guide_homologation_de_securite_en_9_etapes

More documents

Recommendations

Info

COMMENT S’ORGANISE-T-ON POUR RECUEILLIR ET PRÉSENTER LES INFORMATIONS ?••la législation ou la réglementation particulière au contexte de l’organisme ;••le dossier de sécurité des systèmes interconnectés au système à homologuer.La PSSI, quand elle existe, est un document de référence pour l’homologation,car elle contient des éléments stratégiques (périmètre du système, principauxbesoins de sécurité et origine des menaces), ainsi que les règles en vigueur ausein de l’organisme.L’homologation peut aussi être l’occasion de compléter (ou de rédiger) laPSSI, par exemple pour généraliser des règles indispensables au SI homologué.2 . PlanningL’homologation doit être prononcée préalablement à la mise en service opérationnelledu système d’information.La démarche visant à l’homologation doit donc être lancée en amont puisêtre totalement intégrée au projet dès les phases d’étude préalable et de conception,afin d’éviter tout risque calendaire.Le calendrier de l’homologation est directement dépendant du calendrierdu projet dont il doit tenir compte en permanence. Les principales étapes del’homologation sont fixées dans la stratégie d’homologation.Il est indispensable de déterminer les tâches de chacun des acteurs del’homologation et les formaliser dans un planning associé, reprenant les principalesétapes. Au besoin, en fonction de l’évolution du projet, ces échéancespeuvent être révisées, avec l’accord de l’autorité d’homologation.Ainsi, une homologation est rythmée par deux temps forts :• • la construction du référentiel documentaire et l’analyse de risque (dont lamise en œuvre peut être longue) ;• • le déploiement, l’audit, l’homologation et la mise en service opérationnel(a contrario, il s’agit d’une étape courte et très rapide).26
COMMENT S’ORGANISE-T-ON POUR RECUEILLIR ET PRÉSENTER LES INFORMATIONS ?Les échéances prévues pour les différentes étapes de la démarche d’homologationdoivent figurer dans le planning :1. lancement de la procédure d’homologation (par exemple date de formalisationde la stratégie d’homologation) ;2. début et de fin de l’analyse des risques (dates des entretiens avec l’autorité) ;3. remise des différents documents du dossier d’homologation (cf. sectionsuivante) ;4. engagements liés à d’éventuels contrats avec des prestataires impliquésdans le système (hébergeurs, fournisseurs de sous-systèmes, d’applications…);5. réunions de la commission d’homologation ;6. audits éventuels sur les composants du système (techniques ou organisationnels),logiciels plates-formes matérielles, interfaces réseaux ;7. homologation du système ;8. mise en service du système.Les questions qui se posent à la quatrième étapeUn audit sera-t-il nécessaire au cours de la démarche d’homologation ?Un contrôle sera systématiquement effectué à la sixième étape, mais ce contrôlene prendra la forme d’un audit technique formel que si les enjeux de sécurité lejustifient.Quelle que soit la démarche adoptée, c’est à l’autorité d’homologation dedécider s’il est nécessaire d’effectuer un audit sur le système d’information, et àquel niveau. Cet audit permettra de mettre en évidence d’éventuelles failles sur lesystème, et d’identifier rapidement les risques encourus par l’organisme en conséquence.27
Page 1: L’HOMOLOGATION DE SÉCURITÉen ne
Page 4 and 5: Qu’est-ce qu’une homologation d
Page 6 and 7: Étape n° 6 : La réalité corresp
Page 9 and 10: Objectifs de l’homologation de s
Page 11 and 12: 1étape n°Quel système d’inform
Page 13 and 14: QUEL SYSTÈME D’INFORMATION DOIS-
Page 15 and 16: 2étape n°Quel type de démarche d
Page 17 and 18: QUEL TYPE DE DÉMARCHE DOIS-JE METT
Page 19 and 20: 3étape n°Qui contribue à la dém
Page 21 and 22: QUI CONTRIBUE À LA DÉMARCHE ?la n
Page 23: QUI CONTRIBUE À LA DÉMARCHE ?pour
Page 26 and 27: COMMENT S’ORGANISE-T-ON POUR RECU
Page 31 and 32: 5étape n°Quels sont les risquespe
Page 33 and 34: QUELS SONT LES RISQUES PESANT SUR L
Page 35 and 36: 6étape n°La réalité correspond-
Page 37: LA RÉALITÉ CORRESPOND-ELLE À L
Page 40 and 41: QUELLES SONT LES MESURES DE SÉCURI
Page 43 and 44: 8étape n°Comment réaliser la dé
Page 45 and 46: COMMENT RÉALISER LA DÉCISION D’
Page 47 and 48: 9étape n°Qu’est-il prévu pour
Page 49 and 50: QU’EST-IL PRÉVU POUR CONTINUER D
Page 51 and 52: XXXXXAvant l’étudeUne réflexion
Page 53 and 54: ANNEXES
Page 55 and 56: ANNEXE 1Note1 2 3 4Non, lesconséqu
Page 57 and 58: ANNEXE 1Note1 2 3 4Individu isoléd
Page 59 and 60: ANNEXE 2Note1 2 3 4Le système estj
Page 61 and 62: ANNEXE 2Annexe 2Estimation rapide d
Page 63 and 64: ANNEXE 3Annexe 3Liste des documents
Page 65 and 66: ANNEXE 3••Il permet de formalis
Page 67 and 68: ANNEXE 3Cette documentation doit ê
Page 69 and 70: ANNEXE 311 . Les exigences de sécu
Page 71 and 72: ANNEXE 3Les audits doivent être r
Page 73 and 74: ANNEXE 4Annexe 4Liste de menaces, i
Page 75 and 76: ANNEXE 4compte utilisateur, effacem
Page 77: ANNEXE 4••l’agent expert dans

guide_homologation_de_securite_en_9_etapes

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?