Le risque de cyberattaques

Les systèmes d’information des entités publiques et des entreprises font face à un risque de cyberattaques pouvant entraîner des conséquences parfois graves sur le fonctionnement de ces organisations, sur le plan juridique, financier ou réputationnel ainsi que pour les usagers, les clients et les partenaires.

L’ensemble des systèmes d’information dans leur diversité est exposé à des risques d’origine cyber quelle que soit :
Leur nature : ex. système d’information d’une organisation, infrastructure d’hébergement ; service numérique (site web, application, mobile, API, etc.).
Leur criticité : ex. : site web d’information ; système d’information classifié ; traitement de données extrêmement sensibles.

Protéger ces systèmes contre ces risques est indispensable. Pour cela, des mesures de sécurité doivent être mises en œuvre afin de répondre aux risques cyber les plus courants mais aussi aux risques parfois spécifiques auxquels sont exposés certains systèmes et contre lesquels chaque entité publique choisit de se protéger.

Afin de garantir que les risques cyber à l’encontre d’un système d’information soient connus, pris en compte et acceptés par chaque entité concernée,
la réglementation française prévoit l’obligation de prononcer une décision d’homologation de sécurité pour de nombreux systèmes. Cette obligation concerne principalement les entités publiques mais également certaines entreprises privées réglementées.

L’homologation de sécurité est donc une démarche essentielle de gouvernance de la sécurité des systèmes d’information.



Même lorsque celle-ci n’est pas obligatoire, elle constitue une excellente pratique en matière de pilotage de la sécurité des systèmes d’information que toute organisation est encouragée à adapter.

Elle permet de :

Les principales sources réglementaires de l’homologation

Le référentiel général de sécurité (RGS) qui fixe des exigences en matière de sécurité des services publics en ligne en France et oblige leur homologation.
Toutes les entités publiques sont concernées par cette obligation : Etat, établissements publics, collectivités.
Le décret n°2022-513 du 8 avril 2022 qui étend, pour l’Etat et les établissements publics, cette obligation à l’ensemble de leurs systèmes d’information et de communication.
D’autres réglementations soumettant systèmes d’information plus sensibles à une obligation d’homologation de sécurité (ex. IGI1300).

Mis à jour le : 07/04/2025