TISAX : Guide complet de conformité pour les sous-traitants automobiles (2026)
Guide complet TISAX 2026 — niveaux d'évaluation AL1/AL2/AL3, VDA ISA 6.0, portail ENX, coûts, calendrier, chevauchement ISO 27001 et processus étape par étape pour les sous-traitants automobiles.
TISAX : Guide complet de conformité pour les sous-traitants automobiles (2026)
Si vous fournissez des composants, des logiciels, des services d'ingénierie ou des prestations de traitement de données à des OEM automobiles ou à des équipementiers de rang 1, vous avez certainement déjà reçu une demande d'évaluation TISAX. À mesure que la chaîne d'approvisionnement automobile se digitalise — véhicules connectés, mises à jour over-the-air, données de conception partagées, programmes de véhicules prototypes — les OEM ont formalisé des exigences de sécurité de l'information pour chaque maillon de la chaîne.
TISAX (Trusted Information Security Assessment Exchange) est cette formalisation. Développé par le VDA (Verband der Automobilindustrie) et géré par l'Association ENX, TISAX est devenu le standard de facto en matière de sécurité de l'information pour les sous-traitants automobiles en Allemagne et dans l'ensemble de la chaîne d'approvisionnement européenne.
Qu'est-ce que TISAX ?
TISAX signifie Trusted Information Security Assessment Exchange. Il s'agit d'un mécanisme d'évaluation de la sécurité de l'information à l'échelle de l'industrie, développé par le VDA et opéré par l'Association ENX.
L'objectif principal de TISAX est de permettre aux sous-traitants automobiles de réaliser une seule évaluation standardisée de la sécurité de l'information et de partager les résultats avec plusieurs clients — plutôt que chaque OEM ne gère son propre programme d'audit fournisseur.
VDA ISA : Le questionnaire d'évaluation
L'évaluation est basée sur le questionnaire VDA ISA (Information Security Assessment), actuellement en version 6.0. Le VDA ISA 6.0 a été introduit en 2022 et est devenu obligatoire pour toutes les nouvelles évaluations TISAX à partir du 1er avril 2024. Le questionnaire couvre :
- Management de la sécurité de l'information (politiques, rôles, gestion des risques)
- Sécurité des ressources humaines (intégration, sensibilisation, départ)
- Sécurité physique et environnementale (contrôle d'accès au site, bureau propre, salle serveurs)
- Gestion des identités et des accès (provisionnement, accès privilégiés, MFA)
- Cryptographie (chiffrement des données au repos et en transit)
- Sécurité des opérations (gestion des correctifs, protection contre les malwares, journalisation)
- Sécurité des communications (segmentation réseau, accès distant)
- Relations avec les fournisseurs (évaluations de sécurité des tiers)
- Gestion des incidents (détection, réponse, notification)
- Continuité d'activité (PRA/PCA, tests de reprise)
- Protection des prototypes (protection physique et logique des données de véhicules de pré-production)
- Véhicules connectés / exigences de haute protection (applicable aux périmètres AL3)
Le VDA ISA 6.0 utilise un modèle de maturité (échelle 0–5, aligné sur CMMI) pour chaque contrôle. TISAX exige d'atteindre un niveau de maturité minimum sur l'ensemble des contrôles applicables.
Les niveaux d'évaluation TISAX expliqués
| Niveau | Méthode | Label TISAX délivré ? | Cas d'usage typique |
|---|---|---|---|
| AL1 | Auto-évaluation (vérification de plausibilité) | Non | Sous-traitants avec données peu sensibles uniquement |
| AL2 | Audit à distance par prestataire accrédité | Oui | Exigence standard pour la plupart des sous-traitants rang 1/2 |
| AL3 | Audit sur site par prestataire accrédité | Oui | Prototypes, données classifiées, haute protection |
AL1 — Auto-évaluation
AL1 est une vérification de plausibilité : le sous-traitant complète le questionnaire VDA ISA et confirme ses réponses sans audit indépendant. Aucun label TISAX n'est délivré en AL1. Les clients acceptent rarement AL1 seul pour autre chose que les données les moins sensibles.
AL2 — Audit à distance
AL2 est le niveau d'évaluation TISAX standard. Un prestataire d'audit accrédité (répertorié sur enx.com) réalise une vérification à distance de vos réponses VDA ISA, de votre documentation et de vos preuves. Lors d'un achèvement réussi (avec les actions correctives clôturées dans le délai de 9 mois), un label TISAX est délivré et enregistré dans le portail ENX.
