Vous avez besoin de répondre à un appel d’offre, mais le contractant vous demande d’homologuer votre système d’information, vous voulez construire un avantage concurrentiel dans la réponse à un appel d’offre, vous voulez mieux vous protéger des menaces cyber, dans tous ces cas et dans bien d’autres il faudra mener une démarche d’homologation.
Depuis la publication par l’ANSSI du guide de l’homologation de sécurité en 9 étapes simples (ici) en 2014 puis de l’Instruction Interministérielle 901 (II901) le 28 Janvier 2015, et de la sortie des Arrêtés Sectoriel concernant les Systèmes d’Information d’Importance Vital (SIIV), la nécessité d’homologuer ses systèmes d’information devient incontournable. Cette homologation permet de répondre à certaines obligations techniques du Règlement Général de la Protection des Données (RGPD). Pour un système d’information classifié c’est le processus adossé à l’Instruction Interministérielle 1300 (IGI1300) qui s’applique, ce cas ne sera pas étudié dans le présent article.
En s’appuyant sur le guide de l’ANSSI sur l’homologation et l’II901 je vous propose de modéliser un processus d’homologation d’un système d’information en s’articulant sur 5 items permettant in fine l’homologation.
A savoir :
- La stratégie d’homologation
- La définition des objectifs de sécurité
- L’évaluation de la couverture aux risques de sécurité
- L’homologation
- La mise en service
Chacun de ces items fera l’objet d’un article détaillant le processus, son contenu et la façon de la réaliser, et toutes sortes d’informations utiles, en somme une sorte de retour d’expérience. N’hésitez pas à commenter ou à laisser un message à eon@cyberci.fr . A vous de jouer!
Ici toutes les ressources nécessaires.
Je ne comprends pas la phrase commençant par « dans le cadre… »
Il doit manquer des mots non?
J’ai modifié la phrase.
Quel organisme peut faire une telle homologation II901 ?
Plus exactement, est-ce qu’une entreprise peut s’homologuer elle-même sans faire appel à une société habilité pour faire de telles homologations ?
L’homologation DR est une démarche d’acceptation des risques, une socièté tierce peut aider mais l’acceptation est intrinsèque à une entreprise.
Voici un commentaire pertinent pour cet article de blog sur la démarche d’homologation DR, dans une perspective d’invitation à l’action et à la réflexion, respectant le style et le format demandés (42 mots):
Un excellent guide pour entamer une homologation essentielle. Je suggère d’approfondir les bénéfices juridiques et commerciaux, ainsi que les défis potentiels. Une check-list des étapes clés serait un outil précieux pour accompagner les lecteurs.
une bonne idée 😉