Pour homologuer votre système d’information, suivez le guide.

En informatique, comme dans les autres domaines, le risque zéro n’existe pas. La démarche d’homologation de sécurité est destinée à faire connaître et faire comprendre, aux responsables comme aux maîtres d’ouvrage, les risques et enjeux liés à l’exploitation d’un système d’in­formation.

Publié le 16 Décembre 2015 Mis à jour le 16 Décembre 2015

La démarche d’homologation, recommandée* de longue date par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), est un préalable indispensable à l’instauration de la confiance dans les systèmes d’information et dans leur exploitation au quotidien.

Il s’agit d’un processus d’information et de responsabilisation qui aboutit à une décision, prise par le responsable de l’organisation. Cette décision constitue un acte formel par lequel :

  • Il atteste de sa connaissance du système d’information et des mesures de sécurité (techniques, organisationnelles ou juridiques) mises en œuvre.
  • Il accepte les risques qui demeurent, aussi appelés risques résiduels.

Pour être efficace, la démarche d’homologation doit être adaptée aux enjeux de sécurité du sys­tème, notamment au contexte d’emploi, à la nature des données contenues, ou encore aux utilisateurs…

Comment homologuer un système d’information ?

Se lancer dans une démarche d’homologation est relativement simple : il s’agit de vérifier que la sécurité n’a pas été oubliée avant la mise en place du système d’information et d’appliquer les mesures de sécurité nécessaires et proportionnées.

Pour faciliter la mise en œuvre de la démarche d’homologation, l’ANSSI a édité le guide de l’homologation de sécurité en neuf étapes.
Afin de compléter ce guide, l’ANSSI met également à disposition :

  • Une « boîte à outils » : fournissant les sommaires types des principaux documents qui constituent le dossier d’homologation.
  • Des documents types modifiables et adaptables à l’échelle de chaque projet et de chaque organisation.
  • Un fichier Excel avec 3 usages complémentaires :
    • Estimation du besoin de sécurité pour un système d’information (SI) particulier ou pour l’ensemble des SI de l’organisme (1er onglet)
    • Evaluation de la maturité de la sécurité des systèmes d'information (SSI) de l’organisme (2ème onglet)
    • Détermination du type de démarche d’homologation de sécurité à adopter en remplissant les deux premiers onglets (3ème onglet)

Une fois le projet défini et l’équilibre déterminé par le suivi de cette démarche, l’autorité d’homologation sera en mesure de signer en dernier lieu l’attestation formelle qui autorise la mise en service du système d’information, du point de vue de la sécurité.

 

* La réglementation rend obligatoire l’homologation pour les systèmes d’information traitant d’informations classifiées de défense (IGI 1300) et ceux permettant des échanges entre une autorité administrative et les usagers, ou entre autorités administratives (RGS).