Articles sur : Blog

đŸȘȘ Doctrine - Qu'est-ce qu'une homologation de sĂ©curitĂ© ?

Une décision



L’homologation de sĂ©curitĂ© prend la forme d’une dĂ©cision. Celle-ci permet de s’assurer que les risques liĂ©s Ă  l’emploi d’un sstĂšme d’information sont clairement identifiĂ©s, traitĂ©s et acceptĂ©s au plus haut niveau d’une organisation par une autoritĂ© (« l’autoritĂ© d’homologation »).
Cette dĂ©cision permet la mise et le maintien en service d’un systĂšme d’information.
La dĂ©cision d’homologation atteste que les mesures de sĂ©curitĂ© mises en Ɠuvre pour protĂ©ger un systĂšme, ainsi que les efforts additionnels planifiĂ©s, sont suffisants pour faire face aux risques cyber les plus courants et/ou les risques cyber spĂ©cifiques identifiĂ©s contre lesquels une entitĂ© choisit de se protĂ©ger.
Les risques cyber spécifiques identifiés contre lesquels une entité choisit de se protéger.
En cas d’avis dĂ©favorable de l’autoritĂ© d’homologation, l’homologation n’est pas validĂ©e mais le refus d’homologation peut ĂȘtre enregistrĂ© formellement.
En l’absence de dĂ©cision, un systĂšme d’information est rĂ©putĂ© ne pas pouvoir ĂȘtre mis ou maintenu en service.

La forme de la décision



La dĂ©cision d’homologation est formalisĂ©e par un Ă©crit sans exigence de forme particuliĂšre (ex. note administrative, document signĂ©, etc.). Rien n’interdit qu’une dĂ©cision d’homologation soit prise Ă©lectroniquement.

Elle doit Ă  minima indiquer :
Le nom de l’entitĂ©
Le nom/prĂ©nom et la fonction de l’autoritĂ© d’homologation
Le nom ou l’identifiant du systĂšme et son pĂ©rimĂštre
La date de la dĂ©cision et la durĂ©e de validitĂ© de l’homologation
Les recommandations / exigences de l’autoritĂ© d’homologation pour la suite de la sĂ©curisation du systĂšme et les rĂ©serves Ă©ventuelles.



Mise en avant de la décision



La publication d’une dĂ©cision d’homologation n’est pas obligatoire mais est fortement recommandĂ©e par l’ANSSI dans un souci de transparence et de renforcement de la confiance avec l’ensemble des personnes et parties prenantes utilisant le systĂšme d’information.

L’information publique sur une dĂ©cision d’homologation devrait inclure a minima :
Le nom de l’entitĂ©
Le nom ou l’identifiant du systùme
La date de la décision et la durée de validité de l'homologation

La portée juridique



La portĂ©e juridique d’une dĂ©cision d’homologation varie d’une rĂ©glementation Ă  une autre, selon par exemple, la sensibilitĂ© du systĂšme (ex. les systĂšmes classifiĂ©s relĂšvent du droit pĂ©nal). Une dĂ©cision d’homologation de sĂ©curitĂ© engage juridiquement l’entitĂ© concernĂ©e reprĂ©sentĂ©e par l’autoritĂ© d’homologation.
Dans le cas oĂč la personne ayant validĂ© une dĂ©cision d’homologation quitte l’entitĂ©, l’homologation ne perd pas sa validitĂ© et la responsabilitĂ© est transfĂ©rĂ©e Ă  une autre personne assurant le rĂŽle d’autoritĂ© d’homologation.


Mis Ă  jour le : 31/03/2025

Cet article a-t-il répondu à vos questions ?

Partagez vos commentaires

Annuler

Merci !