EURO-SYMBIOSE > Infos > Actualités > EURO-SYMBIOSE vous accompagne dans votre démarche TISAX

EURO-SYMBIOSE vous accompagne dans votre démarche TISAX

  • 26 septembre 2025
  • Publié par : Maélise ROBERT
  • Catégorie : Actualités ,
Aucun commentaire

Article rédigé par notre consultant Partenaire Eric Gendron

 

La norme TISAX (Trusted Information Security Assessment Exchange) est devenue un incontournable pour les entreprises de la filière automobile. Fondée sur l’ISA (Information Security Assessment), TISAX fournit un cadre robuste pour la mise en œuvre d’un système de management de la Sécurité de l’Information permettant d’obtenir le label TISAX.

A l’issue d’une démarche qui s’échelonne sur 6 mois à un an, allant du Gap Analysis à la mise en œuvre du plan d’actions, une évaluation est réalisée par un auditeur certifié, soit à distance (AL2), soit sur site (AL3).

En ma qualité d’auditeur, j’ai observé un certain nombre de problématiques récurrentes au fil des évaluations que j’ai pu mener. Cet article propose un TOP10 des difficultés rencontrées par les entreprises candidates à la labellisation TISAX.

 

TOP1 : La prise en compte de la sécurité de l’information au niveau des projets et des modifications

Les entreprises focussent souvent uniquement sur les projets IT, alors que le nouveau référentiel ISA.6 élargit le champ d’application à l’OT (Operational Technology) et inclut à ce titre les projets ou modifications produit et process, ainsi que le déploiement des exigences du référentiel vers les systèmes intégrés aux moyens de production

 

TOP2 : L’identification des actifs informationnels

Les entreprises ont souvent une liste des actifs informatiques (PC, mobile, imprimantes), mais ne listent pas systématiquement les informations et données importantes au niveau de leurs activités et processus.

 

TOP3 : Le management des incidents de sécurité physiques

Le référentiel attend aussi qu’un système de remontée d’information soit en place pour les incidents physiques (vol, intrusion, visiteur seul dans l’entreprise, porte demeurée ouverte pour une zone où sont stockées des informations confidentielles).

 

TOP 4 : Gestion des accès et des identités physiques

Cela comprend l’absence de gestion centralisée des accès aux zones sécurisées, l’absence de revues d’habilitations périodiques.

 

TOP 5 : Absence d’évaluation structurée des risques

L’analyse de risques doit aller plus loin que le simple plan d’urgence IATF et identifier l’ensemble des vulnérabilités numériques et physiques au sein de l’entreprise, qui sont à déployer selon des démarches spécifiques.

 

TOP 6 : Les exigences liées aux prototypes

Les modules additionnels de TISAX, comme la protection des prototypes, sont souvent mal compris ou traités de manière superficielle et ne prennent pas en compte les exigences liées à leur protection, transport et manipulation.

 

TOP 7 : Documentation et SMSI : souvent trop “papier”, pas assez “vécu”

Les entreprises présentent des documents bien rédigés mais personne ne les applique car ils ont utilisé « clés en main » des kits documentaires fournis par des prestataires, mais non intégrés aux systèmes de management déjà en place dans l’entreprise.

 

TOP 8 : Le déploiement des exigences de l’entreprise vers leurs fournisseurs et prestataires

De la même manière que pour la qualité et l’environnement, l’entreprise doit exprimer ses exigences en termes de sécurité de l’information vers ses fournisseurs et prestataires externes et s’assurer de leur bonne prise en compte.

 

TOP 9 : La validation des prestataires IT et des logiciels achetés

De la même manière qu’une démarche de qualification des fournisseurs et une validation des produits fournis (PPAP) est déployée, il est attendu une approche similaire auprès des prestataires externes de services IT.

 

TOP 10 : La prise en compte des exigences réglementaires relatives à la sécurité de l’information

De la même manière que sont déployées les veilles réglementaires sur la partie sécurité ou environnementale, il est attendu une démarche similaire pour les textes relatifs à la sécurité de l’Information.

 

En conclusion, les pièges sont donc nombreux et les exigences TISAX très précises, allant au-delà de ce qu’exige notamment l’ISO 27001.

Nos consultants EURO-SYMBIOSE, auditeurs validés TISAX pour des organismes de certification et auditeurs IATF, se tiennent à votre disposition pour effectuer votre Gap Analysis, identifier les écarts et vous accompagner dans l’intégration de votre Système de Mangement de la Sécurité de l’Information (SMSI) au sein de vos systèmes de management, afin de vous permettre d’obtenir avec succès votre label TISAX.

 

📞 Une question ? nos équipes sont à votre écoute et votre service pour répondre à vos besoins :

Auteur : EURO-SYMBIOSE

Laisser un commentaire