AL3 — Audit sur site
AL3 s'applique aux catégories de données les plus sensibles : véhicules de pré-production (prototypes), informations de véhicule classifiées et données de véhicules connectés. L'audit est réalisé sur site par un prestataire accrédité.
Labels TISAX
| Propriété | Détail |
|---|---|
| Validité | 3 ans à compter de la date d'évaluation |
| Périmètre | Défini par évaluation (site, entité ou entreprise entière) |
| Partage | Confidentiel — partagé uniquement avec les contacts OEM/clients autorisés via ENX |
| Affichage public | Non affiché publiquement ; résultats ENX sur la base du besoin d'en connaître |
| Renouvellement | Requis tous les 3 ans |
| Actions correctives | Jusqu'à 9 mois après l'audit pour clôturer les constats ouverts |
TISAX vs ISO 27001 : Différences clés
| Dimension | TISAX | ISO 27001 |
|---|---|---|
| Périmètre | Chaîne d'approvisionnement automobile | Toutes industries |
| Standard | VDA ISA 6.0 (basé sur ISO 27001) | ISO/IEC 27001:2022 |
| Organisme de certification | Prestataires d'audit accrédités ENX | Organismes de certification accrédités ISO/COFRAC |
| Résultat | Label TISAX (AL2/AL3) | Certificat ISO 27001 |
| Validité | 3 ans | 3 ans (audits de surveillance annuels) |
| Spécifique automobile | Oui (prototypes, véhicules connectés) | Non |
| Partage des résultats | Via portail ENX (confidentiel) | Certificat partageable publiquement |
Avec une certification ISO 27001 existante : Votre documentation SMSI existante, vos politiques, votre registre des risques et vos preuves peuvent directement servir de base à une évaluation TISAX. Les lacunes se situent généralement dans les domaines spécifiques à l'automobile. De nombreux sous-traitants atteignent TISAX AL2 en 3 à 6 mois depuis une base ISO 27001.
Processus TISAX : étape par étape
Étape 1 : Définir le périmètre et le niveau d'évaluation
Définissez les unités organisationnelles, sites et systèmes concernés. Votre client précisera la classe de protection et le niveau d'évaluation requis.
Étape 2 : S'enregistrer sur le portail ENX
Créez votre compte entreprise sur enx.com. Les frais d'enregistrement sont d'environ 400 € par périmètre d'évaluation. Vous recevez un identifiant ENX utilisé tout au long de l'évaluation.
Étape 3 : Réaliser une analyse des écarts
Complétez honnêtement le questionnaire d'auto-évaluation VDA ISA 6.0. Identifiez les écarts entre vos contrôles actuels et les niveaux de maturité requis. Pour AL2, vous devez atteindre le niveau de maturité ≥3 ("processus défini") pour la plupart des contrôles.
Étape 4 : Mettre en œuvre les mesures correctives
Combler les lacunes identifiées. Les domaines de remédiation les plus courants :
- Politiques et procédures formelles de sécurité de l'information
- Documentation de l'évaluation des risques
- Politiques de contrôle d'accès et IAM
- Processus d'évaluation des fournisseurs
- Procédures de réponse aux incidents
- Preuves de formation à la sensibilisation à la sécurité
- Documentation de la sécurité physique
Étape 5 : Sélectionner un prestataire d'audit accrédité
Choisissez parmi les prestataires accrédités répertoriés sur ENX. Parmi les principaux prestataires : TÜV SÜD, TÜV Rheinland, DEKRA, DQS, Bureau Veritas et BSI Group. Obtenez des devis auprès de 2 à 3 prestataires. Réservez 8 à 12 semaines à l'avance.
Étape 6 : Passer l'évaluation
Pour AL2 : L'auditeur examine vos réponses VDA ISA, votre documentation et vos preuves à distance sur 1 à 3 jours. Pour AL3 : Audit sur site dans vos locaux concernés (1 à 3 jours par site).
Étape 7 : Clôturer les actions correctives
Pour les non-conformités identifiées, vous disposez jusqu'à 9 mois pour mettre en œuvre des actions correctives et fournir des preuves de clôture.
