guide_homologation_de_securite_en_9_etapes

More documents

Recommendations

Info

COMMENT RÉALISER LA DÉCISION D’HOMOLOGATION ?Durant la huitième étape, vous devez concrétiser la décision d’homologationpar une attestation formelle autorisant, du point de vue de lasécurité, l’exploitation du système d’information.La décision d’homologation est l’acte par lequel le responsable de l’autoritéadministrative atteste de l’existence d’une analyse de sécurité et de sa prise encompte. La décision d’homologation doit nécessairement comprendre un certainnombre d’éléments, référencés ci-dessous.1 . Le périmètre de l’homologationIl doit, au minimum, tenir compte des éléments suivants :••référentiel réglementaire ;••références des pièces du dossier d’homologation ;••périmètre géographique et physique (localisations géographiques, locaux,etc.) ;••périmètre fonctionnel et organisationnel (fonctionnalités, types d’informationstraitées par le système et sensibilité, types d’utilisateurs, règlesd’emploi, procédures, conditions d’emploi des produits de sécurité, etc.) ;••périmètre technique (cartographie, architecture détaillée du système, produitsagréés, prestataires qualifiés, etc.).2 . Les conditions accompagnant l’homologationL’autorité d’homologation peut, en fonction des risques résiduels identifiés, assortirl’homologation de conditions d’exploitation ainsi que d’un plan d’actionvisant à maintenir et à améliorer le niveau de sécurité du système dans le temps.À chaque action, ce plan associe une personne pilote ainsi qu’une échéance.42
COMMENT RÉALISER LA DÉCISION D’HOMOLOGATION ?3 . La durée de l’homologationL’homologation doit être décidée pour une durée maximale.Cette durée doit prendre en compte l’exposition du système d’information auxnouvelles menaces, ainsi que les enjeux de sécurité du système, c’est-à-dire ledegré de criticité des informations et des processus du système.Pour un système bien maîtrisé, avec peu de risques résiduels et ne présentantpas de difficultés particulières, il est recommandé de prononcer unehomologation d’une durée maximale de cinq (5) ans, avec revue annuelle. Cettedurée maximale doit être réduite à trois (3) ans pour un système avec de nombreuxrisques résiduels ou à un an (1) pour un système présentant de nombreuxrisques résiduels.4 . Conditions de suspension ou de retrait del’homologationL’homologation de sécurité ne demeure valide que tant que le système d’informationest exploité dans le contexte décrit dans le dossier d’homologation.Les changements suivants doivent impliquer un réexamen du dossier, pouvantconduire à une nouvelle décision d’homologation ou à un retrait de la décision :••raccordement d’un nouveau site sur le système d’information ;••ajout d’une fonctionnalité majeure ;••succession de modifications mineures ;••réduction de l’effectif affecté à une tâche impactant la sécurité ;••changement d’un ou de plusieurs prestataires ;••prise de fonction d’une nouvelle autorité d’homologation ;••non-respect d’au moins une des conditions de l’homologation ;••changement du niveau de sensibilité des informations traitées et, plusgénéralement, du niveau du risque ;••évolution du statut de l’homologation des systèmes interconnectés ;43
Page 1: L’HOMOLOGATION DE SÉCURITÉen ne
Page 4 and 5: Qu’est-ce qu’une homologation d
Page 6 and 7: Étape n° 6 : La réalité corresp
Page 9 and 10: Objectifs de l’homologation de s
Page 11 and 12: 1étape n°Quel système d’inform
Page 13 and 14: QUEL SYSTÈME D’INFORMATION DOIS-
Page 15 and 16: 2étape n°Quel type de démarche d
Page 17 and 18: QUEL TYPE DE DÉMARCHE DOIS-JE METT
Page 19 and 20: 3étape n°Qui contribue à la dém
Page 21 and 22: QUI CONTRIBUE À LA DÉMARCHE ?la n
Page 23: QUI CONTRIBUE À LA DÉMARCHE ?pour
Page 26 and 27: COMMENT S’ORGANISE-T-ON POUR RECU
Page 28 and 29: COMMENT S’ORGANISE-T-ON POUR RECU
Page 31 and 32: 5étape n°Quels sont les risquespe
Page 33 and 34: QUELS SONT LES RISQUES PESANT SUR L
Page 35 and 36: 6étape n°La réalité correspond-
Page 37: LA RÉALITÉ CORRESPOND-ELLE À L
Page 40 and 41: QUELLES SONT LES MESURES DE SÉCURI
Page 43: 8étape n°Comment réaliser la dé
Page 47 and 48: 9étape n°Qu’est-il prévu pour
Page 49 and 50: QU’EST-IL PRÉVU POUR CONTINUER D
Page 51 and 52: XXXXXAvant l’étudeUne réflexion
Page 53 and 54: ANNEXES
Page 55 and 56: ANNEXE 1Note1 2 3 4Non, lesconséqu
Page 57 and 58: ANNEXE 1Note1 2 3 4Individu isoléd
Page 59 and 60: ANNEXE 2Note1 2 3 4Le système estj
Page 61 and 62: ANNEXE 2Annexe 2Estimation rapide d
Page 63 and 64: ANNEXE 3Annexe 3Liste des documents
Page 65 and 66: ANNEXE 3••Il permet de formalis
Page 67 and 68: ANNEXE 3Cette documentation doit ê
Page 69 and 70: ANNEXE 311 . Les exigences de sécu
Page 71 and 72: ANNEXE 3Les audits doivent être r
Page 73 and 74: ANNEXE 4Annexe 4Liste de menaces, i
Page 75 and 76: ANNEXE 4compte utilisateur, effacem
Page 77: ANNEXE 4••l’agent expert dans

guide_homologation_de_securite_en_9_etapes

Create successful ePaper yourself

Delete template?

Save as template?