postheadericon Homologation de sécurité, un guide de l’ANSSSI

L’agence nationale pour la sécurité des systèmes d’information (ANSSI) a publié un guide pour aider les responsables informatique à « homologuer* » leur système d’information, c’est-à-dire valider le fait que les risques sont identifiés et maîtrisés. L’enjeu est à la fois de répertorier de manière exhaustive l’ensemble des risques (matériels, humains, juridiques, perte de données…) sur le ou les systèmes d’informations de l’entité concernée, de lister les mesures mises en œuvre pour les maîtriser et d’établir la liste des « risques résiduels », le zéro risque n’existant pas. Ce guide s’inscrit dans la droite ligne du référentiel général de sécurité (RGS) que doivent respecter toutes les administrations et les collectivités territoriales.

Le guide, écrit dans un langage accessible, est organisé autour de neuf étapes, neufs questions permettant l’auto-évaluation, sans nécessairement recourir à une analyse externe.

  1. Quel système d’information dois-je faire homologuer et pourquoi ?
  2. Quel type de démarche dois-je mettre en oeuvre ?
  3. Qui contribue à la démarche ?
  4. Comment s’organise-t-on pour recueillir et présenter les informations ?
  5. Quels sont les risques pesant sur le système ?
  6.  La réalité correspond-elle à l’analyse ?
  7.  Quelles sont les mesures de sécurité supplémentaires pour couvrir ces risques ?
  8.  Comment réaliser la décision d’homologation ?
  9. Qu’est-il prévu pour continuer d’améliorer la sécurité ?

 Qui homologue ?
L’homologation est « l’acceptation explicite des risques résiduels et l’engagement de veiller à la bonne mise en œuvre de mesures de sécurité prévues, permettant ainsi la mise en service du système. C’est donc une décision prise au nom de l’autorité administrative, par un responsable de niveau suffisant désigné à cet effet comme autorité d’homologation (par exemple le responsable métier ou son supérieur hiérarchique) » selon l’ANSSI. On soulignera donc que l’homologation est un processus interne et non une validation de la politique de sécurité par une entité extérieure. Elle peut toutefois s’appuyer sur une commission ad’hoc, des expertises externes et dans tous les cas, la validation ne peut s’appuyer que sur un diagnostic détaillé.

Les commentaires sont fermés.

TIC*