Homologation de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)

En savoir +

Pourquoi homologuer un service numérique ?

Les systèmes d’information des entités publiques et des entreprises font face à un risque de cyberattaques pouvant entraîner des conséquences parfois graves sur le fonctionnement des organisations, sur le plan juridique, financier ou réputationnel ainsi que pour les usagers, les clients et les partenaires.

L’ensemble des systèmes d’information dans leur diversité est exposé à des risques cyber :

• Quelle que soit leur nature : système d’information d’une organisation, infrastructure d’hébergement ; service numérique (site web, application, mobile, API, etc.)
• Quelle que soit leur criticité : site web d’information; système d’information classifié; traitement de données extrêmement sensibles.

Protéger ces systèmes contre ces risques est indispensable. Pour cela, des mesures de sécurité doivent être mises en oeuvre afin de répondre aux risques cyber les plus courants mais aussi aux risques parfois spécifiques auxquels sont exposés certains systèmes et contre lesquels chaque entité publique choisit de se protéger.

Afin de garantir que les risques cyber à l’encontre d’un système d’information soient connus, pris en compte et acceptés par chaque entité concernée, la réglementation française prévoit l’obligation de prononcer une décision d’homologation de sécurité pour de nombreux systèmes. Cette obligation concerne principalement les entités publiques mais également certaines entreprises privées réglementées.

L’homologation de sécurité est donc une démarche essentielle de gouvernance de la sécurité des systèmes d'information.

Les principales sources réglementaires de l’homologation de sécurité

• Le référentiel général de sécurité (RGS) qui fixe des exigences en matière de sécurité des services publics en ligne en France et oblige leur homologation. Toutes les entités publiques sont concernées par cette obligation : Etat, établissements publics, collectivités.
• Le décret n°2022-513 du 8 avril 2022 qui étend, pour l’Etat et les établissements publics, cette obligation à l’ensemble de leurs systèmes d’information et de communication.
• D’autres réglementations soumettant systèmes d’information plus sensibles à une obligation d’homologation de sécurité (ex. IGI1300)

Qu'est-ce qu'une homologation de sécurité ?

L’homologation de sécurité prend la forme d’une décision. Celle-ci permet de s’assurer que les risques liés à l’emploi d’un système d’information sont clairement identifiés, traités et acceptés au plus haut niveau d’une organisation par une autorité (« l’autorité d’homologation »). Cette décision permet la mise et le maintien en service d’un système d’information.

La décision d’homologation atteste que les mesures de sécurité mises en oeuvre pour protéger un système, ainsi que les efforts additionnels planifiés, sont suffisants pour faire face aux risques cyber les plus courants et/ou les risques cyber spécifiques identifiés contre lesquels une entité choisit de se protéger.

En cas d’avis défavorable de l’autorité d’homologation, l’homologation n’est pas validée mais le refus d’homologation peut être enregistré formellement. En l’absence de décision, un système d’information est réputé ne pas pouvoir être mis ou maintenu en service.

La décision d’homologation est formalisée par un écrit sans exigence de forme particulière (ex. note administrative, document signé, etc.). Rien n’interdit qu’une décision d’homologation soit prise électroniquement.

La durée de validité d’une homologation est fixée librement par l’autorité d’homologation. Elle ne doit toutefois pas excéder 3 ans.