Le guide essentiel des évaluations de fournisseurs TISAX® et les raisons pour lesquelles les MSP sont les plus importants

Table des matières

Introduction
Pourquoi vous ne pouvez pas ignorer le risque fournisseur
Les 5 raisons principales pour lesquelles TISAX® exige des évaluations des fournisseurs
Les contrôles spécifiques de TISAX® qui l'exigent
Que faire si votre fournisseur n'est pas conforme à TISAX® ?
Ce qui se passe si vous sautez cette étape
Les avantages pour votre fournisseur et votre MSP
Dernier point à retenir : Faire de l'évaluation des fournisseurs un élément non négociable
Comment nous vous aidons à évaluer vos fournisseurs

Introduction

 
Vous vous préparez à votre évaluation TISAX®. Vous avez commencé à définir vos politiques de sécurité interne, à combler les lacunes et à préparer votre équipe à ce qui l'attend. C'est alors qu'un événement inattendu se présente à vous :

"Devons-nous également évaluer nos fournisseurs ?

La réponse est oui. Tous les fournisseurs qui traitent des informations sensibles ou fournissent des services ayant une incidence sur votre sécurité doivent être évalués. Cela va des concepteurs aux constructeurs de prototypes, en passant par les fournisseurs de services en ligne.

Mais il y a un hic : tous les fournisseurs n'ont pas le même poids. Certains ne touchent que des données à faible risque, tandis que d'autres sont au cœur même de vos opérations. En matière de risque, les fournisseurs de services gérés (MSP) sont ceux que vous ne pouvez pas vous permettre de négliger. Ils gèrent votre informatique, traitent vos données et ont souvent un accès privilégié à vos systèmes. S'ils ne sont pas sécurisés, vous ne l'êtes pas non plus.

C'est pourquoi TISAX® ne se contente pas d'examiner vos propres contrôles. Il s'intéresse à tous les acteurs de votre chaîne d'approvisionnement. Et si vos fournisseurs, en particulier vos MSP, ne sont pas évalués, vous n'obtiendrez pas le label. C'est aussi simple que cela.

Pourquoi vous ne pouvez pas ignorer les risques liés aux fournisseurs

 
TISAX® ne fait aucune distinction entre les systèmes internes et les systèmes externalisés. Si un fournisseur touche vos données, il fait partie de votre périmètre de sécurité.

Cela signifie que chaque fournisseur est important, mais les MSP se trouvent au sommet de la pyramide des risques. Ils ne se contentent pas de traiter des fichiers : ils contrôlent souvent l'infrastructure sur laquelle votre entreprise fonctionne. En cas de défaillance, les retombées peuvent être aussi dommageables qu'une brèche à l'intérieur de vos propres murs.

C'est la raison pour laquelle les auditeurs prennent le risque fournisseur très au sérieux : ignorer ne serait-ce qu'un seul fournisseur à haut risque pourrait compromettre l'ensemble de vos efforts de mise en conformité.

Les 5 principales raisons pour lesquelles TISAX® exige des évaluations des fournisseurs

1. La responsabilité partagée n'est pas négociable
   Vous êtes responsable de tous les fournisseurs qui traitent des informations sensibles. Les MSP, en raison de leur accès privilégié, sont les plus critiques.

2. Votre fournisseur détient vos "objets de protection".
   Qu'il s'agisse de données de prototypes ou d'enregistrements de clients, si un fournisseur y a accès, c'est qu'il en a la garde. Les MSP détiennent souvent les "objets de protection" les plus précieux de votre environnement informatique.

3. Vous avez besoin d'une vision holistique du risque
   TISAX® exige que vous considériez les risques dans l'ensemble de votre chaîne d'approvisionnement, et pas seulement en interne. Les fournisseurs à haut risque, tels que les MSP, doivent être évalués en détail.

4. Les maillons faibles brisent la chaîne
   Chaque fournisseur fait partie de l'écosystème de la sécurité. Mais les MSP peuvent être le maillon faible le plus important en raison de leur accès privilégié.

5. Votre étiquette TISAX® représente bien plus que vous.
   Si votre fournisseur n'est pas digne de confiance, votre étiquette et votre réputation perdent de leur valeur. Et si ce fournisseur est votre MSP, le risque est multiplié.

