 et les changements à partir du 1er avril 2024 concernent la confidentialité.
Les changements apportés aux étiquettes TISAX verront les anciennes étiquettes "Info High" et "Info Very High" faire place à "Confidential" et "Strictly Confidential". Cette transition clarifie les exigences de sécurité pour les pièces de production et les fournisseurs d'infrastructure afin de protéger les secrets commerciaux.
Les évaluations TISAX commandées avant le 1er avril 2024 continueront à utiliser les anciens objectifs "Info". Après cette date, elles effectueront une transition automatique vers les nouveaux labels "Confidentiel" et "Strictement confidentiel".
