Client : Groupe Willi Elbe
S’appuyant sur 70 ans d’expérience, le groupe Willi Elbe développe et produit actuellement des applications de direction et de transmission pour l’industrie automobile sur sept sites dans le monde.
Il convient de souligner particulièrement l’expertise de l’entreprise dans le domaine de l’aluminium, utilisé dans la fabrication des arbres de direction. Les produits légers conduisent à une réduction des émissions de CO2 ainsi qu’à une augmentation de l’autonomie des batteries, tout en garantissant une sécurité maximale, ce qui fait du groupe Willi Elbe un leader du marché dans ce domaine technologique.
Parmi les facteurs de succès de l’entreprise figure un portefeuille de produits adapté aux besoins des clients, qui comprend non seulement des arbres de direction en aluminium sur mesure, mais aussi des applications en acier haute résistance pour la technologie de direction des véhicules utilitaires. L’expertise technologique du groupe Willi Elbe s’étend des arbres de transmission pour les véhicules à quatre roues motrices aux arbres de cardan pour les motocycles.
Situation initiale et défis
Comme de nombreux autres fournisseurs et prestataires de services, le groupe Willi Elbe a également été invité par les équipementiers (Original Equipment Manufacturer) à présenter le label TISAX avant une date limite spécifiée.
Derrière l’acronyme TISAX, qui signifie Trusted Information Security Assessment Exchange, se cachent des exigences de la VDA (Association de l’Industrie Automobile) et de l’ENX Association, qui ont été définies conjointement et publiées sous forme d’un catalogue de questions. La base est constituée par la norme ISO 27001, mettant clairement l’accent sur la sécurité de l’information. En outre, les exigences ont été élargies pour inclure les modules de protection des données et de protection des prototypes. Selon le niveau d’évaluation requis, les prestataires de services et les fournisseurs doivent fournir des preuves de la mise en œuvre de ces exigences. Une vérification est effectuée sous forme d’audit.
Le chemin pour y parvenir nécessite une planification anticipée et une bonne préparation, car la mise en œuvre simultanée des exigences sur les sept sites dans le monde représente un défi.
Solution
Au début du projet, tous les processus et les actifs de sécurité de l’information utilisés ont été répertoriés pour l’inventaire des actifs et une évaluation des risques a été réalisée en collaboration avec les responsables de département. Parallèlement, des utilisateurs clés ont été désignés, qui seront à l’avenir responsables des exigences TISAX dans leurs départements respectifs. Afin d’obtenir une image de l’état actuel de la sécurité de l’information au sein du groupe Willi Elbe, ces utilisateurs ont été interviewés, ce qui a été suivi d’une analyse des écarts basée sur le catalogue VDA-ISA. Sur la base des analyses effectuées jusqu’à ce stade, les premières mesures ont été définies, d’où ont découlé les tâches des utilisateurs clés et des départements.
Durant cette période, il est important de sensibiliser les employés à la question de la sécurité de l’information et à son importance pour l’entreprise. Cependant, afin de ne pas seulement accroître la sensibilisation des utilisateurs clés, mais celle de l’ensemble du personnel, des formations en ligne obligatoires ont été introduites via la plateforme SoSafe pour tous les employés. Ces formations expliquent comment assurer la sécurité de l’information dans le travail quotidien et comment gérer les menaces telles que le phishing.
La coordination des sept sites a représenté un défi particulier. Grâce à un Système de Management de la Sécurité de l’Information (SMSI) basé sur le logiciel Q.wiki de Modell Aachen GmbH, nous avons assuré que toutes les directives et tous les documents relatifs à TISAX soient centralement accessibles à tous les employés. Les actifs, risques et mesures de sécurité de l’information ont également été intégrés et interconnectés dans ce système. Cette gestion claire facilite considérablement la maintenance future par rapport à des listes Excel volumineuses. Même le processus d’approbation de tous les documents est intégré dans le SMSI, de sorte que grâce à une attribution de rôles, les responsables des sites, le Responsable de la Sécurité de l’Information (RSI) et enfin la direction puissent vérifier le contenu et le publier à l’échelle de l’entreprise. Afin de pouvoir mettre en œuvre les directives sur chaque site, le SMSI a été élaboré en anglais. Pour les employés ne maîtrisant pas l’anglais, des documents sélectionnés ont été traduits dans la langue nationale respective, ce qui, dans le cas du Groupe Willi Elbe, signifie cinq langues supplémentaires. Il est rapidement devenu évident qu’en plus du Responsable de la Sécurité de l’Information (RSI) agissant de manière centralisée, un Responsable Local de la Sécurité de l’Information (RLSI) était nécessaire pour chaque site, chargé de l’échange de connaissances et de la mise en œuvre des mesures nécessaires, et responsable du respect de la sécurité de l’information dans chaque usine. Des employés appropriés ont été sélectionnés par le niveau de direction pour ce rôle, pour lesquels un concept de formation spécial a été développé.
Afin de préparer le Groupe Willi Elbe à l’audit TISAX, des audits internes ont été préalablement menés par le RSI et les RLSI pour examiner l’état des mises en œuvre actuelles en termes de sécurité de l’information et, si nécessaire, définir des mesures supplémentaires afin de satisfaire aux exigences.
Finalement, l’audit par le TÜV Süd a eu lieu au début de l’année, qui, grâce à la bonne collaboration de tous les employés et malgré les défis, a conduit à un excellent résultat avec un score parfait en termes de maturité et sans écarts. En vue de l’avenir, il est important que, malgré l’obtention réussie des labels TISAX, la sécurité de l’information continue d’être examinée et améliorée dans un cycle PDCA itératif. Cela est assuré par un audit interne annuel, de sorte que dans trois ans également, les labels TISAX puissent être confirmés au Groupe Willi Elbe sans écarts.
Réussir un audit TISAX initial avec le niveau de maturité le plus élevé possible est un résultat excellent, qui est attribuable à la bonne collaboration des équipes sous la direction d’Ida Mußack de la société digatus.
Lukas Krahé
CRO
Willi Elbe Gelenkwellen GmbH & Co. KG
Avantages pour le client
Que ce soit en tant qu’exigence légale ou demande des OEM, l’importance de la sécurité de l’information augmente considérablement et est de plus en plus vérifiée. Cependant, les exigences offrent également un grand avantage à l’entreprise elle-même, car les processus sont améliorés et l’infrastructure informatique est modernisée. Le caractère progressif de l’entreprise se reflète également dans l’utilisation d’une solution cloud comme SMSI, permettant la gestion et la consultation centralisées des directives et des documents depuis sept sites dans le monde.
En tant qu’entreprise orientée vers l’avenir, le Groupe Willi Elbe peut garantir à ses clients la sécurité nécessaire dans l’échange et le traitement des informations. Cela renforce non seulement la confiance, mais pose également les bases d’une bonne et sûre collaboration future.
Christoph Pscherer
Il évolue dans le domaine de l'informatique depuis près de 30 ans et a acquis de l'expérience dans divers rôles et domaines. Grâce à ses nombreuses années d'expérience en tant que gestionnaire de services, il connaît les défis et les besoins du côté client. Il met à profit cette compréhension et cette connaissance approfondies chez digatus depuis plus de huit ans. En tant que responsable de l'unité commerciale IT M&A and Transformation, il supervise avec son équipe tous les aspects informatiques tout au long de la chaîne de valeur des projets de fusions et acquisitions. Cela inclut, entre autres, des projets de diligence raisonnable, de scission et d'intégration.
