Homologation de sécurité

L’homologation de sécurité est un acte formel par lequel l’autorité responsable d’un système engage sa responsabilité en matière de gestion du risque.

Pour le dire plus concrètement, c'est un document signé par une personne qui a du pouvoir, et qui dit en substance "après avoir consulté des experts, dont l'équipe qui a fait le système X, je suis au courant de ce qu'on a fait pour le protéger et des trous qui peuvent encore subsister, et je suis d'accord pour porter le chapeau en cas de pépin".

Elle est obligatoire pour tous les systèmes d'information publics dès le début de leur exploitation.

Comme certaines autres obligations (par exemple l'accessibilité) il n'y a en pratique pas de sanctions en cas de carence. Mais ce n'est pas une bonne raison de ne pas le faire !

Les bénéfices de l'homologation incluent :

  • une meilleure maîtrise des risques par l'équipe

  • une meilleure information du public

  • de la crédibilité auprès des partenaires

Un produit de type startup (en "prod" très rapidement mais qui table sur une croissance rapide de son public) peut très bien commencer par une homologation "light" tant que les risques sont faibles (car peu d'usage, peu de données exposées, etc.) qui est appelée à se renforcer ensuite avec le développement de l'usage.

Il n'y a aucune corrélation nécessaire entre la "phase" de développement d'une Startup d'État (investigation, construction, accélération, etc.) et la démarche d'homologation à mener. Le critère d'appréciation est l'exposition aux risques inhérents aux produits numériques ("risques cyber").

L'idéal pour les équipes des startups d'État est de réaliser rapidement, dès leur démarrage, un atelier d'analyse des risques, en autonomie, tel que décrit dans le guide de sécurité numérique agile (pdf), en vue d'obtenir une homologation provisoire.

Pour une startup d'État, une des questions à traiter est de déterminer qui sera l'autorité d'homologation (la personne qui signe). En principe, il devrait s'agir d'un responsable hiérarchique de l'intrapreneur·se, appartenant à l'administration porteuse. (Il est arrivé que le DINSIC remplisse ce rôle mais ce ne peut être qu'une situation exceptionnelle et transitoire.)

Edit on GitHub