La démarche d’homologation DR – La stratégie d’homologation

Après avoir été convaincu d’homologuer votre système d’information (ici), vous avez démarré votre projet, cependant le chemin est long et semé d’embuche.
La première étape incontournable et obligatoire avant d’aller plus loin est de définir une stratégie d’homologation. Celle-ci va permettre à l’entreprise qui se lance dans la démarche de structurer sa réflexion tout en formalisant celle-ci dans un document. Cette stratégie comportera plusieurs briques qui assemblés formeront une ossature à votre processus. Ces briques existent peut-être déjà chez vous!

Référentiel documentaire

L’une de ces briques est le référentiel documentaire. Suivant les raisons qui poussent à l’homologation, il faut bâtir un ensemble de référentiel applicable et adapté à l’objectif. Plusieurs existent référentiels tels que l’II901, l’IGI1300, le RGDP, l’IGI6600 (Activité d’importance vitale), ou d’autre encore. Le choix et l’utilisation de ces référentiels permettra de cadrer au mieux les exigences techniques qui seront appliquées au périmètre qui sera défini.

Périmètre

Le périmètre est une donnée d’entrée primordiale et dimensionnant pour la suite du processus. Le périmètre doit comporter tous les éléments qui rentrent dans le fonctionnement du système à homologuer. Cela comprend les éléments fonctionnels, techniques, organisationnels et géographiques.
Un système d’informations n’étant pas un système simple, il y aura toujours une multitude de fonctions, d’applications, d’interconnexions plus ou moins évidentes. Vous aurez probablement plusieurs systèmes isolés où il faudra se poser la question de les regrouper dans un ensemble homogène ou non. Les postes isolés doivent-ils disposer d’une homologation individuelle ou groupée ?
Vous avez des systèmes complexes, industriels, de la voix sur IP, ces exemples peuvent représenter plusieurs périmètres d’homologation diffèrent qu’il vous faudra identifier afin de mener la démarche jusqu’au bout.
La connaissance des points d’interconnexions est primordiale dans la définition du périmètre pour en détecter les vulnérabilités et donc mieux les surveiller et les protéger.

Acteurs

Il faut définir une autorité d’homologation qui après étude du dossier d’homologation prononcera l’homologation. Cette autorité doit être placée à un niveau suffisant pour assumer le risque en cas de réalisation de celui-ci. L’autorité d’homologation désignera un responsable du processus d’homologation qui mènera le projet d’homologation.
Parmi les autres acteurs que l’on retrouve il y a la maitrise d’ouvrage représentant les métiers, le RSSI, le responsable de l’exploitation du système, les prestataires, les responsables de chacun des SI interconnectés.
A noter que parmi les acteurs il peut y avoir l’ANSSI et des acteurs étatiques comme membre de la commission d’homologation.
Tous ces acteurs complètent et étudient le dossier d’homologation et se réunissent lors de la commission d’homologation sous la direction de l’autorité d’homologation qui homologuera pour une durée définit le système.

Le dossier d’homologation

Le dossier d’homologation a pour objectif de permettre à la commission d’homologation et plus particulièrement à l’autorité d’homologation de prendre sa décision en toute connaissance de cause dans l’évaluation du niveau de sécurité définie dans le périmètre d’homologation. CE dossier sera composé de plusieurs documents:

  • Le premier document indispensable est la stratégie d’homologation elle-même.

  • L’analyse de risque du périmètre tel que défini

  • La politique de sécurité du système d’information (PSSI) qui définit les principes et exigences techniques et organisationnelles de la sécurité du système d’information. Ce document s’applique au périmètre requis pour l’homologation.

  • Le journal de bord de l’homologation, registre des décisions et des principaux événements du projet.

  • Les référentiels de sécurité utilisés dans la démarche d’homologation, tel que la PSSI de l’organisme, mais aussi les textes légaux auxquels est soumise l’entreprise.

  • Le tableau de bord de l’application des règles d’hygiène informatique sous forme de taux de couvertures à ces règles, idéalement un diagramme en toile d’araignée.

  • La cartographie du périmètre qu’elle soit physique, logique, applicative, de même qu’une cartographie des privilèges. Ces cartographiques permettent de mieux apprécier la situation et le processus d’homologation permet de la réaliser si cela n’a pas été déjà fait.

  • Le schéma détaillé des architectures comportera tous les éléments techniques nécessaires pour connaitre l’architecture, cela peut être issu de la cartographie. On trouvera typiquement l’adressage IP, la matrice des flux, le plan de sauvegarde, le PRA/PCA, les documents d’installation et de configuration des équipements.

  • Le document présentant les risques identifiés et les objectifs de sécurité que se fixe l’entreprise

  • Les risques résiduels et leurs couvertures

  • Les procédures d’exploitation du système (PES) détaillé et validé avec éventuellement le cahier de recettes prouvant que les PES sont conformes aux attentes.

  • Les exigences d’interconnexion avec d’autres systèmes et les systèmes ouverts type Wifi et Internet par exemple.

  • Les décisions d’homologation des systèmes interconnectés si ceux-ci sont homologuées. Dans le cas où il n’y aurait pas d’homologation il faut l’exiger pour pouvoir maintenir l’interconnexion.

  • Les certificats de sécurité des produits utilisés, les attestations de qualifications des produits ou des prestataires. Ainsi que toutes les décisions d’autorité étatique autorisant des dérogations.

  • Les plans de tests et d’audits, ainsi que leurs rapports et plans d’action associés. Cela inclut tous les audits réalisés avant l’homologation et pour les systèmes déjà en productions les audits de contrôle réalisé avant la ré homologation.

  • Les décisions d’homologation antérieur si elle existe.

  • Le tableau de bord des incidents et leur résolution consolidée dans un document permettant pour chaque incident d’identifier les causes, les conséquences, les résolutions effectués et le statut.

  • Le journal des évolutions sous forme de roadmap, priorité et de time line qui est déduit du plan d’action permettant à la commission d’homologation d’avoir une vision de l’avenir et de pouvoir le cas échéant accepter des risques qui ne le seraient pas sinon.

Le Planning

L’homologation devant être prononcée avant la mise en production du système d’information, il est nécessaire de disposer d’un planning. Celui-ci permettra d’avoir une visibilité depuis le lancement de la démarche jusqu’au déroulé des plans d’action. Cela permettra aussi de poser des jalons, permettant à l’autorité d’homologation et aux composants de la commission d’avoir une vision claire de la situation. Le planning intégrant aussi une certaine vision du cycle de ré homologation

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *