đ« Doctrine - Quels sont les acteurs de l'homologation de sĂ©curitĂ© ?
Les rĂŽles concourant Ă la prĂ©paration de la dĂ©cision dâhomologation
On distingue gĂ©nĂ©ralement 3 rĂŽles dans un projet de sĂ©curisation et dâhomologation dâun systĂšme dâinformation.
Le succĂšs de la dĂ©marche dâhomologation dĂ©pend de la qualitĂ© et de la rĂ©gularitĂ© des Ă©changes entre les niveaux opĂ©rationnel, fonctionnel et de contrĂŽle afin de faire progresser ensemble la sĂ©curitĂ© du systĂšme.
Les rĂŽles peuvent ĂȘtre assurĂ©s par des personnes distinctes ou par les mĂȘmes personnes, adaptant leur positionnement selon le rĂŽle jouĂ©.
Par exemple, une mĂȘme personne peut ĂȘtre appelĂ©e Ă jouer Ă la fois :
Un rĂŽle opĂ©rationnel, en mettant en oeuvre des mesures concrĂštes de sĂ©curisation dâun systĂšme.
Un rĂŽle fonctionnel, en conseillant une Ă©quipe sur les mesures de sĂ©curitĂ© Ă mettre en Ćuvre.
Un rĂŽle de contrĂŽle, en vĂ©rifiant que lâensemble des Ă©tapes et actions devant ĂȘtre prises dans le cadre de lâhomologation lâont bien Ă©tĂ©.
Il est nĂ©anmoins recommandĂ©, lorsque cela est possible dâattribuer le rĂŽle de contrĂŽle Ă une ou plusieurs personnes nâassurant pas les rĂŽles opĂ©rationnel et fonctionnel, dans un souci dâimpartialitĂ©.
Cela est, en particulier, recommandĂ© sâagissant des dĂ©marches dâhomologation de systĂšmes aux besoins de sĂ©curitĂ© Ă©levĂ©s (voir « identifier
la dĂ©marche adaptĂ©e »). Pour les dĂ©marches dâhomologation des systĂšmes dâinformation aux besoins de sĂ©curitĂ© Ă©levĂ©s, un comitĂ© dâhomologation doit ĂȘtre constituĂ© en vue dâassurer le rĂŽle de contrĂŽle de la dĂ©marche menĂ©e, avant la tenue de la commission dâhomologation.
Celui-ci doit ĂȘtre composĂ©e des personnes disposant dâune expertise mĂ©tier et cyber, capables dâexaminer les piĂšces fournies en vue de vĂ©rifier si la dĂ©marche a Ă©tĂ© menĂ©e de maniĂšre adĂ©quate et si les mesures mises en Ćuvre sont satisfaisantes pour rĂ©pondre aux risques identifiĂ©s.
L'autorité d'homologation
La dĂ©cision dâhomologation est prise par lâautoritĂ© dâhomologation prenant la responsabilitĂ©, pour lâorganisation, de la mise ou le maintien en service du systĂšme dâinformation.
LâautoritĂ© dâhomologation est la personne placĂ©e au plus haut niveau hiĂ©rarchique dâune entitĂ© responsable dâun systĂšme dâinformation, en capacitĂ© dâassumer la responsabilitĂ© de la mise en ligne dâun service numĂ©rique au regard des risques identifiĂ©s et des mesures de sĂ©curitĂ© mises en Ćuvre.
Le rĂŽle dâautoritĂ© dâhomologation peut ĂȘtre dĂ©lĂ©guĂ© de maniĂšre ponctuelle ou pĂ©renne Ă une ou plusieurs autres personnes au sein dâune entitĂ©. Cette dĂ©lĂ©gation peut ĂȘtre prononcĂ©e en vue de faciliter lâindustrialisation des homologations, notamment pour les systĂšmes aux besoins de sĂ©curitĂ© moins Ă©levĂ©s.
Pour cela, la dĂ©lĂ©gation doit ĂȘtre formalisĂ©e par Ă©crit sans contrainte de forme (ex. mail, note). Dans le cas dâun systĂšme sous la responsabilitĂ© de plusieurs entitĂ©s, le rĂŽle dâautoritĂ© dâhomologation doit revenir Ă lâentitĂ© ayant la responsabilitĂ© principale du systĂšme (ex. conception, dĂ©ploiement, hĂ©bergement, financement, etc.).
Exemples dâautoritĂ© dâhomologation ou de dĂ©lĂ©gation :
Au sein dâune collectivitĂ© :
Le ou la Maire pour une commune
Le ou la DGS par délégation.
Au sein dâune administration ou dâune entitĂ© privĂ©e :
Le ou la DG dâune direction publique ou dâune agence publique
Par délégation, un adjoint ou une adjointe, un chef de service ou une cheffe de service, un sous-directeur ou une sous-directrice voire pour les systÚmes et services / besoins de sécurité aux besoins de sécurité les plus faibles, un ou une chef(fe) de division.
Mis Ă jour le : 31/03/2025
Merci !