Retour sur Advens.fr
Cyber Légale Article

Nouveau guide d’homologation de l’ANSSI : que faut-il retenir ?

14 avril 2025 7 min de lecture
Guide d’homologation de l'ANSSI
Auteur
Nicolas Pierre
Nicolas Pierre
Responsable conformité / gouvernance
Page LinkedIn
Sommaire :

2014 ! Autant dire que le précédent guide d’homologation en 9 étapes avait vécu et avait besoin d’un bon rafraîchissement. C’est désormais chose faite avec un nouveau guide publié par l’ANSSI lors du FIC 2025. Inutile de dresser un tableau comparatif tant les deux guides sont radicalement différents, hormis que l’on passe de 9 étapes à 4 !

Un guide entièrement repensé

L’ANSSI voulait du changement et c’est chose faite avec ce nouveau guide. Ceux qui s’étaient habitués aux derniers guides de l’ANSSI avec des explications et un ensemble de règles à suivre seront déçus, car ici, point de règles strictes, mais une lecture didactique des principes d’homologation, accompagnée d’une déclinaison plus opérationnelle et pragmatique. Et il est là le vrai changement ! La lourdeur du précédent guide avec sa démarche et documents imposés rendait complexe (et coûteux) ceux qui voulaient le respecter (même si, rappelons-le, cela reste un guide de bonne pratique, donc des conseils, mais rien d’obligatoire en soi).

Pour ceux qui ont l’habitude de l’homologation, la lecture sera rapide et les changements vous sauteront aux yeux. Pour les autres, je vous invite fortement à le lire tant il explique bien les tenants et aboutissants d’une démarche de sécurité projet, car l’homologation s’arrête souvent aux projets pour lesquels elle est imposée par une réglementation (ce qui se fait de plus en plus rare), et est oubliée pour tous les autres projets. Pour tous ceux qui font de l’ISP, ces principes d’homologation sont applicables (et réplicables) à une démarche d’intégration de la sécurité dans les projets.

Les points clés à retenir

Les principes suivants ont particulièrement retenu l’attention de notre expert en cyberconformité Nicolas Pierre. Pour ceux ne pratiquant pas encore l’homologation / ISP, nous vous conseillons de bien lire tout le guide de l’ANSSI qui explique très bien la démarche et ses concepts. Et pour les plus pressés, la page 10 du guide synthétise les principaux changements.

Fin des homologations avec réserve

L’ANSSI nous l’a assez répété, cette notion (bien trop souvent utilisée) perdait tout son sens et arrivait à un refus de responsabilité. L’ANSSI souhaite revenir aux fondamentaux avec une vraie prise de décision (et de responsabilité) par l’autorité d’homologation (on ne décale plus indéfiniment l’arbitrage).

Plus que deux choix : j’homologue ou je refuse (et dans ce cas, pas de mise en production ou coupure si déjà en production). L’autorité doit s’engager, quitte à homologuer pour une courte durée, afin de voir les avancements souhaités mis en œuvre (et sa prise d’engagement à les faire). C’est de notre avis un très bon changement, car il était devenu trop facile de viser ces fameuses APE pour satisfaire une mise en production en négligeant la sécurité.

La gouvernance et ses trois lignes de maîtrise

Sauf erreur, c’est la première fois que je vois apparaître ce concept dans un guide ANSSI, avec des rôles et responsabilités claires rappelés tout au long du guide afin de définir concrètement qui fait quoi et ainsi impliquer efficacement toutes les parties prenantes. La matrice de responsabilité se voit ainsi simplifiée, mais surtout à définir dès le début du projet. Ce concept est rappelé dans DORA également, où il est présenté comme une nouveauté notable, même si les lignes de maîtrise diffèrent légèrement.

Quoi qu’il en soit, définir les rôles de chacun devient essentiel pour aboutir efficacement aux résultats attendus, mais la séparation et l’indépendance pourraient se voir complexifier selon les organigrammes de certaines entreprises. Cela mérite un vrai travail de réflexion et définition des responsabilités.

Mieux distinguer périmètre et écosystème

La différence entre périmètre et écosystème pose souvent des difficultés. Cette notion serait intéressante à aborder au travers d’une fiche pratique dans la méthode EBIOS RM, tant la frontière est parfois mince et complexe à prendre efficacement en compte. Néanmoins, rappeler que les deux notions sont importantes, et que la prise de décision ne se fait que sur le périmètre, mais les risques, est un point crucial.

Introduction du ROI sur les mesures de sécurité

Cette question qui hante les RSSI, tant il est difficile à calculer, mais de plus en plus nécessaire pour définir des budgets cohérents et surtout éviter une sur-sécurité. Est-ce la fin des analyses de risques qualitatives au profit des analyses quantitatives ? Cela pourrait être l’occasion d’un prochain article.

