Bibliographies

Homologuer la sécurité de son système d'information

Homologuer la sécurité de son système d'information

Savoir gérer les risques est une nécessité. Pour s'assurer que cette obligation est respectée, l'homologation est recommandée par l'ANSSI qui publie un guide pour la faciliter.

PublicitéL'Agence nationale de la sécurité des systèmes d'information (ANSSI) vient de publier un guide intitulé L'homologation de sécurité en neuf étapes simples. L'agence recommande en effet depuis plusieurs années aux entreprises d'homologuer la sécurité de leurs systèmes d'information. Il est acquis que le risque zéro n'existe pas mais la démarche d'homologation, une démarche formelle, vise à garantir que les risques sont connus et maîtrisés.
L'autorité qui va homologuer le système d'information admet formellement connaître l'architecture du système d'information et celle de sa sécurisation. Elle admet également connaître les risques résiduels et les assumer. Cette autorité est en principe la direction de l'organisation concernée. Elle peut bien sûr être assistée dans sa démarche. Dans certains cas de systèmes critiques ou sensibles, l'homologation a été rendue obligatoire.
Le but du guide publié par l'ANSSI est d'expliciter simplement les neuf étapes d'une démarche d'homologation. Les quatre premières concernent la préparation : la définition du périmètre, le type de démarche à employer, le rôle de chacun et l'organisation pratique pour mettre en oeuvre l'homologation. Les trois étapes suivantes concernent la maîtrise des risques elle-même : analyse des risques, contrôle et réponses aux risques. Les deux dernières concernent l'homologation elle-même et son suivi dans le temps. L'ouvrage comporte quatre annexes pour aider les responsables d'organisation : une estimation du besoin selon les cas précis de chaque organisation, une estimation du niveau de maturité de l'organisation, une liste indicative de documents à inclure dans un dossier d'homologation et enfin un extrait du référentiel EBIOS pour lister les principaux risques.
Le texte de chaque chapitre est très structuré, sans fioritures littéraires. Des listes d'actions précises et détaillées sont fournies. Lorsque c'est nécessaire, des questions-réponses concluent le chapitre pour répondre aux interrogations courantes des responsables. Malgré un fond pour le moins aride, la maquette est très agréable et facilite grandement la lecture. Le texte est également parfaitement clair et l'ensemble est conçu avec un sens pédagogique certain. Il s'achève d'ailleurs, avant les annexes, par quelques conseils pratiques pour que la démarche se passe au mieux.

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis