Ce guide technique permet de comprendre et de détailler la démarche permettant aux organisations d’homologuer leurs systèmes d’information.
Les systèmes d’information sont devenus incontournables dans le fonctionnement des entités publiques et privées. Leurs utilisations détournées peuvent entraîner des risques pouvant avoir des impacts humains, financiers, juridiques ou réputationnels catastrophiques.
La prise en compte et l’acceptation formelle de ces risques par une autorité est appelée « homologation de sécurité » et est réglementaire dans un grand nombre de cas. A travers le guide d’homologation de sécurité, il semblait important de comprendre et de détailler la démarche permettant aux organisations d’homologuer leurs systèmes d’information.
Ce guide s’adresse à toutes les personnes devant réaliser, porter ou accompagner une démarche d’homologation. Co-écrit par l’ANSSI et la DINUM, il se base sur des années d’élaboration et d’accompagnement dans des travaux d’homologation et sur les nombreux retours d’experts de la fonction publique et du secteur privé.
Ce guide se veut abordable dans sa lecture et applicable à tous les systèmes d’information, du plus simple au plus complexe, quelle que soit sa criticité ou son exposition aux sources de risques. Le guide doit être lu comme un support permettant l’homologation de sécurité d’un système d’information, mais n’a pas pour vocation à remplacer une méthode, efficace, déjà en place dans votre organisation.
Dans un monde numérique en constante évolution, le guide de l’homologation de sécurité sera amené à être amélioré régulièrement. Il fait partie de la collection « Gestion des Risques Cyber » permettant de mieux appréhender les risques cyber. Il se complète par des fiches méthodes permettant la prise en compte des typologies de système d’information dans le processus d’homologation.
Source : ANSSI
Dans le Panorama de la cybermenace 2023, l'agence fait état d’un niveau de la menace informatique en constante augmentation, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’événements internationaux sur le sol français. À l’heure où les attaquants ne cessent de s’améliorer et de saisir toutes les opportunités, l’ANSSI appelle plus que jamais à une meilleure application des recommandations de première nécessité.
Un regain du niveau de la menace cyber
En 2023, l’espionnage s’est maintenu à un niveau élevé avec une augmentation significative du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles. Parmi les nouvelles tendances de l’espionnage, l’ANSSI a constaté une augmentation des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés, ainsi qu’une recrudescence de celles réalisées au moyen de modes opératoires associés publiquement au gouvernement russe contre des organisations situées en France.
Les attaques informatiques à des fins d’extorsion se sont également maintenues à un niveau élevé en 2023, comme en témoigne le nombre total d’attaques par rançongiciel portées à la connaissance de l’ANSSI, supérieur de 30 % à celui relevé sur la même période en 2022. Une recrudescence qui rompt avec la diminution observée par l’agence dans le précédent Panorama de la cybermenace.
Par ailleurs, dans un contexte géopolitique tendu, l’agence a constaté de nouvelles opérations de déstabilisation visant principalement à promouvoir un discours politique, à entraver l’accès à des contenus en ligne ou à porter atteinte à l’image d’une organisation. Si les attaques par déni de service distribué (DDoS) menées par des hacktivistes pro-russes, aux impacts souvent limités, ont été les plus courantes, des activités de prépositionnement visant plusieurs infrastructures critiques situées en Europe, en Amérique du Nord et en Asie ont également été détectées. Ces dernières, plus discrètes, peuvent néanmoins avoir pour objectif la conduite d’opérations de plus grande envergure menées par des acteurs étatiques attendant le moment opportun pour agir.
Des attaquants qui s’améliorent et profitent des faiblesses techniques
De manière générale, l’année 2023 a montré des évolutions notables dans la structure et les méthodes des attaquants. Ces derniers perfectionnent leurs techniques afin d’éviter d’être détectés et suivis, voire identifiés. Il apparaît notamment que des modes opératoires cybercriminels pourraient être instrumentalisés par des acteurs étatiques pour conduire des opérations d’espionnage. De plus, l’écosystème cybercriminel profite aujourd’hui d’outils et de méthodes diffusés largement pour cibler des secteurs particulièrement vulnérables.
Malgré les efforts de sécurisation engagés dans certains secteurs, les attaquants continuent de tirer profit des mêmes faiblesses techniques pour s’introduire sur les réseaux. Ainsi, l’exploitation de vulnérabilités « jour-zéro » et « jour-un » reste une porte d’entrée de choix pour les attaquants, qui profitent encore trop souvent de mauvaises pratiques d’administration, de retards dans l’application de correctifs et de l’absence de mécanismes de chiffrement.
Enfin, les grands événements prévus en France en 2024, et en premier lieu les Jeux olympiques et paralympiques (JOP) de Paris, pourraient offrir aux attaquants des opportunités supplémentaires d’agir. De même, des attaquants pourraient également être incités à s’introduire et à se maintenir sur des réseaux d’importance critique, dans le cadre de tensions internationales. Un risque d’affrontement stratégique entre grandes puissances n’est aussi pas à exclure.
