guide_homologation_de_securite_en_9_etapes

More documents

Recommendations

Info

QUEL SYSTÈME D’INFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?Durant la première étape, vous allez préciser le référentiel réglementaireapplicable et délimiter le périmètre du système à homologuer.1 . Préciser le référentiel réglementaireLa démarche d’homologation est recommandée depuis plusieurs années parl’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour uncertain nombre de systèmes, cette recommandation est rendue obligatoire par :••l’instruction générale interministérielle n° 1300 (IGI 1300), pour lessystèmes traitant d’informations classifiées de défense ;••le référentiel général de sécurité (RGS), pour les systèmes permettantdes échanges entre une autorité administrative et les usagers ou entreautorités administratives ;••la politique de sécurité des systèmes d’information de l’État (PSSIE),pour les systèmes des administrations de l’État.Il est indispensable de déterminer à quel titre le système d’information doit êtrehomologué. En effet, même si la démarche d’homologation reste identique danstous les cas, le référentiel réglementaire constitue un élément crucial pour ladélimitation du périmètre et la constitution du dossier d’homologation.2 . Délimiter le périmètre du systèmeLe périmètre du système d’information à homologuer doit comporter tous leséléments indispensables au fonctionnement du système. La délimitation du périmètrene doit comporter aucune ambiguïté, car elle permet de déterminer etde caractériser précisément les systèmes qui seront homologués. La descriptionde ce périmètre comprend :••des éléments fonctionnels et d’organisation : fonctionnalités du sys-10
QUEL SYSTÈME D’INFORMATION DOIS-JE FAIRE HOMOLOGUER ET POURQUOI ?tème, type d’utilisateurs, contexte et règles d’emploi, procédures formalisées,conditions d’emploi des produits de sécurité, gestion des droits,dispositifs de détection et de gestion des incidents ;••des éléments techniques : architecture du système (en précisant notammentles interconnexions avec d’autres systèmes), possibilité d’utilisationde supports amovibles, d’accès à distance ou de cloisonnement, mécanismesde maintenance, d’exploitation ou de télégestion du système,notamment lorsque ces opérations sont effectuées par des prestatairesexternes ;••le périmètre géographique et physique : localisations géographiques etcaractéristiques des locaux.Le périmètre peut évoluer au cours de la démarche d’homologation, mais ilest recommandé d’aboutir rapidement à une délimitation stable de celui-ci. Ilest également recommandé d’appliquer une démarche d’homologation pourchaque service applicatif ou système d’information.Les questions qui se posent à la première étapeLe système d’information est (ou sera) composé de certainesbriques matérielles et logicielles que je ne maîtrise pas, car je lesachète à un industriel, un éditeur ou un intégrateur. Commentgarantir leur niveau de sécurité ?Lorsque ces briques sont des composants essentiels de sécurité, elles doivent de préférencefaire l’objet d’une labellisation de sécurité (qualification ou à défaut certification).Lorsque ces briques sont des composants essentiels de la fonction applicative, il faut11
Page 1: L’HOMOLOGATION DE SÉCURITÉen ne
Page 4 and 5: Qu’est-ce qu’une homologation d
Page 6 and 7: Étape n° 6 : La réalité corresp
Page 9 and 10: Objectifs de l’homologation de s
Page 11: 1étape n°Quel système d’inform
Page 15 and 16: 2étape n°Quel type de démarche d
Page 17 and 18: QUEL TYPE DE DÉMARCHE DOIS-JE METT
Page 19 and 20: 3étape n°Qui contribue à la dém
Page 21 and 22: QUI CONTRIBUE À LA DÉMARCHE ?la n
Page 23: QUI CONTRIBUE À LA DÉMARCHE ?pour
Page 26 and 27: COMMENT S’ORGANISE-T-ON POUR RECU
Page 28 and 29: COMMENT S’ORGANISE-T-ON POUR RECU
Page 31 and 32: 5étape n°Quels sont les risquespe
Page 33 and 34: QUELS SONT LES RISQUES PESANT SUR L
Page 35 and 36: 6étape n°La réalité correspond-
Page 37: LA RÉALITÉ CORRESPOND-ELLE À L
Page 40 and 41: QUELLES SONT LES MESURES DE SÉCURI
Page 43 and 44: 8étape n°Comment réaliser la dé
Page 45 and 46: COMMENT RÉALISER LA DÉCISION D’
Page 47 and 48: 9étape n°Qu’est-il prévu pour
Page 49 and 50: QU’EST-IL PRÉVU POUR CONTINUER D
Page 51 and 52: XXXXXAvant l’étudeUne réflexion
Page 53 and 54: ANNEXES
Page 55 and 56: ANNEXE 1Note1 2 3 4Non, lesconséqu
Page 57 and 58: ANNEXE 1Note1 2 3 4Individu isoléd
Page 59 and 60: ANNEXE 2Note1 2 3 4Le système estj
Page 61 and 62: ANNEXE 2Annexe 2Estimation rapide d
Page 63 and 64:
ANNEXE 3Annexe 3Liste des documents
Page 65 and 66:
ANNEXE 3••Il permet de formalis
Page 67 and 68:
ANNEXE 3Cette documentation doit ê
Page 69 and 70:
ANNEXE 311 . Les exigences de sécu
Page 71 and 72:
ANNEXE 3Les audits doivent être r
Page 73 and 74:
ANNEXE 4Annexe 4Liste de menaces, i
Page 75 and 76:
ANNEXE 4compte utilisateur, effacem
Page 77:
ANNEXE 4••l’agent expert dans
show all

guide_homologation_de_securite_en_9_etapes

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?