La menace cyber bat son plein et le monde connaît une augmentation, année après année, des cyber-attaques sur différents types de données telles que ransomware (logiciel extorqueur), fuite de données, attaques contre des infrastructures de services publics (centrale nucléaire, réseau électrique, groupe audiovisuel,…), cela montre comment la cybersécurité est devenue une question urgente à l'échelle mondiale et la cybermenace reste dans le top 10 en termes de fréquence et d'impact (Voir Illustration 1) Selon les analystes le secteur de l'automobile comme le secteur bancaire continuent d'avoir le coût le plus élevé de la cybercriminalité avec une augmentation importante qui classe ce secteur dans le top cinq des industries impactées dans le monde avec des vecteurs d'attaques multiples et variées comme les logiciels malveillants et les menaces internes qui ont représenté l'année dernière un tiers des coûts de la cybercriminalité. L'analyse signale aussi une forte augmentation de la fréquence et du coût des attaques de ransomwares (Voir graphes). Par conséquent, la mise en place de réseaux plus larges, plus interconnectés et interdépendants de la chaîne de valeur de l'industrie automobile, augmente le risque de cybersécurité. Les constructeurs automobiles se battent pour répondre aux demandes des clients et pour leur fournir des produits technologiques plus avancés basés sur l'intelligence artificielle et le Machine Learning, … qui pourraient même être les prochaines étapes pour l'industrie. Mais ce domaine note plus d'attaques à motivation financière ou visant à obtenir des avantages compétitifs afin de récupérer des informations sur des progrès technologiques pouvant être utilisés par la concurrence ou dérober de la propriété intellectuelle à un concepteur ou un constructeur automobile leur évitant d'investir dans la recherche et développement, souvent longue et coûteuse. Pour cela, les constructeurs automobiles doivent gérer les nombreux échanges de données sensibles, les transmissions d'informations, spécialement les transmissions entre différents réseaux, entraînant une augmentation des risques de cybersécurité. Quelle que soit sa taille, tous les organismes possèdent une chose en commun : Information. Et qui dit information dit responsabilité. Les organismes doivent protéger les informations elles-mêmes, avoir une bonne visibilité sur le lieu où réside cette information, avoir une influence sur l'entité qui traite cette information, et mettre en place les dispositifs cybersécurité les plus adéquats. Pour traiter ce sujet majeur de la cybersécurité, se situer au cœur des préoccupations de la supply chain automobile, accroître et assurer la sécurité des entreprises opérant dans le domaine, l'Association allemande de l'industrie automobile (VDA) a mis en œuvre les caractéristiques essentielles de son évaluation interne de la sécurité de l'information (ISA) conformément à la norme internationale ISO/IEC 27001 et a créé Tisax, le Trusted Information Security Assessment Exchange. Tisax offre une normalisation de la sécurité de l'information dans l'industrie automobile. Etant donné qu'une quantité substantielle de données de développement, de test et de fabrication de produits est partagée entre différents constructeurs/fournisseurs, l'utilisation de différents niveaux de sécurité a créé plusieurs cibles potentielles pour une violation de l'information. En créant un système qui reconnaît un organisme unique pour les critères d'accréditation et les exigences d'évaluation, Tisax place les constructeur/fournisseurs sur la même page de sécurité des données en exigeant qu'ils adhèrent au même niveau de sécurité et se soumettent à un audit externe pour le confirmer. Bien qu'aucun système de sécurité des données ne soit parfait, Tisax, utilisant un ensemble commun de normes, cherche simplement à réduire le risque global de violation de données dans une industrie où il pourrait potentiellement avoir un effet domino. Les entreprises de l'industrie automobile doivent démontrer à intervalles réguliers de trois ans qu'elles satisfont aux critères de sécurité requis de leur secteur. La base de cette preuve est le catalogue d'exigences VDA-ISA publié par l'Association de l'industrie automobile (Verband der Automobilindustrie, VDA). Le catalogue VDA-ISA comprend les aspects et critères clés de la norme internationalement reconnue ISO / IEC 27001 et des listes de critères supplémentaires, qui s'appliquent spécifiquement au secteur automobile, telles que l'implication de tiers et la protection des prototypes. En outre, il existe un mécanisme d'audit et d'échange entièrement développé et complet. Les processus d'audit et de reporting garantissent un haut degré de comparabilité et de transparence et renforcent ainsi le sentiment de confiance des clients respectifs qui exigent donc de plus en plus que l'obtention des labels Tisax concernés soit une exigence contraignante. La plate-forme en ligne Tisax permet aux participants d'échanger des données d'évaluation et en même temps facilite la mise en contact des participants et des prestataires d'audit. Une certification Tisax est requise et reconnue par tous les membres VDA et les OEM (Original Equipment Manufacturer). L'organisme responsable de Tisax est le VDA et l'association ENX qui contrôle la qualité de l'exécution et des résultats de l'évaluation. En l'espace de quelques années, le Maroc a émergé comme l'un des acteurs les plus en vue de l'industrie automobile et les avantages de Tisax pour une industrie automobile marocaine compétitive sont les suivants: Critères d'évaluation pertinents Qualité d'évaluation homogène et un haut niveau de transparence Procédures d'évaluation et de notification normalisées et rigoureuses Contrôle complet des résultats de l'évaluation Eviter les évaluations doubles et multiples (Pas de duplication ou de multiplication des évaluations) Large acceptation dans le secteur automobile Consolidation des relations existantes et promotion de nouvelles relations commerciales avec des nouveaux constructeurs Orientation conséquente aux besoins des clients en matière de cybersécurité Réduction des risques et mise en place d'une gestion des risques Confiance dans les entreprises labélisée Tisax Economies importantes de temps et d'argent grâce à la reconnaissance inter sociétés des évaluations et des informations (*) Président LMPS Group.
