You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
Objectifs <strong>de</strong> l’<strong>homologation</strong> <strong>de</strong> sécuritéEn informatique, comme dans les autres domaines, le risque zéro n’existe pas.L’objectif <strong>de</strong> la démarche d’<strong>homologation</strong> d’un système d’information (SI) est <strong>de</strong>trouver un équilibre <strong>en</strong>tre le risque acceptable et les coûts <strong>de</strong> sécurisation, puis<strong>de</strong> faire arbitrer cet équilibre, <strong>de</strong> manière formelle, par un responsable qui aautorité pour le faire.Cette démarche permet d’améliorer la sécurité pour un coût optimal, <strong>en</strong>évitant la « sur-sécurité », mais <strong>en</strong> pr<strong>en</strong>ant égalem<strong>en</strong>t <strong>en</strong> compte le coût d’unév<strong>en</strong>tuel inci<strong>de</strong>nt <strong>de</strong> sécurité. Elle permet <strong>de</strong> s’assurer que les risques pesantsur le SI, dans son contexte d’utilisation, sont connus et maîtrisés <strong>de</strong> manièreactive, prév<strong>en</strong>tive et continue.La démarche d’<strong>homologation</strong> doit s’intégrer dans le cycle <strong>de</strong> vie du systèmed’information. Elle compr<strong>en</strong>d plusieurs étapes clés, détaillées au sein duprés<strong>en</strong>t docum<strong>en</strong>t. Il est nécessaire <strong>de</strong> les suivre <strong>en</strong> même temps que les phases<strong>de</strong> développem<strong>en</strong>t du système : opportunité, faisabilité, conception, réalisation,validation, exploitation, maint<strong>en</strong>ance et fin <strong>de</strong> vie. En outre cette démarchedoit être lancée suffisamm<strong>en</strong>t tôt, afin <strong>de</strong> pouvoir déterminer les exig<strong>en</strong>ces <strong>de</strong>sécurité qui seront intégrées dans les cahiers <strong>de</strong>s charges <strong>de</strong> développem<strong>en</strong>t oud’acquisition.La décision d’<strong>homologation</strong> est le résultat du processus. Son objet est <strong>de</strong>vérifier que le responsable a analysé les risques <strong>de</strong> sécurité et a mis <strong>en</strong> œuvre lesdispositifs adaptés à la m<strong>en</strong>ace.Le terme « <strong>homologation</strong> » recouvre donc <strong>de</strong>ux notions distinctes :••la démarche d’<strong>homologation</strong>, avant tout <strong>de</strong>stinée à faire connaître etfaire compr<strong>en</strong>dre aux responsables les risques liés à l’exploitation d’unsystème d’information. Elle se conclut par une décision, sout<strong>en</strong>ue par laconstitution et l’analyse d’un dossier <strong>de</strong> sécurité ;••la décision formelle d’<strong>homologation</strong> (égalem<strong>en</strong>t appelée attestation formelle).7
Change language