Solutions de conformité
Être conforme à la norme
TISAX® avec IS Decisions

Lancée en 2017, la norme TISAX® (Trusted Information Security Assessment Exchange) est rapidement devenue un standard stratégique sur la sécurité de l’information pour les fabricants automobiles européens.

La conformité TISAX® s’appuie sur un référentiel d’évaluation normalisé conçu spécifiquement pour l’industrie automobile. Basé sur le questionnaire Information Security Assessment (ISA) de l’association allemande de l’industrie automobile (VDA), il s’aligne en grande partie sur la norme internationale ISO/IEC 27001.

Le référentiel TISAX® permet aux fabricants automobiles d’évaluer et de prouver leur respect des exigences strictes de protection des données et de sécurité de l’information.

Les entreprises qui atteignent la conformité TISAX® peuvent partager une évaluation normalisée de l’état de la sécurité de l’information au sein de leur entreprise, en vue d’établir un lien de confiance avec leurs partenaires, leurs clients et les autorités réglementaires du secteur automobile.

Les logiciels proposés par IS Decisions facilitent la validation de certains aspects clés des exigences TISAX : méthodes de gestion et d’organisation de l’information, contrôle des accès, surveillance et responsabilités.

Voici une liste de contrôle qui montre comment UserLock et FileAudit protègent le réseau (et les informations sensibles qui s’y trouvent) contre les accès indésirables pour vous aider à atteindre la conformité TISAX.

Section 2: Ressources humaines

2.1.4 – Dans quelle mesure le télétravail est-il réglementé ?

"Le travail qui a lieu en dehors des zones de sécurité spécifiquement définies (télétravail) crée des risques particuliers qui exigent des mesures de protection adaptées."

Vos utilisateurs accèdent-ils au réseau de l’entreprise à l’aide d’une connexion sécurisée (un VPN, par ex.) dotée d’une authentification forte ?

Obligation

Logo UserLock

Instaure une 2FA forte afin de sécuriser l’accès distant des utilisateurs au réseau, en couvrant les connexions par VPN, Remote Desktop, hors ligne et hors domaine.

Section 4: gestion des identités et des accès

4.1.2 – Dans quelle mesure l’accès des utilisateurs aux services réseau, aux systèmes IT et aux applications IT est-il sécurisé ?

"Seuls les utilisateurs identifiés de façon sécurisée (authentifiés) sont habilités à accéder aux systèmes IT. Pour cela, l’identité de chaque utilisateur doit être déterminée avec certitude à l’aide de procédures adaptées."

Appliquez-vous des procédures d’authentification des utilisateurs à la pointe de la technologie ?

Obligation

Logo UserLock

Offre l’authentification à deux facteurs (2FA) TOTP et HOTP en vue de vérifier l’identité de chaque utilisateur.

Avez-vous recours à des procédures supérieures afin d’authentifier les comptes utilisateur privilégiés (par ex. gestion des accès à privilèges, double authentification)

Recommandation

Logo UserLock

Permet à l’administrateur de configurer des droits d’accès granulaires pour différents types d’employés, y compris les utilisateurs privilégiés, par utilisateur, par groupe d’utilisateurs ou par unité d’organisation. La 2FA forte rend les contrôles d’accès plus robustes et améliore l’authentification des comptes utilisateur privilégiés.

Selon votre évaluation des risques, appliquez-vous des mesures supplémentaires à vos procédures d’authentification et de contrôle des accès (par ex. surveillance continue des accès pour détecter les irrégularités ou systématisation de l’authentification forte, déconnexion ou désactivation automatique en cas d’inactivité).

Exigences de protection élevées

Logo UserLock

Surveille toutes les activités de connexion et de déconnexion en temps réel afin de garantir que seules les personnes qui ont véritablement besoin d’accéder aux données vitales y accèdent. UserLock alerte les administrateurs de toute connexion suspecte, intrusive ou inhabituelle en se basant sur l’heure, l’emplacement et l’appareil. Met automatiquement fin aux sessions après une période d’inactivité prédéfinie afin d’éviter que des utilisateurs non autorisés n’accèdent aux informations sur des postes de travail vacants. En outre, UserLock peut définir des horaires autorisés pour l’accès de certains utilisateurs et forcer les postes de travail à se déconnecter en dehors de ces horaires.

Avant d’accéder aux données soumises à des exigences de protection très élevées, authentifiez-vous les utilisateurs à l’aide d’une solution d’authentification à la pointe de la technologie (par ex. authentification à deux facteurs) ?

Exigences de protection très élevées

Logo UserLock

Applique une authentification forte (2FA) dès la connexion, avant tout accès aux données présentant des exigences de protection très élevées stockées sur votre réseau.

4.1.3 – Les comptes utilisateur et les informations de connexion sont-ils gérés et appliqués de façon sécurisée ?

"L’accès aux informations et aux systèmes IT doit s’effectuer à l’aide d’un compte utilisateur validé affecté à chaque personne. Il est important de protéger les informations de connexion et de garantir la traçabilité des transactions et des accès."

Utilisez-vous des comptes utilisateur uniques et personnalisés ?

Obligation

Logo UserLock

Garantit que personne ne peut se connecter au système en l’absence d’identifiants uniques et identifiables. Empêche toute connexion simultanée avec un même jeu d’identifiants, ce qui contribue à éliminer les pratiques dangereuses de partage de mot de passe.

Vous assurez-vous immédiatement que les informations de connexions sont modifiées en cas de soupçon de faille potentielle ?

