Référentiel d homologation de l académie de Bordeaux

Transcription

1 Référentiel d homologation de l académie de Bordeaux Version 1.0 Mai 2017

2 Statut du document Date Auteur N version Description des modifications 03/05/2017 Jean-Louis Brunel V.01 Création 12/05/2017 RSSI V.1.0 Rédaction finalisée Page 2/19

3 Sommaire 1 OBJET DU DOCUMENT PRESENTATION L HOMOLOGATION DE SECURITE LES OBJECTIFS DE L HOMOLOGATION LES SYSTEMES A HOMOLOGUER LES TYPES DE DECISIONS Avis Homologation L AUTORITE D HOMOLOGATION LA COMMISSION D HOMOLOGATION DEFINITION DU PERIMETRE PERIMETRE FONCTIONNEL PERIMETRE APPLICATIF Classement par type de développement Classement par type d exploitation Synthèse ORGANISATION DE L HOMOLOGATION LA DEMARCHE D HOMOLOGATION L ETUDE DE RISQUES L AUDIT L HOMOLOGATION Le dossier d homologation Analyse du dossier d homologation Formalisation et publication de la décision MAINTIEN DE L HOMOLOGATION SYNOPTIQUE DES ETAPES DE L HOMOLOGATION LES ACTEURS DE L HOMOLOGATION ROLE DES ACTEURS Rôle de du recteur d académie Rôle des chefs de service (CIO, GRETA) et chefs d établissement Rôle de la DSI de l académie de Bordeaux Rôle du RSSI de l académie de Bordeaux Rôle de l autorité d homologation Rôle de la commission d homologation FONCTIONNEMENT DE LA COMMISSION D HOMOLOGATION Page 3/19

4 1 Objet du document Ce document précise les principes d homologation retenus par l académie de Bordeaux pour l introduction de composants logiciels ou matériels au sein des systèmes d information des services académiques, les établissements rattachés (CIO, GRETA,etc ) et les EPLE. Il distingue les modalités et conditions de mise en œuvre des composants techniques et des systèmes d information. Tout composant technique doit obligatoirement faire l objet d un avis du RSSI tandis que tout système d information à l exception des applications ministérielles sera soumis à l homologation de la part de l autorité d homologation de l académie de Bordeaux.. Page 4/19

5 2 Présentation 2.1 L homologation de sécurité L homologation de sécurité d un système d information est l engagement par lequel l académie de Bordeaux atteste auprès de ses utilisateurs que les risques qui pèsent sur eux, sur les informations qu ils manipulent et sur les services rendus, sont connus et maîtrisés. L homologation garantit que les risques ont correctement été évalués par l institution, que des mesures de sécurité adéquates ont été prises pour ramener ces risques à un niveau de risque résiduel acceptable et que le système satisfait aux exigences de sécurité requises pour son exploitation. Le terme «homologation» recouvre deux processus distincts : La démarche qui consiste à étudier le risque, prendre les décisions et mesures de sécurité adéquates pour le traiter, auditer les mesures de sécurité ; L attestation d homologation qui est la décision formelle de l institution qui conclut cette démarche sur la base d un dossier d homologation et déclare le système apte à entrer en service. L homologation des systèmes d information est rendue nécessaire pour un grand nombre d entre eux par des obligations légales ou réglementaires issues du référentiel général de sécurité, de l instruction interministérielle IG 1300 ou de la politique de sécurité des systèmes d information de l État. L agence nationale à la sécurité des systèmes d information (ANSSI) recommande toutefois d homologuer l ensemble des systèmes d information y compris ceux qui ne sont pas visés par une obligation réglementaire ou légale. Dans un souci de protection de ses utilisateurs et afin d instaurer un climat de confiance avec ceux-ci et avec les collectivités territoriales, l académie de Bordeaux, conformément aux recommandations de l ANSSI, a décidé d homologuer l ensemble des composants destinés à intégrer les systèmes d information qu elle met en œuvre à son initiative ou à l initiative des collectivités territoriales. L homologation d un système consiste à : réaliser une étude de risques déterminer les mesures de sécurité adéquates conformément aux objectifs de sécurité issus de l étude du risque et les implanter réaliser un audit de conformité pour contrôler l effectivité et l efficience de mesures de sécurité élaborer le dossier d homologation homologuer le système. Page 5/19