Les contrôles spécifiques de TISAX® qui l'imposent

 
Deux contrôles du catalogue VDA ISA version 6.0.3 (anglais) rendent l'évaluation des fournisseurs obligatoire :

Contrôle 6.1.1 : Dans quelle mesure la sécurité de l'information est-elle assurée entre les contractants et les partenaires de coopération ?

S'applique à tous les fournisseurs. Vous devez faire respecter les obligations de sécurité dans les contrats, contrôler leur conformité et prouver que vous gérez leurs risques.

Contrôle 5.3.3 : Dans quelle mesure la restitution et le retrait sécurisé des actifs informationnels des services informatiques externes sont-ils réglementés ?

S'applique en particulier aux fournisseurs de services de gestion et de technologie de l'information (MSP). Vous avez besoin de règles définies pour le retour ou la suppression des données en toute sécurité lorsque le service prend fin.

L'ensemble de ces contrôles prouve que vous ne pouvez ignorer aucun fournisseur, mais les MSP sont ceux que votre auditeur examinera le plus attentivement.

Que faire si votre fournisseur n'est pas conforme à TISAX® ?

• Effectuer une évaluation des risques : Pour tous les fournisseurs, mais en donnant la priorité aux fournisseurs de services de gestion de la chaîne d'approvisionnement en raison du risque élevé qu'ils présentent.
• Mettre à jour les contrats : Inclure des clauses de sécurité, de signalement des incidents et de retour/suppression des données.
• Obtenez des preuves : Exigez des preuves de sécurité ; dans le cas des prestataires de services de gestion de l'information, il convient d'être particulièrement rigoureux.
• Contrôler régulièrement : Exercer une surveillance continue sur tous les fournisseurs, avec des vérifications plus approfondies pour les prestataires de services de gestion.
• Disposer d'un plan d'urgence : Limitez l'accès ou remplacez les fournisseurs à haut risque si nécessaire.

Votre fournisseur n'a pas besoin d'un label TISAX®, mais vous devez prouver que vous le gérez correctement, en particulier les MSP.

Que se passe-t-il si vous sautez cette étape ?

• Vous risquez d'échouer à l'audit TISAX® si un risque fournisseur n'est pas géré.
• Votre label pourrait être perçu comme faible ou peu fiable, surtout si votre MSP n'est pas couvert.
• Un manquement de la part d'un fournisseur peut nuire à votre réputation.
• Vous manqueriez une occasion de renforcer votre position globale en matière de sécurité.

En résumé, ignorer les évaluations des fournisseurs, en particulier pour les MSP, est une voie directe vers la non-conformité.

Les avantages pour votre fournisseur, y compris votre MSP

 
Les fournisseurs considèrent souvent les évaluations TISAX® comme un travail supplémentaire. Mais en réalité, la coopération apporte de réels avantages :

1. Position plus forte sur le marché : La conformité en fait un partenaire privilégié.
2. Amélioration des pratiques de sécurité : Les évaluations permettent de combler les lacunes en matière de sécurité.
3. Une plus grande confiance de la part des clients : Les fournisseurs soucieux de la sécurité obtiennent de meilleurs contrats.
4. Négociations contractuelles plus faciles : Moins de réticences lorsque les exigences sont déjà prouvées.
5. La protection de l'avenir : La mise en conformité leur permet de rester compétitives face à l'augmentation des exigences en matière de sécurité.

Avantage supplémentaire : Prêt pour d'autres certifications

L'alignement sur les exigences des fournisseurs de TISAX® prépare également les MSP et les fournisseurs de services informatiques :

• ISO/IEC 27001:2022 : surveillance des fournisseurs requise aux points A.5.19- A.5.21.
• CMMC : la surveillance du fournisseur est requise pour le traitement des CUI conformément aux points 3.12.1 et 3.1.20.

En répondant aux exigences de TISAX®, les MSP peuvent réutiliser la même documentation et les mêmes preuves dans tous les secteurs, ce qui fait d'eux des partenaires prêts pour la conformité au-delà de l'automobile.

Dernier point à retenir : Faire de l'évaluation des fournisseurs un élément non négociable

 
Si vous visez la certification TISAX®, l'évaluation des fournisseurs n'est pas facultative. Elle est obligatoire pour tous les fournisseurs. Et les MSP sont les plus critiques.

