Client : Groupe IFA
Le Groupe IFA développe et produit des arbres longitudinaux, des arbres latéraux, des articulations et des composants pour des constructeurs automobiles renommés dans des pays tels que l’Allemagne, les États-Unis, la Chine et la Pologne, avec environ 2 600 employés. Cela en fait l’une des 50 principales entreprises de l’industrie des fournisseurs allemands, comptant parmi ses clients BMW, Ferrari, Ford, GM, Mercedes-Benz, Porsche et Volkswagen.
Parmi les facteurs de réussite de l’entreprise figurent la recherche tournée vers l’avenir et le développement durable, raison pour laquelle l’accent est actuellement mis sur les arbres pour les motorisations électriques. Il est intéressant de noter que les arbres longitudinaux et latéraux utilisés dans les véhicules hybrides et purement électriques doivent résister à des couples particulièrement élevés tout en ne produisant qu’un très faible niveau de bruit.
Situation initiale et défis
Actuellement, de nombreux fournisseurs et prestataires de services des équipementiers (Original Equipment Manufacturer) sont contactés pour présenter le label TISAX avant une échéance donnée. TISAX (Trusted Information Security Assessment Exchange) est un questionnaire développé par le VDA (Association de l’Industrie Automobile) et l’Association ENX, basé sur la norme ISO 27001 et étendu à la protection des prototypes et des données. L’accent est mis sur la sécurité de l’information, pour laquelle des exigences ont été définies que les prestataires de services et les fournisseurs doivent respecter vis-à-vis de leurs clients.
De la planification et la préparation à la mise en œuvre effective, il en résulte un effort considérable qui doit être concilié avec les délais stricts imposés par les équipementiers.
Solution
Afin d’obtenir un premier aperçu de l’état actuel de la sécurité de l’information au sein du Groupe IFA, une analyse des écarts a été réalisée sur la base du catalogue VDA-ISA, pour laquelle des utilisateurs clés sélectionnés ont été interrogés.
Pour l’inventaire des actifs et l’évaluation des risques qui ont suivi, tous les processus de l’entreprise ont été documentés et analysés en termes de sécurité de l’information, afin de pouvoir définir des mesures appropriées.
Une condition préalable à ce processus est de sensibiliser suffisamment les employés en soulignant l’importance de la sécurité de l’information. Pour élargir régulièrement les connaissances, on mise sur des formations que les employés peuvent suivre de manière autonome en ligne. Ainsi, l’employé apprend comment intégrer la sécurité de l’information dans son travail quotidien et comment faire face aux dangers, par exemple le hameçonnage.
Pour un emplacement de stockage unifié de toutes les informations et documents pertinents pour TISAX, un SMSI (Système de Management de la Sécurité de l’Information) a également été mis en place. Un avantage décisif est, entre autres, le lien direct entre les actifs (valeurs) et les risques et mesures associés. Contrairement à plusieurs listes Excel interminables, un SMSI offre une bonne vue d’ensemble et facilite considérablement la maintenance des données. Le processus d’approbation des documents est également nettement réduit et peut être géré à l’aide d’une attribution de rôles. Lors de la mise en place d’un SMSI, il est particulièrement important de garantir une utilisation intuitive, afin que tous les employés puissent accéder rapidement et facilement aux informations dont ils ont besoin.
Enfin, l’évaluation des risques a été suivie de la planification et de la mise en œuvre de mesures appropriées pour réduire la probabilité d’occurrence et/ou l’ampleur des dommages. Pour cette étape, des contrôles dits ‘controls’ ont été utilisés, s’inspirant de la norme ISO 27002 et adaptés au Groupe IFA.
Une fois que les mesures ont été mises en œuvre ou sont en partie encore en cours d’implémentation, un audit interne est effectué par un RSI (Responsable de la Sécurité de l’Information). Cela permet d’analyser le niveau de maturité actuel du SMSI, afin que d’autres mesures puissent être initiées si nécessaire. Ensuite vient l’audit final réalisé par un auditeur externe d’un organisme de certification approprié, qui dans le cas du Groupe IFA est le TÜV Süd.
Entre-temps, l’audit par le TÜV Süd a eu lieu. Malgré le défi de faire certifier TISAX simultanément quatre sites avec un grand nombre d’employés, le Groupe IFA a réussi du premier coup à obtenir le label TISAX avec un très bon résultat.
Étant donné que le niveau de maturité de la sécurité de l’information est suivi dans un cycle PDCA (Planifier-Réaliser-Vérifier-Agir), un audit interne est prévu annuellement, de sorte que le label TISAX puisse être confirmé sans écart tous les trois ans à l’avenir.
Avantages pour le client
En tant qu’entreprise orientée vers l’avenir, le groupe IFA souhaite garantir à ses clients la sécurité dans l’échange et le traitement des informations. L’obtention du label TISAX communique précisément cette conscience de la sécurité aux équipementiers, renforçant ainsi la confiance établie depuis des décennies et permettant de collaborer sur de nouveaux projets.
Le caractère progressiste de l’entreprise se manifeste également par la promotion de la numérisation grâce à l’utilisation d’une solution cloud comme SMSI. Dans un avenir proche, le groupe IFA prévoit d’utiliser ce système de soutien des processus dans d’autres domaines de l’entreprise pour la gestion centralisée des documents et des procédures.
Christoph Pscherer
Il évolue dans le domaine de l'informatique depuis près de 30 ans et a acquis de l'expérience dans divers rôles et domaines. Grâce à ses nombreuses années d'expérience en tant que gestionnaire de services, il connaît les défis et les besoins du côté client. Il met à profit cette compréhension et cette connaissance approfondies chez digatus depuis plus de huit ans. En tant que responsable de l'unité commerciale IT M&A and Transformation, il supervise avec son équipe tous les aspects informatiques tout au long de la chaîne de valeur des projets de fusions et acquisitions. Cela inclut, entre autres, des projets de diligence raisonnable, de scission et d'intégration.