Obligation

Logo UserLock
Logo FileAudit
  • Alerte en temps réel les administrateurs de toute activité suspecte. La solution peut automatiquement mettre fin aux sessions après une période d’inactivité ou après une tentative de connexion rejetée.
  • Permet aux administrateurs de configurer des alertes en cas de soupçon de ransomware et d’exécuter des scripts visant à désactiver un utilisateur lorsque certaines alertes se déclenchent.
Garantissez-vous que le moyen utilisé (par ex. facteur de possession) pour l’authentification forte est sécurisé ?

Recommandation

Logo UserLock

Déploie la 2FA par un moyen sécurisé : appareil en possession de l’utilisateur (téléphone mobile ou jeton).

4.2.1 – Dans quelle mesure les droits d’accès sont-ils attribués et gérés ?

"La gestion des droits d’accès garantit que seuls les utilisateurs autorisés ont accès aux informations et aux applications IT. Dans ce but, des droits d’accès sont attribués aux comptes utilisateur."

Appliquez-vous le principe du moindre privilège (« besoin d’en connaître ») ?

Obligation

Logo UserLock

Permet aux administrateurs de configurer des droits d’accès granulaires pour les différents types d’employés afin de garantir qu’ils ont uniquement accès aux informations dont ils ont besoin pour effectuer leur travail.

Attribuez-vous des droits d’accès en fonction du besoin d’en connaître, du rôle et/ou du secteur de responsabilité ?

Recommandation

Logo UserLock

Donne aux administrateurs la capacité de créer des politiques temporaires pour les utilisateurs qui ont besoin d’un accès ponctuel.

Garantissez-vous que les comptes utilisateur standard ne sont pas dotés de droits d’accès
privilégiés ?

Recommandation

Logo UserLock

Garantit que les comptes utilisateur standard peuvent être empêchés d’accéder à certaines ressources, comme les serveurs réservés aux comptes privilégiés.

Adaptez-vous les droits d’accès des utilisateurs lorsque l’utilisateur change (par ex. quand son champ de responsabilité évolue) ?

Recommandation

Logo UserLock

Permet aux administrateurs d’appliquer des politiques de sécurité en fonction du groupe AD ou de l’UO. Les politiques auxquelles un utilisateur est soumis changent automatiquement lorsqu’il change de groupe ou d’UO.

Section 5: sécurité IT/cybersécurité

5.2.4 – Dans quelle mesure les journaux d’événements sont-ils enregistrés et analysés ?

"Les journaux d’événements facilitent la traçabilité des événements en cas d’incident de sécurité. Il convient pour cela d’enregistrer et de conserver les événements nécessaires à l’identification de l’origine des incidents. En outre, la journalisation et l’analyse des activités conformément à la législation applicable (par ex. le Data Protection Act ou la loi allemande sur les relations collectives dans l’entreprise) sont requises afin de déterminer le compte utilisateur responsable des modifications apportées aux systèmes IT."

Avez-vous identifié et répondez-vous aux exigences de sécurité relatives à la journalisation des activités des administrateurs et des utilisateurs des systèmes ?

Obligation

Logo UserLock
Logo FileAudit
  • Enregistre, audite et archive l’ensemble des événements de connexion au réseau, pour tous les types de sessions, à partir d’un système centralisé.
  • Audite l’ensemble des accès et des modifications apportées aux fichiers et aux dossiers. Alerte automatiquement les administrateurs de tout comportement suspect.
Disposez-vous d’une procédure définie et établie pour la remontée des événements pertinentes à l’entité responsable (par ex. rapport d’incident de sécurité, protection des données, sécurité d’entreprise, sécurité IT) ?

Recommandation

Logo UserLock
Logo FileAudit
  • Permet aux administrateurs de transmettre automatiquement les alertes et les rapports relatifs aux événements d’accès utilisateur.
  • Permet aux administrateurs de transmettre automatiquement les alertes et les rapports relatifs aux événements d’accès aux fichiers, aux dossiers ou aux serveurs Windows.
Disposez-vous d’un système adapté de surveillance et d’enregistrement des actions menées sur le réseau pouvant être pertinentes du point de vue de la sécurité de l’information ?

Recommandation

Logo UserLock
Logo FileAudit
  • Surveille toutes les activités de connexion et de déconnexion en temps réel afin de garantir que seules les personnes qui ont véritablement besoin d’accéder aux données vitales y accèdent. Les administrateurs peuvent également configurer des alertes personnalisées sur les accès suspects en fonction du niveau de risque de l’utilisateur.
  • Surveille l’ensemble des fichiers et des dossiers et génère des alertes en temps réel en cas d’accès suspect à des fichiers sur votre réseau. FileAudit enregistre également tous les événements d’accès aux fichiers par utilisateur.
Enregistrez-vous les accès effectués au moment la connexion/déconnexion de réseaux externes (par ex. en cas de maintenance à distance) ?

Exigences de protection élevées

Logo UserLock

Applique la MFA, surveille et protège les utilisateurs passant par une connexion VPN, IIS ou Remote Desktop, même en l’absence d’accès à Internet ou d’accès au domaine.

Enregistrez-vous tous les accès aux données présentant des exigences de protection très élevées dans la mesure de ce qui est techniquement possible et autorisé par la loi et les politiques de l’entreprise ?

Exigences de protection très élevées

Logo UserLock

Surveille et enregistre les accès utilisateur aux fichiers et aux dossiers, ainsi que les modifications effectuées, ce qui permet aux administrateurs d’associer les événements d’accès à des utilisateurs spécifiques.

Découvrez-en plus avec nos essais entièrement fonctionnels GRATUITS

Télécharger UserLock Télécharger FileAudit