Qu'est que ce que l'homologation de sécurité ?

L'homologation de sécurité est une décision prise par une autorité autorisant la mise en service ou le maintien en production de services publics numériques et autres systèmes d'information ou leur maintien en ligne.

La décision d'homologation atteste que les mesures de sécurité mises en œuvre, ainsi que les efforts additionnels planifiés, sont suffisants pour faire face aux risques cyber identifiés contre lesquels une entité choisit de se protéger. L'homologation est une démarche essentielle de gouvernance de la sécurité des systèmes d'information.

Retrouvez plus de détails directement sur le site de l'ANSSI.

Pourquoi l'homologation de sécurité est importante ?

La mise en œuvre de mesures de sécurité adaptées aux risques, préalable à la décision d'homologation de sécurité est essentielle au renforcement de la sécurité des systèmes d'information, dont celle des services numériques, face aux risques de cyberattaques.

La décision d'homologation de sécurité permet d'attester aux utilisateurs d'un système d'information que les risques qui pèsent sur eux, sur les informations qu'ils manipulent et sur les services rendus, sont connus et maîtrisés. L'homologation de sécurité des services numériques contribue, ce faisant, à accroître la confiance des utilisateurs.

Est-il obligatoire d'homologuer la sécurité des services numériques ?

L'homologation de sécurité est obligatoire pour l'ensemble des entités publiques (ou « autorités administratives ») au titre du Référentiel Général de Sécurité (RGS) visant au renforcement de la confiance des usagers dans les services publics numériques, et du décret 2022-513 du 8 avril 2022 relatif à la sécurité des systèmes d'information et de communication de l'État et de ses établissements publics.

Les entités publiques concernées incluent notamment :

Les administrations d'État.
Les collectivités territoriales.
Les établissements publics.
Les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail (ex : les caisses d'allocations familiales).
Les autres organismes chargés de la gestion d'un service public administratif.

Quels types de services numériques doivent être homologués ?

Un service public numérique (ou « téléservice » dans le RGS) doit être homologué par une autorité administrative s'il permet des échanges de données entre l'administration et les usagers ou entre administrations, en particulier lorsqu'ils permettent des démarches administratives en ligne.

Les services numériques sont concernés par l'homologation de sécurité, que ceux-ci aient été développés en interne ou par un prestataire au profit d'une autorité administrative, ou qu'ils aient été obtenus sur étagère gratuitement ou achetés auprès d'un fournisseur.

Un service proposé par une entité publique à d’autres entités publiques peut être homologué une fois par l’entité publique proposant en premier lieu le service.
Il est par ailleurs recommandé à l'entité homologuant le service, d'impliquer si possible un panel d'entités utilisatrices du service, lors de la commission d'homologation.
Les utilisateurs du service peuvent alors bénéficier de l’homologation mutualisée sans formalité supplémentaire, dès lors que le service est utilisé conformément aux conditions d’usage couvertes par l’homologation.

Qui est responsable de la décision d'homologation de sécurité ?

L’autorité d'homologation est la personne placée au plus haut niveau hiérarchique d’une entité responsable d’un service numérique ou d’un système d’information, en capacité d'assumer la responsabilité de la mise en ligne d'un service numérique au regard des risques identifiés et des mesures de sécurité mises en œuvre.

Le rôle d’autorité d’homologation peut être formellement délégué à une autre personne au sein de l’entité.

Exemples :

Le ou la Maire pour une commune ou le ou la DGS par délégation.
Le ou la DG d’une agence publique ou par délégation, un adjoint ou une adjointe, un chef de service ou une cheffe de service.

Lorsque le service numérique est sous la responsabilité de plusieurs autorités, l'autorité d'homologation est désignée parmi ces dernières, sur leur décision conjointe. Dans le cas d'une homologation d'un service avec plusieurs entités publiques, il ne doit y avoir qu'une seule autorité d'homologation.

Mis à jour le : 21/08/2024