Qu’est-ce qu’une autorité d’homologation sécurité ? par Jean-Philippe PAPILLON
Le 8 avril 2024
L’homologation sécurité d’un système d’information, indispensable pour garantir à ses utilisateurs que son accès est sûr et qu’ils peuvent l’utiliser en confiance, est souvent perçue comme une démarche administrative lourde et abstraite, faisant émerger la figure tutélaire de "l’autorité d’homologation". Pour démystifier tout cela et rappeler que l’autorité d’homologation (AH) est avant tout un individu, nous avons sollicité Jean-Philippe PAPILLON, sous-directeur usages numériques et innovation et AH de la direction du numérique du ministère en charge de la transition écologique, afin qu’il nous explique son rôle, ses attentes, et comment cette autorité peut faciliter les choses pour le responsable produit qui s’inscrit dans une telle démarche.
Bonjour, Jean-Philippe PAPILLON, aujourd’hui sous-directeur des Usages Numériques et Innovation et précédemment sous-directeur Méthodes et Services de Plateforme.
En quoi consiste la démarche d’homologation à la sécurité ?
La démarche d’homologation à la sécurité est un processus qui doit permettre à toutes les parties prenantes d’être sûr que la sécurité a bien été prise en compte dans la conception ou l’exploitation du système d’information.
Quel est le rôle principal d’une autorité d’homologation en matière de sécurité ?
Le rôle principal, c’est d’être d’abord un sponsor pour que la revue de sécurité soit réellement menée, parce que souvent elle est repoussée à plus tard, c’est compliqué... Donc finalement on tourne un peu autour du pot . Et donc ça c’est de s’assurer qu’elle est réellement mise en œuvre. Et le 2e sujet, c’est que l’autorité, en faisant preuve de bon sens, doit s’assurer qu’elle se focalise bien sur les points qui sont importants.
Comment les décisions prises par une autorité d’homologation impactent-elles la sécurité des utilisateurs finaux et des systèmes dans le monde réel ?
Alors déjà, quels sont les leviers d’action de l’autorité d’homologation ? Alors il y a vraiment 2 cas de figure. Il y a un nouveau système, qui, en théorie, ne doit pas être rendu public et exposé aux utilisateurs avant qu’il ait été homologué. Du coup, ce que peut faire en général l’autorité d’homologation, c’est retarder l’ouverture du système tant qu’un certain nombre de mesures ne sont pas mises en œuvre. Ça, c’est pour les nouveaux systèmes. Ensuite, il y a des systèmes existants. La plupart du temps on ne peut pas, enfin sauf cas urgentissime, on ne peut pas fermer un système, il est utilisé. Donc, le rôle réel c’est de c’est de mettre des garde-fous en disant « Moi je demande aux équipes techniques que ça, ça, ça soit pris en compte avec un échéancier, sinon là on prendra des mesures drastiques ». C’est là que du coup, ça a un impact sur le monde réel.
Quelles sont les principales étapes pour monter un dossier d’homologation solide et fiable en matière de sécurité ?
La première étape, c’est de ne pas louper le démarrage ! C’est un peu facile à dire, mais justement, porter un diagnostic sur quel type de système on homologue : est-ce qu’on est sur un système neuf ? Auquel cas on sait qu’on peut enfin dire « j’ai une clause réelle de blocage réaliste. ». Ou est-ce que j’ai un système qui est déjà en production ? Parmi les systèmes neufs, il y a 2 grandes familles. Il y a : c’est un produit qui existe sur étagère ( on veut installer Microsoft SharePoint par exemple) et qui existe indépendamment de chez nous et auquel cas, la vraie question c’est : est-ce qu’on l’a installé de façon sécurisée ? Ou vous avez des produits qui sont entièrement développés pour une fonction. On fait un système comme Trackdéchets avec la Fabrique numérique, pour justement aider à mieux juguler ce fléau des déchets. Bon, eh bien là, c’est un développement spécifique. Tout est à reconstruire en termes d’analyse technique.
Des exemples de défis courants auxquels vous avez pu être confronté lors de la préparation de dossier d’homologation ?
Alors un défi courant particulièrement sur les dossiers où c’est un produit sur étagère à la base : le manque de transparence de certains fournisseurs. Ça c’est un défi, c’est pour ça qu’on a fait évoluer la législation. Donc on avait fait un clausier au titre de Bercy dont la moitié des clauses ont été reprises dans le CCAG-TIC, le code de la commande publique et qui permet maintenant à un commanditaire d’exiger d’un fournisseur qu’il donne des éléments techniques ou et ou qu’il soit audité pour pouvoir faire l’homologation sur le système.
Comment les surmonter efficacement ? Quels seraient vos conseils aux responsables produits ?
Le conseil que je donnerais au responsable produit, c’est rapidement d’identifier au sein de son équipe celui qui va avoir ce regard porté sur la sécurité. Ce n’est pas forcément quelqu’un qui est dédié à la question, ça peut être juste un conseil, il y a des équipes internes à la DNUM pour cela, mais qui a au moins un premier regard porté assez tôt, sinon les choix se font se font sans prise en pendant la sécurité dès le début et quand on arrive et on se dit « Tiens, ah bah c’est foutu comme ça », on finit par mettre comme on dit, un plâtre sur une jambe de bois.
Comment l’autorité d’homologation collabore-t-elle avec les responsables produits pour garantir la conformité dès le début du développement ?
C’est un peu comme les marchés publics, dans le sens où un des travers de l’autorité qu’on appelle au dernier moment à venir signer, c’est qu’on ne la voit jamais et puis on la sort du placard et on vient essayer de lui dire « Bah ça serait bien que vous signiez. ». Évidemment d’ailleurs, le signataire qui n’a pas du tout été impliqué dans toutes les étapes préalables, il se pose des questions et puis il rechigne à signer. Et c’est ça la réalité aussi. Voilà, il y a pas mal de cas où l’autorité d’homologation, elle est assez naturelle, mais en même temps elle ne vient pas naturellement à signer. Et donc le premier conseil, c’est qu’elle se rende disponible dès le début elle aussi, pour qu’elle exprime ce à quoi elle fera attention en fin de processus.
Quels avantages pour un responsable produit de collaborer dès les premières étapes avec une autorité d’homologation ?
L’intérêt en découle de façon assez évidente, c’est que si vous avez collaboré en début de processus quand vous venez remettre le dossier final et qui n’est ni plus ni moins qu’une synthèse finalement de comment la sécurité était prise en compte dans le développement du produit, ça coule de source ; on fait une revue, un petit bout de réunion, tout le monde est d’accord et ça passe. Encore une fois si on arrive, et ça m’est arrivé des situations où, reprenant un dossier - ils avaient fait des études entre guillemets qui étaient charpentées, mais qui ne répondaient absolument pas, finalement, à l’objet de la question -, de benner grosso modo 100 pages, littéralement.
Comment l’autorité d’homologation collabore-t-elle avec les équipes de développement pour garantir la sécurité et la conformité aux normes ?
Là, c’est une question qui est un peu particulière pour moi, parce que personne ne peut oublier quel était mon métier avant les références de sous-directeur au ministère chargé de la transition écologique. Donc c’est un peu triché ma réponse, mais voilà, je suis plutôt perçu comme étant un expert technique, donc là je serais plutôt celui qui va pointer directement « vous penserez à vérifier si vous regarderez ça » et ainsi de suite. Ce n’est pas forcément la façon de faire de l’autorité d’homologation qui est plus généraliste.