6 2.2 Les objectifs de l homologation L homologation de sécurité assure que les risques sont correctement évalués et traités conformément à la réglementation, aux enjeux et besoins opérationnels. Les homologations de sécurité poursuivent plusieurs objectifs et visent à : Instaurer la confiance vis-à-vis des utilisateurs et des partenaires de l académie de Bordeaux en attestant du niveau de sécurité des systèmes d information ; Apporter la preuve qu un système d information satisfait bien aux obligations légales (loi informatique et liberté, ordonnance n du 8 décembre 2005 et décret n du 2 février 2010) ou réglementaires (IG 1300, PSSIE) ; Mettre en place un système de gestion de la sécurité pour une sécurité adaptée garante d efficacité et de maitrise des coûts. 2.3 Les systèmes à homologuer Les systèmes qui peuvent être intégrés aux systèmes d information de l académie de Bordeaux peuvent aller du simple composant matériel ou logiciel jusqu à des systèmes d information complexes comme des services applicatifs (ensemble de matériels et d applications) ou des infrastructures réseau. Pour distinguer un composant informatique d un système d information, l académie de Bordeaux s appuie sur la vision systémique du système d information schématisée ci-après. Cette vision considère qu un système d information est constitué de trois composants qui sont la composante informationnelle d une part, et les composantes humaines et techniques d autre part : Composante informationnelle (Données et fonctions) Actifs Primordiaux Composante humaine (Organisation, personnel) Composante technique (Systèmes informatiques et de télécommunications) Actifs Supports Cette vision repose sur les concepts introduits par les normes de la famille ISO/IEC 2700x et en particulier la norme ISO/IEC de gestion de risque. Dès lors que les trois composantes sont présentes ou mises en œuvre, le système d information doit être considéré dans son ensemble. Seuls les systèmes d information font obligatoirement l objet d une homologation de sécurité, qu ils soient visés ou non par une obligation légale ou réglementaire. Les composants matériels et logiciels doivent toutefois faire l objet d une demande d avis au RSSI de l académie de Bordeaux qui peut en fonction des impacts opérationnels métiers décider de la nécessité de procéder à une homologation de sécurité. Page 6/19

7 Sont considérés comme des composants qui doivent faire l objet d une demande d avis : un équipement réseau ou un pare-feu ; une application bureautique ; Sont considérés comme des systèmes d information complexes devant faire l objet d une homologation : une infrastructure réseau où transitent des données administratives ou pédagogiques; un téléservice. La demande d avis a pour but également de solliciter l avis du RSSI qui pourra la requalifier en homologation à mener. Le schéma ci-dessous précise le processus : Entité souhaitant mettre en œuvre un nouveau composant ou système d information Demande d avis 0 Demande d homologation 1a Avis Requalification de l avis RSSI 1b RSSI Processus d homologation Homologation Commission d homologation L avis du RSSI consistera à évaluer les risques liés à l introduction du nouveau composant et la nécessité de mener ou non une homologation complète. La mise en œuvre d un nouveau composant informatique ou système d information fait obligatoirement l objet d une demande au RSSI. Dans le cas d un composant informatique, un avis sera rendu par le RSSI de l académie. Dans le cas d une homologation, une attestation formelle sera publiée par l autorité d homologation. Page 7/19

8 2.4 Les types de décisions Avis L avis est rendu par le RSSI de l académie de Bordeaux après analyse de la déclaration qui lui est soumise. Cette déclaration accessible sur le site précise l entité utilisatrice, le prestataire, le cas échéant l exploitant, le type de composant logiciel ou matériel, ainsi que des donnés fonctionnelles et techniques. L avis a surtout un rôle informatif. Toutefois, dans certains cas, le RSSI peut : - Interdire la mise en œuvre du composant si elle présente des risques avérés pour l institution ou assortir sa mise en exploitation de mesures de sécurité additionnelles ; - Décider au vu des risques de demander une homologation. Les avis du RSSI sont motivés Homologation Selon les résultats de l analyse effectuée lors de la démarche d homologation, l autorité d homologation pourra prononcer : une homologation, pour une durée déterminée sur un périmètre précis, éventuellement assortie de conditions de validité ; une homologation provisoire ou autorisation provisoire d exploitation assortie de réserves et d un délai de mise en conformité des défauts de sécurité rencontrés ; un refus d'homologation, si les résultats des investigations menées dans le cadre de l homologation (étude de risques ou audits) font apparaître des risques résiduels jugés inacceptables. La durée de l homologation est fixée par la commission d homologation et varie généralement de 3 à 5 ans. Ces durées tiennent comptent des nouvelles menaces et de la criticité des informations et des processus du système d information. Page 8/19

9 2.5 L autorité d homologation L académie de Bordeaux met en place une autorité d homologation qui a en charge l homologation des systèmes d information introduits en son sein. L autorité d homologation est désignée par le recteur de l académie de Bordeaux. Elle est placée directement sous la responsabilité du recteur qui est l AQSSI et l autorité administrative. Elle prononce en son nom l'homologation de sécurité du système d'information. 2.6 La commission d homologation L autorité d homologation met en place et anime une commission d homologation. Celle-ci est chargée d analyser le dossier d homologation et de conseiller l autorité d homologation sur la décision à prendre au vu du dossier. Cette commission a également en charge de piloter le processus d homologation et la constitution des dossiers d homologation qui lui sont soumis. Elle est constituée de membres permanents, non permanents et invités. Les membres permanents sont : le recteur ou son représentant ; le DSI de l académie de Bordeaux ; le RSSI de l académie de Bordeaux ; les RSSI adjoints. Les membres non permanents sont les directions métiers des services académiques, des représentants des chefs d établissement, le proviseur vie scolaire en fonction des systèmes à homologuer. Les membres invités sont les collectivités territoriales, les prestataires qui conçoivent les systèmes, d autres autorités administratives qui vont échanger des données via le système à homologuer et de façon générale toute partie prenant au système d information à homologuer. Page 9/19

10 3 Définition du périmètre 3.1 Périmètre fonctionnel Le périmètre fonctionnel d homologation couvre l ensemble des systèmes qui peuvent être mis en œuvre au sein des services académiques (rectorat, DSDEN, CIO, IEN, GRETA, ) ou des établissements d enseignement. Toute introduction ou évolution d un système doit faire l objet d une déclaration préalable au RSSI (demande d avis ou d homologation). 3.2 Périmètre applicatif L académie de Bordeaux exploite au sein de ses systèmes d information des applications développées par le ministère encore appelées applications nationales 1 ainsi que des applications locales développées par ses propres soins ou par d autres académies. Les applications nationales, qu il s agisse ou non de téléservices, n entrent pas dans le périmètre du référentiel d homologation de l académie de Bordeaux. Elles font l objet d instructions nationales qui précisent les conditions de leur déploiement. Il faut enfin noter que certaines applications locales développées par d autres académies sont exploitées par l académie de Bordeaux. Les chapitres suivants détaillent ces aspects et les stratégies d homologation mises en œuvre Classement par type de développement Applications développées par les académies Les applications développées par les académies encore appelées applications locales font l objet d un recensement réalisé par le ministère de l éducation nationale qui n est pas exhaustif puisque non obligatoire. Par défaut, l homologation est réalisée par l académie qui est maitre d œuvre dans la conception de l application. Cette homologation fixe les conditions d utilisation de l application. Il appartient à l académie de Bordeaux de vérifier que ces conditions sont remplies. En l absence d homologation, l académie de Bordeaux réalise une homologation de l application pour son propre compte et informe l académie à l origine du développement du résultat de l homologation Applications développées nationalement Les applications développées nationalement sont recensés par le ministère. Ces applications peuvent être exploitées de façon centralisée par le centre national de service ou de façon déconcentrée. Dans ce dernier cas, l exploitation sera assurée pour les données et le périmètre qui la concerne par l académie de Bordeaux. Ces applications ne font l objet d aucune acceptation formelle de la part de l académie de Bordeaux dans la mesure où leur mise en œuvre correspond à des instructions ministérielles. 1 Le fait qu une application soit nationale n enlève rien au caractère académique du système d information quand l application est exploitée par l académie de Bordeaux. Page 10/19

11 3.2.2 Classement par type d exploitation Application locale exploitée par l académie de Bordeaux L académie de Bordeaux peut exploiter une application développée par ses soins ou par une autre académie. Dans le cas d une application développée par ses soins, l académie de Bordeaux procède à une homologation et en fixe les conditions d utilisation. Dans le cas d une application développée par une autre académie, l académie de Bordeaux vérifie que l application a été homologuée et les conditions d utilisation avant d autoriser son exploitation ; procède pour son propre compte à une homologation si aucun dossier d homologation n existe. Dans ce cas, elle informe l académie à l origine de la conception de l application Application locale exploitée par une autre académie Les services ou établissements de l académie de Bordeaux peuvent utiliser une application exploitée par une autre académie. Il appartient aux services ou établissements de l académie de Bordeaux de soumettre au RSSI une demande en vue d utiliser de telles applications. Seules les applications ayant fait l objet d une homologation peuvent être utilisées par les services ou établissements de l académie de Bordeaux Applications nationales exploitées de façon déconcentrée Ces applications correspondent à des applications développées nationalement et déployés en académie. Elles constituent le cœur des systèmes d information de gestion académiques. Ces applications sont en dehors du périmètre et ne font pas l objet d homologation par les académies. L académie de Bordeaux met en œuvre ces applications conformément aux instructions nationales Applications nationales exploitées de façon centralisée Ces applications correspondent à des applications développées nationalement, déployés dans une seule académie ou dans un centre exploitation et de service. Ces applications sont en dehors du périmètre et ne font pas l objet d homologation par les académies. L académie de Bordeaux met en œuvre ces applications conformément aux instructions nationales. Page 11/19

12 3.2.3 Synthèse Les applications développées par l académie de Bordeaux font l objet d une homologation. Dans le cas de téléservices, cette homologation se conforme aux exigences du référentiel général de sécurité. Dans le cas d applications qui ne sont pas des téléservices mais qui manipulent des données à caractère personnel, l homologation respecte les recommandations de la CNIL. Les applications développées par d autre académies doivent normalement avoir fait l objet d une homologation de la part de l académie à l origine du développement. En l absence, l académie de Bordeaux peut prononcer une homologation sur le périmètre académique. L utilisation d une application hébergée par une autre académie est possible. Lorsque cette application n est pas une application nationale, son utilisation n est possible que si elle a fait l objet d une homologation et de l avis du RSSI. Exploitation Bordeaux Autre académie Centre national de service Développement Bordeaux 1 Homologation réalisée par l académie de Bordeaux Sans objet Sans objet Autre académie Cas d une application développée par une autre académie et exploitée par Bordeaux Cas d une application développée par une autre académie et exploitée par une autre académie Sans objet 2 Homologation réalisée par l académie à l origine du développement 3 Le système d information est utilisable à condition que l application ait fait l objet d une homologation de sécurité. En l absence d homologation L hébergement extra réalisée par l académie académique reste soumis à d origine, l académie de l avis du RSSI Bordeaux peut réaliser l homologation National Instructions nationales Instructions nationales Instructions nationales Page 12/19

13 4 Organisation de l homologation 4.1 La démarche d homologation La démarche générale d homologation est précisée dans le schéma ci-dessous : Étapes 1 Étude de risques Objectifs Détermination du contexte Appréciation des risques Adoption des mesures de sécurité Acceptation du risque résiduel Point de contrôle n 1 Acteurs Responsables métiers, DSI, chefs d établissements, RSSI, Collectivités territoriales 2 Audit (contrôle technique) Vérification de l implantation effective des mesures de sécurité Évaluation de leur robustesse Vérification la conformité aux égicences informatique et liberté RSSI 3 Homologation Point de contrôle n 2 Attestation formelle Autorité d homologation Commission d homologation) L étape 1 consiste à la réalisation d une étude de risques qui vise à apprécier les risques, déterminer le niveau de risque résiduel acceptable et les mesures de sécurité. Le point de contrôle n 1 constitue l approbation formelle des risques résiduels et des mesures de sécurité. L étape 2 consiste à vérifier par un audit technique l effectivité et l efficience des mesures de sécurité. Le point de contrôle n 2 vérifie la conformité du dispositif aux exigences de sécurité établies lors de l étude de risques. Il consigne une éventuelle modification du risque résiduel par rapport aux exigences, vérifie la conformité aux exigences informatique et liberté et émet un avis quant à son acceptabilité. Les points de contrôle 1 et 2 sont conformes à l esprit de la norme ISO/IEC Le rapport d homologation est conçu après le 2 ème point de contrôle. Enfin l homologation consiste en l analyse du dossier d homologation, et la formalisation et la publication de la décision de l autorité d homologation. L ensemble de la démarche et du périmètre homologué est synthétisé dans une note de stratégie qui sera jointe au dossier d homologation du système ou téléservice. Page 13/19

14 4.2 L étude de risques L académie de Bordeaux réalise des études de risques conformément à la méthode EBIOS recommandé par l ANSSI. Elle s appuie pour cela sur une démarche adaptée mises œuvre au sein de l Éducation nationale et qui repose pleinement sur la modularité de la méthode. L usage de cette modularité est autant recommandé par l ANSSI que l usage de la méthode elle-même. Elle est présentée dans le schéma cidessous : Démarche adaptée Les modules EBIOS Questions posées Acteur s Étude de risques métiers Le contexte Les événements redoutés Quels sont les enjeux? Quels sont les acteurs de l étude et leur rôle? Quel est le périmètre? quelles sont les données et fonctions? qui sont les utilisateurs du système? Quelles sont les contraintes réglementaires applicables? Quels sont les risques pour les personnes concernées par les traitements? (protection de l usager) Quels sont les risques opérationnels? (protection de l institution) MOA MOE Étude et choix du traitement des risques Les scénarios de menaces Les Risques Quels sont tous les scénarios possibles? Quelle est leur vraisemblance? Quelle est la cartographie des risques? Comment choisit-on de les traiter? MOE MOA Mesures de sécurité Les mesures de sécurité Quelles mesures devrait-on appliquer? Les risques résiduels sont-ils acceptables? MOE Cette démarche procède de la volonté de mettre l accent sur la vision du risque par les métiers, c est à dire sur la composante «impact» du risque et s inspire des préconisations de la CNIL. Elle aboutit à l appréciation de risques et la détermination du risque résiduel ainsi qu à la détermination des mesures de sécurité qui sont intégrés dans le rapport d homologation. Page 14/19