L’ANSSI toujours plus mobilisée pour élever le niveau de cybersécurité
L’ANSSI appelle les organisations françaises à une meilleure application des recommandations indispensables telles que le développement de capacités de détection, la mise en place d’une stratégie de sauvegarde des systèmes d’information, ou bien encore l’élaboration de plans de continuité et de reprise d’activité. Par ailleurs, le suivi régulier des publications du CERT-FR sur les menaces et les vulnérabilités les plus courantes s’impose comme une ressource indispensable pour atteindre le bon niveau de cybersécurité.
En 2024, l’ANSSI sera en grande partie mobilisée sur la cybersécurité des JOP, pour lesquels l’agence a défini, en coopération avec les différents services de l’État impliqués, un dispositif renforcé de veille, d’alerte et de traitement des incidents de sécurité informatique.
Enfin, pour assurer la protection de la Nation dans les années à venir et à faire face à la recrudescence constante des menaces et à l’amélioration continue des attaquants, l’ANSSI entend s’appuyer sur l’entrée en vigueur cette année de la directive NIS 2, qui permettra de réguler plusieurs milliers de nouvelles entités et de renforcer progressivement leur niveau de sécurité informatique. De plus, l’agence entend continuer à apporter son soutien aux opérations internationales visant à démanteler des réseaux cybercriminels, à l’image de celle menée à l’encontre du groupe QakBot en 2023.
« Le développement constant de la menace et des attaquants démontre la nécessité pour l’ANSSI de faire évoluer sa manière de travailler, en collaborant notamment avec de nouveaux acteurs, afin de mieux organiser et de renforcer la cybersécurité française. »
Vincent Strubel
Directeur général de l'ANSSI
L’ordonnance no 2005-1516 dite « ordonnance RGS » définit des fonctions de sécurité telles que l’identification électronique, la confidentialité, la signature électronique ou encore l’horodatage électronique.
Le référentiel général de sécurité (RGS), pris en application de cette ordonnance, vise à instaurer la confiance numérique dans les échanges électroniques.
Cette confiance numérique s'appuie sur la sécurisation des systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et avec les usagers, le RGS contient essentiellement deux grandes familles d’exigences :
- La première obligation et la plus importante est celle de conduire une homologation de sécurité : débutant par une analyse de risques, l’homologation permet de déterminer les besoins de sécurisation spécifiques au système étudié et d’en déduire les mesures nécessaires et suffisantes pour y répondre ;
- Sur la base de cette analyse de risques et en cas de recours à une ou plusieurs des fonctions de sécurité listées ci-dessus, l’autorité administrative définit le niveau de sécurité à viser et met en œuvre des services conformes aux exigences du RGS. Le recours à un service qualifié au titre du RGS vaut présomption de conformité au RGS pour le niveau de qualification visé.
À qui s’adresse cette réglementation ?
Le RGS s'applique aux autorités administratives, définies dans l'ordonnance et visant :
- les administrations de l'État ;
- les collectivités territoriales ;
- les établissements publics à caractère administratif ;
- les organismes gérant des régimes de protection sociale ;
- les autres organismes chargés de la gestion d'un service public administratif ;
- les commissions de coordination des actions de prévention des expulsions locatives.
Le référentiel général de sécurité s’adresse également aux organismes publics et privés qui fournissent des produits ou des services de confiance. Il détaille les normes et exigences à appliquer ;
Le référentiel s’adresse enfin aux organismes chargés de la qualification des produits et services de confiance. Pour les produits, c’est actuellement l’ANSSI qui délivre les qualifications et pour les services de confiance, c’est un organisme privé accrédité par le COFRAC et habilité par l’ANSSI, LSTI.
De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.
Quelles sont ses principales dispositions ?
Le référentiel général de sécurité :
- Fixe une liste d’exigences et de recommandations pour les autorités administratives :
- Des exigences de suivre une démarche en cinq étapes comprenant une démarche d’homologation de sécurité (chapitres 1 et 2)
- Des recommandations relatives à la méthodologie, aux procédures et à l’organisation de la sécurité des systèmes d’information (chapitre 7)
- Les règles et les recommandations de sécurité pour les téléservices nécessitant l’emploi de certificats électroniques (annexe A1)
- Des règles et des recommandations relatives à la cryptographie et à la protection des échanges électroniques (chapitres 3 et 4 et annexes B1 à B3)
- Fixe une liste d’exigences relatives à la mise en œuvre de service de confiance dans le domaine de l'identification électronique, de la signature ou du cachet électronique, de l’horodatage électronique et de l’audit de sécurité des systèmes d’information (chapitre 5 et annexes A2 à A5 et annexe C)
Pour se mettre en conformité avec ces exigences, les autorités administratives peuvent recourir à des prestataires de services de confiance qualifiés par un organisme de qualification habilité par l'ANSSI.