La dernière étape avant l’homologation formelle est de connaitre votre couverture face aux risques évalués précédemment (ici).
Lors de cette phase vous construirez si ce n’est déjà fait une cartographie de vos systèmes d’information, l’ANSSI a initié une note sur le sujet (ici). Cette description devant être à jour et maintenue dans le temps, c’est probablement la tâche la plus délicate et la moins exaltante de la démarche d’homologation, et c’est ici qu’il faut poser un processus PDCA pour que cette documentation soit le plus exacte possible dans le temps.
En complément de cette cartographie, il faut construire si ce n’est pas déjà fait les documents d’architecture techniques et organisationnels qui permettront à l’autorité d’homologation d’assoir une vision de la réalisation de la démarche d’homologation. C’est toute cette documentation qui vous guidera dans le trou noir de la crise cyber.
Il faut aussi créer ou mettre à jour les procédures d’exploitation de la sécurité (PES), lesquelles seront éprouvés lors des audits et des incidents ultérieurs.
La vision croisée de la cartographie, des documents d’architecture et des procédures associées doivent être éprouvés lors d’audits sécurité du périmètre de l’homologation. Cette étape peut être lourde suivant la taille du périmètre établi. Cependant cette opération est importante puisqu’elle permettra de trouver des failles éventuelles. Ces audits doivent être techniques et organisationnels mais doivent aussi prendre en compte la dimension physique de la protection (ici).
Les audits réalisés, il sera très probablement nécessaire de mettre en place un plan d’action global. Celui-ci se segmentant en de multiples plans aussi bien techniques qu’organisationnel et s’inscrivant dans un planning réaliste et tenable des actions engagées.
La réalisation d’un plan d’action efficient peut permettre la poursuite de la démarche d’homologation sans pour autant la bloquer. Le plan d’action permettant de corriger ou réduire des risques identifié, bref de piloter le risque.