L'homologation de sécurité

La démarche d’homologation est un préalable à l’instauration de la confiance dans les systèmes d’information ou les services numériques, et dans leur exploitation.

Publié le 18 Juillet 2022 Mis à jour le 27 Février 2024

Elle permet à un responsable de s’informer et d’attester aux utilisateurs d’un système d’information ou d’un service numérique que les risques qui pèsent sur eux, sur les informations qu’ils manipulent et sur les services qu’ils rendent ou dont ils bénéficient, sont connus et maîtrisés.

L’homologation est d’autant plus nécessaire, aujourd’hui, que les systèmes d’information sont de plus en plus complexes et que les impacts potentiels d’un incident sont de plus en plus graves.

Pour un certain nombre de systèmes, cette recommandation est même rendue obligatoire par des textes, tels que l’Instruction générale interministérielle no 1300 (IGI1300, le référentiel général de sécurité (RGS) et la politique de sécurité des systèmes d’information de l’État (PSSIE).

Qu'est-ce qu'une homologation de sécurité ?

En informatique, comme dans d’autres domaines, le risque zéro n’existe pas. La démarche d’homologation de sécurité est destinée à faire connaître et comprendre aux responsables les risques liés à l’exploitation d’un système d’information ou service numérique.

Il s’agit d’un processus d’information et de responsabilisation qui aboutit à une décision délivrée par l’autorité d’homologation et soutenue par le responsable de l’organisation. Elle constitue un acte formel par lequel il atteste de sa connaissance du système d’information et des mesures de sécurité mises en œuvre et accepte les risques qui demeurent : les risques résiduels.

La démarche d’homologation doit être adaptée aux enjeux de sécurité du système, au contexte d’emploi, à la nature des données contenues ainsi qu’aux utilisateurs.

Comment mener une homologation de sécurité ?

La démarche d’homologation peut être décomposée en neuf étapes, dont la mise en œuvre est directement liée à la complexité du système à homologuer.
Elles respectent les grandes phases suivantes :

  • Définition de la stratégie d’homologation
  • Appréciation et traitement des risques
  • Prise de décision
  • Suivi a posteriori.

Les questions posées lors de ces neuf étapes permettent de constituer un dossier, sur lequel l’autorité d’homologation s’appuie pour prendre sa décision.

PDF
Guide d'homologation de sécurité
Pour vous accompagner, consultez le guide d’homologation de sécurité en 9 étapes simples
Sur le même sujet :
Sécuriser son organisation