15 4.3 L audit Afin de vérifier l efficacité opérationnelle de mesures de sécurité déterminées et mises en œuvre conformément aux objectifs de traitement des risques identifiés par l étude de risque, différents types de contrôle techniques peuvent être menés : - Audit de conformité par rapport aux mesures de sécurité retenues par l étude de sécurité : il consiste à vérifier que les mesures de sécurité définies dans l étude de risques ainsi que les fonctions de sécurité sont effectivement implémentées dans le système d information. - Tests d intrusion : ce contrôle a pour objet de tester le niveau de sécurité du système d information face à une attaque menée par un expert en sécurité. Il faut noter que l audit de conformité se focalise uniquement sur le périmètre défini dans l étude de risques. Les tests d intrusion peuvent utilement compléter l audit de conformité. Les contrôles sont réalisés par la DSI ou le RSSI. Les contrôles et les résultats obtenus démontrent l efficacité opérationnelle des mesures et fonctions de sécurité mises en œuvre pour protéger le système. Les résultats de l audit sont intégrés au rapport d homologation. 4.4 L homologation Le dossier d homologation Afin que la commission d homologation puisse se prononcer, un dossier d homologation est établi. Le dossier auquel est joint un rapport d homologation comprend : - Les documents techniques et fonctionnels du composant à homologuer (document d architecture et d exploitation), - La note de stratégie, - Le rapport d étude de risques, - Le rapport d audit, - La déclaration CNIL le cas échéant. Le rapport d homologation est une synthèse de l appréciation de risques et des conclusions de l audit technique, il précise le risque résiduel et est assorti d une proposition d avis. Il constitue une base solide sur laquelle la commission d homologation analyse les pièces du dossier d homologation pour décider si le composant peut être mis en service dans des conditions raisonnables de sécurité Analyse du dossier d homologation La commission d homologation analyse les pièces du dossier d homologation et rend un avis sur l acceptabilité des risques résiduels mis en évidence. L autorité d homologation s appuie sur cet avis pour décider si le système d information peut être mis en service avec un risque acceptable pour les données et l activité dont l autorité administrative est responsable Formalisation et publication de la décision La formalisation de cette décision est une note jointe au dossier d homologation, comportant les restrictions décidées par l autorité d homologation (durée, actions complémentaires, etc) comme celles contraintes par le contexte (conditions d emploi des matériels et logiciels, etc). Page 15/19

16 La déclaration de l homologation est la publication de la décision d homologation. Pour les téléservices, les conditions de publication sont prescrites par l article 5 du décret n : «L'autorité administrative atteste formellement auprès des utilisateurs de son système d'information que celui-ci est protégé conformément aux objectifs de sécurité fixés en application de l'article 3. Dans le cas d'un téléservice, cette attestation est rendue accessible aux usagers selon les mêmes modalités que celles prévues à l'article L du code des relations entre le public et l'administration pour la décision de création du téléservice» Pour les autres composants du système d information, l homologation précisera le périmètre homologué, la date de décision et la durée d homologation. 4.5 Maintien de l homologation La démarche d homologation devra être renouvelée : - à chaque fois que l une des conditions de validité de l homologation ne sera plus remplie (évolution majeure du système ou de son contexte, résultant éventuellement de modifications mineures successives) ; - suite à la publication d incidents de nature à remettre en cause les garanties recueillies dans le dossier de sécurité, (la suspension de la qualification d un prestataire de services de confiance, ou la mise en évidence d une vulnérabilité sur un produit de sécurité) ; - parce que la décision d homologation arrive à échéance ; - par anticipation au souhait de l autorité d homologation ou de l autorité administrative. À ces fins, des réunions périodiques de la commission d homologation sont planifiées annuellement. Page 16/19

17 4.6 Synoptique des étapes de l homologation Demande d avis 0 Demande d homologation 1a Requalification de l avis 1b Étude de risque Détermination des mesures de sécurité Avis du RSSI 2 Audit technique Contrôle de conformité du composant. 3 Constitution du dossier d homologation 4 Analyse du dossier d homologation 5 Décision Autorisation provisoire Refus Attestation Page 17/19