Une démarche adaptée à la criticité

Le plus important, une nouvelle démarche : fini la démarche lourde comme évoquée en introduction. Elle s’adapte (enfin) à la criticité du périmètre (comme d’autres référentiels l’avaient déjà mis en place). Trois niveaux révolutionnant l’homologation tant sur la démarche, avec une simplification réelle, que sur les responsabilités, avec un avis d’homologation à plusieurs niveaux.

Trois niveaux : simplifié, intermédiaire et renforcé, calculé via une matrice croisant criticité et exposition du périmètre (un nouveau document à produire, mais pour une énorme économie à la fin).

Un nouveau partage des responsabilités

Le RSSI (seconde ligne de maîtrise) gagne en responsabilité et émet les avis d’homologation pour les niveaux simplifiés et intermédiaires, qu’il se doit de faire valider par l’autorité d’homologation, mais la commission n’est pas nécessaire (elle ne l’est que pour le niveau renforcé). Ainsi la démarche gagne en agilité (fini de mobiliser l’autorité et toute une commission pour des SI peu critiques) et le RSSI en responsabilité, car il pourra émettre un avis défavorable si les risques sont trop importants (sera-t-il suivi par l’autorité et les enjeux métiers, l’avenir nous le dira).

Une documentation enfin allégée

Une nouvelle documentation, adaptée au niveau de la démarche : toujours dans sa logique de démarche opérationnelle, l’ANSSI ne vise « que » des documents nécessaires à la cyber et à sa gestion efficace dans le temps. Ainsi :

  • une démarche simplifiée ne va « réclamer » qu’une matrice de conformité aux référentiels applicables et des macros-risques (sans analyse EBIOS RM),
  • le niveau intermédiaire un DAT, une analyse de risque (mais uniquement atelier 1 et 5 de l’EBIOS RM), les procédures d’exploitation (les vrais, celles qui servent, pas le document synthétique de l’ancienne version), les plans de MCO/MCS (une nouveauté) et toujours des audits,
  • et le niveau renforcé la totale avec une analyse de risque complète et un plan de résilience en plus.

Bien que non cité dans son tableau récapitulatif (page 67), l’ANSSI n’oublie pas de mentionner la cartographie (qu’elle affectionne particulièrement car évoquée dans tous ces référentiels). Un élément toujours important à produire, bien que complexe à maintenir. Petite déception, la stratégie d’homologation n’existe plus et est remplacée par « Document d’accompagnement » (présentation du système d’information dans son contexte et justification de la sélection de la démarche) qui s’apparente à ce que l’on retrouvait dans la stratégie. Choix étrange, car ce document ne posait pas de difficulté et reprenait les mêmes concepts que ce document attendu, peut-être que le mot stratégie faisait trop peur, la question sera posée à l’ANSSI !

L’importance de l’amélioration continue

Et enfin, oubli de 2014 (mais rattrapé notamment avec l’EBIOS RM), l’amélioration continue. Cela peut paraitre logique, mais il reste important de le rappeler, la cyber ne s’arrête jamais et son suivi doit se réaliser en continu afin de faire face aux attaques, toujours plus nombreuses et sophistiquées et ainsi suivre efficacement ses risques (et renouveler ses homologations).

Les trois fiches méthodes déjà produites à date apportent des précisions et aides bienvenues sur des cas souvent rencontrés, qui seront, nous n’en doutons pas, rapidement accompagnées d’autres fiches.

Vers la fin de l’homologation ?

S’il fallait émettre un reproche, il ne serait pas sur le guide mais sur le terme homologation et son applicabilité. Comme évoqué en introduction, fort est de constater que cette démarche est généralement appliquée uniquement quand la réglementation le réclame, et le guide cite bien les textes la rendant obligatoire (page 28 : PSSIE, RGS, décret n°2022-513, II901, IGI 1300, LPM). Certes, cela concerne déjà beaucoup de SI, mais avec la disparition du RGS au profit de NIS 2 qui ne réclame pas l’homologation (même si les principes sont présents), les entreprises feront-elles l’effort de cette démarche ? Rien n’est moins sûr. 

Service essentiel de notre offre cyberconformité, nous continuerons d’appuyer en ce sens et de partager ses principes, tant ils restent applicables pour la démarche d’ISP dans son ensemble. 

Sur le même sujet…
Bulletin CERT mars 2025
Sécurité opérationnelle Bulletin du CERT

Renseignement sur les menaces – Bulletin CERT mars 2025

11 avril 2025 1 min
Bulletin CERT fevrier 2025
Sécurité opérationnelle Bulletin du CERT

Renseignement sur les menaces – Bulletin CERT février 2025

11 avril 2025 1 min
Webinar DORA
Cyber Légale Webinar

Webinar DORA : quel impact sur votre sécurité opérationnelle ?

3 avril 2025 2 min

Retour à la page Cyber Légale