En évaluant, en documentant, en appliquant et en contrôlant vos fournisseurs, vous protégerez votre conformité, votre réputation et vos relations avec vos clients. Pour les fournisseurs, ces évaluations ne sont pas seulement un fardeau. Elles leur donnent l'occasion de renforcer leur activité et de se préparer à l'avenir à des exigences de certification plus larges.

Parce qu'en fin de compte, TISAX® est une question de confiance. Et la confiance n'est possible que si l'ensemble de la chaîne d'approvisionnement est sécurisée, à commencer par vos MSP.

Comment nous vous aidons à évaluer vos fournisseurs

 
Réussir l'évaluation des fournisseurs peut sembler insurmontable, mais il n'est pas nécessaire de partir de zéro. Pour faciliter ce processus, nous avons préparé trois outils pratiques qui sont alignés sur TISAX Control 6.1.1 et 5.3.3, ainsi que sur les exigences de la norme ISO 27001 relatives aux fournisseurs.

Voici ce que vous pouvez utiliser immédiatement :

1. Modèle d'évaluation des risques liés à la sécurité de l'information des fournisseurs

Ce modèle vous aide à évaluer chaque fournisseur en fonction de quatre facteurs clés :

• Sensibilité des données
• Niveau d'accès au système
• Impact sur l'entreprise en cas de défaillance du service
• Accès aux prototypes

Il comprend un modèle intégré d'évaluation des risques (faible, moyen, élevé) et vous guide sur les mesures de diligence raisonnable requises à chaque niveau : par exemple, des accords de confidentialité et des clauses contractuelles pour les risques faibles, des questionnaires de sécurité pour les risques moyens et des certifications formelles pour les risques élevés.

Cette première étape permet de déterminer les fournisseurs qui doivent faire l'objet d'une évaluation plus approfondie.

2. Questionnaire essentiel sur la sécurité des fournisseurs

Il s'agit d'un contrôle rapide en 15 questions qui couvre les contrôles de sécurité de base de TISAX et de la norme ISO 27001 :

• Politique de sécurité et gouvernance
• Contrôles d'accès (MFA, moindre privilège)
• Cryptage
• Gestion des incidents et notification des violations
• Certifications et conformité (par exemple, TISAX, ISO 27001, SOC 2)

Il est doté d'un système de notation simple :

• 13-15 "Oui" = risque faible
• 10-12 "Oui" = Risque moyen
• Inférieur à 10 "Oui" = risque élevé

Utilisez cette méthode pour tous les fournisseurs, et en particulier pour filtrer ceux qui ne répondent pas aux exigences les plus élémentaires.

3. Questionnaire détaillé sur la sécurité du fournisseur

Pour les fournisseurs essentiels tels que les MSP, ce questionnaire en 11 sections permet d'approfondir des domaines tels que

• Gouvernance de la sécurité de l'information et gestion des risques
• Sécurité des ressources humaines (vérification des antécédents, formation)
• Contrôle d'accès et cryptographie
• Sécurité physique et environnementale
• Sécurité des opérations, correctifs et surveillance
• Réponse aux incidents et continuité des activités
• Conformité, protection des données et de la vie privée
• Services en nuage et services de tiers
• Gestion de la vulnérabilité

Il comprend un guide de notation qui classe les fournisseurs dans les catégories "risque faible", "risque moyen" ou "risque élevé" sur la base des preuves fournies.

Utilisez cette méthode pour les fournisseurs qui présentent un risque moyen ou élevé lors de votre évaluation initiale, en particulier les prestataires de services de gestion qui ont un accès direct aux systèmes ou qui traitent des données sensibles.

Votre prochaine étape

En utilisant ces trois outils ensemble, vous disposerez d'une approche structurée, défendable et alignée sur TISAX pour l'évaluation des fournisseurs :

1. Commencez par le modèle d'évaluation des risques → identifiez les fournisseurs à haut risque.
2. Appliquer le questionnaire essentiel → sélectionner rapidement tous les fournisseurs.
3. Utilisez le questionnaire détaillé → approfondissez vos MSP et autres fournisseurs à haut risque.

Ainsi, non seulement vous répondrez aux exigences de TISAX, mais vous renforcerez également votre gestion globale des fournisseurs et vous serez prêt à répondre aux exigences de la norme ISO 27001 et du CMMC.

Il suffit d'envoyer un courriel à ix@isegrim-x.com pour obtenir le modèle et les questionnaires.