Client : Groupe Willi Elbe
S’appuyant sur 70 ans d’expérience, le groupe Willi Elbe développe et produit actuellement des applications de direction et de transmission pour l’industrie automobile sur sept sites dans le monde.
Il convient de souligner particulièrement l’expertise de l’entreprise en matière d’aluminium, utilisé dans la fabrication des arbres de direction. Les produits légers conduisent à des émissions de CO2 plus faibles ainsi qu’à des autonomies de batterie plus longues tout en garantissant une sécurité maximale, ce qui fait du Groupe Willi Elbe un leader du marché dans le domaine de cette technologie.
Parmi les facteurs de succès de l’entreprise figure le portefeuille de produits adapté aux besoins des clients, qui comprend non seulement des arbres de direction en aluminium sur mesure, mais aussi des applications en acier hautement résistantes pour la technologie de direction des véhicules utilitaires. L’expertise technologique du Groupe Willi Elbe s’étend des arbres de transmission pour les voitures à quatre roues motrices aux arbres de transmission pour les motos.
Situation initiale et défis
Comme de nombreux autres fournisseurs et prestataires de services, le groupe Willi Elbe a également été invité par les équipementiers (Original Equipment Manufacturer) à présenter le label TISAX avant une date limite spécifiée.
L’acronyme TISAX, qui signifie Trusted Information Security Assessment Exchange, englobe les exigences de la VDA (Association de l’industrie automobile) et de l’ENX Association, conjointement définies et publiées sous forme d’un catalogue de questions. La base est constituée par l’ISO 27001, mettant clairement l’accent sur la sécurité de l’information. De plus, les exigences ont été étendues pour inclure les modules de protection des données et de protection des prototypes. Selon le niveau d’évaluation requis, les prestataires de services et les fournisseurs doivent fournir des preuves de conformité à ces directives. Une vérification est effectuée sous forme d’audit.
Le chemin pour y parvenir nécessite une planification anticipée et une bonne préparation, car la mise en œuvre simultanée des exigences sur les sept sites dans le monde représente un défi.
Solution
Au début du projet, tous les processus et les actifs de sécurité de l’information utilisés ont été répertoriés pour l’inventaire des actifs, et une évaluation des risques a été effectuée en collaboration avec les chefs de département. Simultanément, des utilisateurs clés ont été désignés, qui seront responsables des exigences TISAX dans leurs départements respectifs à l’avenir. Afin d’obtenir une image de l’état actuel de la sécurité de l’information au sein du groupe Willi Elbe, ces utilisateurs ont été interviewés, suite à quoi une analyse des écarts basée sur le catalogue VDA-ISA a été réalisée. Sur la base des analyses effectuées jusqu’à ce stade, les premières mesures ont été définies, d’où ont découlé les tâches des utilisateurs clés et des départements.
Pendant cette période, il est important de sensibiliser les employés à l’importance de la sécurité de l’information pour l’entreprise. Cependant, afin de ne pas seulement accroître la sensibilisation des utilisateurs clés, mais celle de l’ensemble du personnel, des formations en ligne obligatoires via la plateforme SoSafe ont été introduites pour tous les employés. Ces formations expliquent comment assurer la sécurité de l’information dans le travail quotidien et comment gérer les menaces telles que le phishing.
La coordination des sept sites a représenté un défi particulier. Grâce à un système de gestion de la sécurité de l’information (ISMS) basé sur le logiciel Q.wiki de Modell Aachen GmbH, nous avons veillé à ce que toutes les directives et tous les documents relatifs à TISAX soient accessibles de manière centralisée à tous les employés. Les actifs de sécurité de l’information, les risques et les mesures ont également été intégrés dans ce système et interconnectés. Cette gestion claire facilite considérablement la maintenance future par rapport à des listes Excel étendues. Même le processus d’approbation de tous les documents est intégré dans l’ISMS, de sorte qu’à l’aide d’une attribution de rôles, les responsables des sites, l’ISO et enfin la direction puissent examiner et publier le contenu à l’échelle de l’entreprise. Afin de pouvoir mettre en œuvre les directives sur chaque site, l’ISMS a été élaboré en anglais. Pour les employés ne maîtrisant pas l’anglais, des documents sélectionnés ont été traduits dans la langue locale respective, ce qui, dans le cas du groupe Willi Elbe, signifie cinq langues supplémentaires. Il est rapidement devenu évident qu’en plus de l’Information Security Officer (ISO) agissant de manière centralisée, un Local Information Security Officer (LISO) était nécessaire pour chaque site, responsable de l’échange de connaissances et de la mise en œuvre des mesures nécessaires, ainsi que du respect de la sécurité de l’information dans chaque usine. Des employés appropriés ont été sélectionnés par le niveau de direction pour ce rôle, et un concept de formation spécial a été développé pour eux.
Afin de préparer le Groupe Willi Elbe à l’audit TISAX, des audits internes ont été préalablement menés par le RSI et les RLSI pour examiner l’état des mises en œuvre actuelles en termes de sécurité de l’information et, si nécessaire, définir des mesures supplémentaires afin de satisfaire aux exigences.
Finalement, l’audit par le TÜV Süd a eu lieu au début de l’année, qui, grâce à la bonne collaboration de tous les employés et malgré les défis, a conduit à un excellent résultat avec un score parfait en termes de maturité et sans écarts. En vue de l’avenir, il est important que, malgré l’obtention réussie des labels TISAX, la sécurité de l’information continue d’être vérifiée et améliorée dans un cycle PDCA itératif. Ceci est assuré par un audit interne annuel, afin que dans trois ans également, les labels TISAX puissent être confirmés au groupe Willi Elbe sans écarts.
Réussir un audit TISAX initial avec le niveau de maturité le plus élevé possible est un résultat excellent, qui est attribuable à la bonne collaboration des équipes sous la direction d’Ida Mußack de la société digatus.
Lukas Krahé
CRO
Willi Elbe Gelenkwellen GmbH & Co. KG
Avantages pour le client
Que ce soit en tant qu’exigence légale ou demande des OEM, l’importance de la sécurité de l’information augmente considérablement et est de plus en plus vérifiée. Cependant, les exigences offrent également un grand avantage à l’entreprise elle-même, car les processus sont améliorés et l’infrastructure informatique est modernisée. Le caractère progressiste de l’entreprise se reflète également dans l’utilisation d’une solution cloud comme ISMS, permettant la gestion et la consultation centralisées des directives et des documents depuis sept sites dans le monde entier.
En tant qu’entreprise tournée vers l’avenir, le groupe Willi Elbe est en mesure de garantir à ses clients la sécurité nécessaire dans l’échange et le traitement des informations. Cela renforce non seulement la confiance, mais jette également les bases d’une collaboration fructueuse et sûre à l’avenir.
Robert Mair
Fort de plus de 17 années d'expérience professionnelle dans le secteur des technologies de l'information, M. Robert Mair a développé une expertise approfondie dans un large éventail de fonctions et de secteurs. Sa connaissance approfondie de la gestion de projets internationaux et nationaux, ainsi que de la direction d'équipes hybrides, lui confère une compréhension approfondie du pilotage et de l'achèvement réussi de projets complexes dans des situations client critiques en termes de délais. Dans son rôle de Principal chez digatus, il apporte principalement son expertise dans les domaines des fusions et acquisitions informatiques ainsi que de la transformation informatique.