Étape 8 : Recevoir votre label TISAX
Une fois toutes les actions correctives requises clôturées, le prestataire accrédité enregistre votre label TISAX dans le portail ENX. Vous pouvez ensuite autoriser vos clients à en consulter le statut.
Coûts TISAX : budget réaliste
| Composante de coût | Fourchette typique |
|---|---|
| Frais d'enregistrement ENX | ~400 € |
| Prestataire d'audit accrédité (AL2, PME) | 5 000–12 000 € |
| Prestataire d'audit accrédité (AL2, grande entreprise) | 10 000–25 000 €+ |
| Supplément AL3 par rapport à AL2 | +30–50 % |
| Analyse des écarts / conseil | 5 000–20 000 € |
| Préparation interne (temps du personnel, outils) | 10 000–50 000 €+ |
| Économies liées au chevauchement ISO 27001 | -20 % à -50 % |
Fourchettes totales typiques :
- Petit sous-traitant (AL2, base ISO 27001) : 15 000–40 000 €
- Sous-traitant de taille moyenne (AL2, départ de zéro) : 30 000–80 000 €
- Grand sous-traitant (AL3, plusieurs sites) : 80 000–200 000 €+
TISAX et le cadre réglementaire européen
TISAX s'inscrit dans un cadre réglementaire européen plus large que les sous-traitants automobiles doivent maîtriser :
- Directive NIS2 : Si votre organisation est qualifiée d'entité essentielle ou importante au titre de NIS2, des exigences parallèles en matière de cybersécurité s'appliquent. Les contrôles TISAX se mappent bien aux exigences de l'article 21 de NIS2.
- RGPD : Les données de véhicule et de services connectés impliquent souvent des données personnelles. Les contrôles de protection des données TISAX complètent les exigences RGPD.
- Cyber Resilience Act : À partir de 2027, les produits comportant des éléments numériques (y compris les composants automobiles avec logiciel embarqué) seront soumis à des exigences de sécurité obligatoires.
- UNECE WP.29 / ISO/SAE 21434 : Pour la cybersécurité des véhicules connectés spécifiquement, TISAX fonctionne en complément des standards automotive.
Comment Orbiq vous aide à atteindre la conformité TISAX
Orbiq est conçu pour la charge documentaire intensive de TISAX :
Surveillance continue. La surveillance continue collecte automatiquement des preuves techniques depuis vos systèmes — journaux d'accès, enregistrements de correctifs, bases de configuration.
Trust Center. La plateforme Trust Center fournit un canal sécurisé pour partager le statut de conformité avec vos contacts OEM autorisés, en complément du portail ENX.
Résidence des données UE. Orbiq est établi dans l'UE et traite toutes les données exclusivement dans une infrastructure européenne.
Articles connexes
- Logiciel de conformité UE : Guide d'achat complet
- Certification ISO 27001 : Guide complet
- Qu'est-ce qu'un SMSI ?
- Conformité NIS2 : Guide complet (2026)
Sources & Références
- ENX Association — Présentation de TISAX — Documentation officielle du programme TISAX, portail ENX, liste des prestataires accrédités
- VDA ISA 6.0 — Questionnaire d'évaluation de la sécurité de l'information — Documentation officielle VDA ; VDA ISA 6.0 obligatoire à partir du 1er avril 2024
- Tarification ENX 2025 — Frais d'enregistrement ENX environ 400 € par périmètre d'évaluation
- ISO/IEC 27001:2022 — Systèmes de management de la sécurité de l'information — ISO 27001:2022, 93 mesures réparties en 4 thèmes
- Niveaux d'évaluation TISAX — Documentation ENX — Définitions et exigences AL1, AL2, AL3
- VDA Automotive ISAC — Standards de l'industrie automobile VDA et gouvernance TISAX
- ENX Association — Prestataires d'audit accrédités — Répertoire des prestataires d'audit TISAX accrédités
- ISO/SAE 21434:2021 — Véhicules routiers : Cybersécurité — Standard de cybersécurité automobile complémentaire à TISAX
- Règlement UNECE WP.29 Cybersécurité (UN R155) — Règlement ONU sur la cybersécurité des véhicules
- Directive NIS2 — Texte officiel (UE) 2022/2555 — Article 21 exigences de sécurité ; chevauchement NIS2 et TISAX
Ce guide est maintenu par l'équipe Orbiq. Dernière mise à jour : mars 2026.