18 5 Les acteurs de l homologation 5.1 Rôle des acteurs Afin de garantir que les systèmes d informations utilisés au sein des services académiques ou dans les établissements sont sécurisés, l académie de Bordeaux en tant qu autorité administrative atteste formellement auprès de ses utilisateurs la protection des systèmes qu ils utilisent conformément aux objectifs de sécurité. Dans ce processus, il appartient : - au recteur de l académie de Bordeaux en tant qu autorité qualifiée (AQSSI) de garantir que l autorité administrative est une autorité de confiance avec la mise en œuvre de la PSSI de l état et par l adoption et l actualisation du référentiel académique d exigences de sécurité applicable dans les établissements scolaires ; - à la DSI, aux collectivités territoriales, ainsi qu aux responsables de services (CIO, GRETA) ou aux représentants des chefs d établissements quand ils sont concernés par la mise en œuvre d un système d information d établir le dossier d homologation ; - à l autorité d homologation de valider l homologation du système d information ; - à l autorité administrative représentée par l autorité d homologation d attester formellement auprès de ses utilisateurs de la sécurité du système d information Rôle de du recteur d académie Les recteurs sont fonctionnellement les AQSSI au sens de l instruction générale interministérielle n 1300 du 30 novembre Ils ont la responsabilité de la politique de sécurité en académie et sont responsables des données et applications utilisées au sein des services académiques et établissements. A cet égard, le recteur de l académie de Bordeaux nomme le RSSI, est garant de l application de la PSSIE, de la publication et de l actualisation du référentiel académique ainsi que du présent référentiel d homologation Rôle des chefs de service (CIO, GRETA) et chefs d établissement Les chefs de services et chefs d établissements, sous la responsabilité du recteur, veillent en collaboration avec la DSI à la sécurité des données qui relèvent de leur champ d action. En dehors des applications nationales ou des applications dont l utilisation est imposée par le ministère, ils ont la responsabilité de définir les enjeux et risques métiers pour les systèmes dont l introduction est à leur initiative. Dans ce cas, ces systèmes devront préalablement faire l objet d une étude de risques et d une acceptation formelle Rôle de la DSI de l académie de Bordeaux La DSI met ses compétences techniques à disposition du RSSI Rôle du RSSI de l académie de Bordeaux Le RSSI pilote ou réalise lui-même l étude de risques et l audit technique pour vérifier la conformité de l application par rapport aux exigences de sécurité issues de l étude de risques. Le RSSI tient à jour la liste des systèmes homologués ainsi que des dossiers d homologation Rôle de l autorité d homologation L'autorité d'homologation est responsable de la démarche d'homologation et décide de l acceptabilité du risque résiduel en regard des enjeux qu elle définit. Elle prononce pour l autorité administrative l homologation de sécurité. Au sein de l académie, l autorité d homologation est désignée par le recteur d académie. Page 18/19

19 5.1.6 Rôle de la commission d homologation La commission d homologation est chargée d analyser le dossier d homologation et de conseiller l autorité d homologation sur la décision à prendre au vu du dossier. Elle est constituée par le recteur ou son représentant, le DSI, le RSSI, les RSSI adjoints, des responsables de services ou représentants des chefs d établissements concernés par les composants à homologuer ainsi que d experts en cas de besoin. 5.2 Fonctionnement de la commission d homologation Présidée par le représentant désigné par le recteur qui est l autorité d homologation, la commission se prononce sur la base d un consensus général. Dans le cas où ce consensus ne peut être trouvé, la voix prépondérante de l autorité d homologation est respectée. La commission d homologation se réunit en séance plénière au moins trois fois par an. Les dossiers d homologation devront être communiqués au plus tard quatre semaines avant la date fixée pour la réunion plénière. La commission informe les parties prenantes des composants à homologuer de sa décision au plus tard une semaine après la réunion plénière. L homologation ou l autorisation provisoire d exploitation est délivrée au plus tard deux semaines après la réunion plénière par l autorité administrative. En cas d autorisation provisoire d exploitation, les parties prenantes du système d information ont jusqu au délai fixé par la commission pour communiquer les actions correctives qu ils ont mis en œuvre pour se mettre en conformité et corriger les défauts de sécurité identifiés par la commission. Les éléments communiqués par les parties prenantes sont examinés au cours d une réunion d une commission technique où seuls sont présents les membres permanents de la commission d homologation à l exception de l autorité d homologation. Cette commission technique se prononce au vu des éléments complémentaires fournis par les parties prenantes et émet une proposition à l autorité d homologation. L autorité d homologation rend sa décision sur la base de la proposition de la commission technique. Les délais sont identiques à ceux retenus suite aux décisions de la commission d homologation réunie en assemblée plénière. Page 19/19