Le succès de l’homologation se sera fait attendre. Généralisée à toutes les entités publiques dès 2010 avec l’adoption du RGS 1.0., la démarche faisait pourtant figure de pionnière en matière de prise en compte des risques cyber. Mais son apparente complexité et son caractère non contraignant ont parfois relégué sa mise en œuvre à plus tard. Il aura donc fallu qu’elle soit remise au goût du jour par de nouveaux textes pour la voir gagner en popularité.
L’homologation, une précurseuse venue de l’administration publique
Selon l’ANSSI, l’homologation « permet d’identifier, d’atteindre puis de maintenir un niveau de risque de sécurité acceptable pour le système d’information considéré. » Délivrée par une autorité d’homologation avant la mise en service opérationnel du SI, cette méthode a été développée pour l’administration française. La démarche est en effet obligatoire pour certains systèmes soumis au Référentiel général de sécurité (RGS) et intégrée à la Politique de Sécurité des Systèmes d’Information de l’État (PSSIE). C’est également une exigence que l’on retrouve dans d’autres textes relatifs à la sécurité (loi de programmation militaire [LPM], transposition française de la directive NIS). À ce titre, elle fait désormais partie intégrante de la démarche de conformité des organisations.
« L’homologation souffre d’une image complexe alors qu’il s’agit d’une démarche relativement simple et assez novatrice : sa grande force est de s’adapter à tous les projets. »
Nicolas Pierre, responsable conformité Advens
Qui inspire jusqu’aux acteurs privés
Du côté du secteur privé, les acteurs français s’étaient familiarisés avec la notion d’intégration des bonnes pratiques de sécurité dans les projets (ISP) lors de la mise en œuvre de la norme ISO 27002 dès 2013. Mais ils peuvent aller plus loin en s’inspirant de la commission décrite dans la démarche d’homologation. Celle-ci prévoit la validation et l’acceptation des risques par un représentant de la direction là où l’ISP s’arrête souvent au RSSI ou à sa hiérarchie.
« À l’arrivée de la LPM dans le secteur financier par exemple, il a été plus facile de se mettre en conformité sur la règle 2 d’homologation pour les entreprises qui avaient déjà mis en place l’ISP. »
Nicolas Pierre, responsable conformité Advens
Qu’elle soit déployée dans un contexte privé ou public, l’homologation constitue un très bon levier de communication, même pour les non-assujettis, et permet de débloquer bien des situations. Pour de nombreux RSSI, elle est l’occasion de parler des risques cyber à leur direction en des termes qui facilitent la prise de décision.
Comment mettre en place une démarche d’homologation ?
La première étape de nos accompagnements à l’homologation revient souvent à expliquer en quoi consiste la démarche. Nous rappelons à cette occasion qu’il s’agit d’une démarche interne et non d’une certification.
« En présentant de façon claire les quatre étapes indispensables de l’homologation, on rassure et on se prémunit de l’usine à gaz »
Nicolas Pierre, responsable conformité Advens
Après avoir défini la stratégie d’homologation et réalisé l’analyse de risque, couplée aux audits techniques (si imposés, mais toujours fortement recommandés), nous aidons nos clients à formaliser un dossier d’homologation pertinent pour eux. Cela signifie se concentrer sur les documents obligatoires à la conformité (stratégie, analyse des risques, procédures d’exploitation, décision d’homologation) et ceux utiles à l’opérationnel, le tout en s’appuyant sur le corpus existant.
Notre rôle est également de préparer nos clients à la présentation des résultats lors de la commission d’homologation voire dans certains cas, de la coanimer . En effet, la participation d’un tiers externe permet parfois de donner plus de poids à certains messages. À l’issue de cette présentation, l’autorité d’homologation dispose de trois possibilités de décision : l’acceptation du niveau de risque résiduel, son refus ou une option intermédiaire, l’acceptation sous réserve de correction. Dans ce dernier cas, la structure dispose d’un délai d’un an maximum pour apporter des correctifs et se présenter à une nouvelle commission.
« On rencontre souvent le syndrome du bon élève : l’organisation tarde à se lancer dans l’homologation de peur de mettre en avant des manques ou attend d’être parfaite avant de passer en commission. Or, la démarche d’homologation, effectuée au bon moment, peut vraiment jouer un rôle de sensibilisation et mettre les décisionnaires face à leur responsabilité en matière de cyber-risque. »
Nicolas Pierre, responsable conformité Advens
Et si pour vous aussi, le moment de l’homologation était venu ?