Homologuer la sécurité de son SI : un guide pratique

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a mis en œuvre des dispositifs d’homologation de la sécurité des systèmes d’information. Ceux-ci ont été récemment réformés et simplifiés dans le cadre d’une nouvelle doctrine d’homologation de sécurité. Pour accompagner la démarche d’homologation, l’ANSSI vient de publier un bien-nommé « guide de l’homologation de sécurité des systèmes d’information ». La démarche d’homologation vise à une prise en compte des risques pesant sur un outil essentiel au bon fonctionnement d’une organisation. La décision d’homologation par une autorité est une décision formelle qui vise à maintenir ou à mettre en exploitation un système d’information. Elle est dans de nombreux cas obligatoire. Mais, lorsque ce n’est pas le cas, la démarche est fortement recommandée (par exemple dans le secteur privé lucratif).

L’homologation ne signifie pas que la cybersécurité est parfaite (en admettant la chose possible) mais que les risques sont connus, identifiés formellement et pris en compte. Certains risques peuvent être simplement admis et assumés. Certains travaux de cybersécurité peuvent ne pas être achevés sans que cela soit un obstacle absolu à l’homologation.

Le guide est organisé en parties qui sont autant d’étapes dans un ordre chronologique. « Avant de commencer », il s’agit de comprendre la démarche, ses concepts fondateurs. S’il faut ensuite sécuriser le système d’information, ce n’est pas seulement sur le plan technique mais aussi en matière de gouvernance et d’organisation, toujours en adoptant une approche par les risques. Vient ensuite la démarche d’homologation elle-même, en quatre étapes. Enfin, il ne faut pas négliger l’amélioration continue. Le guide est écrit dans un langage clair et accessible. Il peut bien sûr être utilisé par un CISO mais aussi par la direction générale.

En savoir plus

- Télécharger « Le guide de l’homologation de sécurité des systèmes d’information » sur le site de l’ANSSI.