• il y a 7 mois
L'homologation sécurité d'un système d'information, indispensable pour garantir à ses utilisateurs que son accès est sûr et qu'ils peuvent l'utiliser en confiance, est souvent perçue comme une démarche administrative lourde et abstraite, faisant émerger la figure tutélaire de "l'autorité d'homologation". Pour démystifier tout cela et rappeler que l'autorité d'homologation (AH) est avant tout un individu, nous avons sollicité Jean-Philippe PAPILLON, sous-directeur usages numériques et innovation et AH de la direction du numérique du ministère en charge de la transition écologique, afin qu'il nous explique son rôle, ses attentes, et comment l'AH peut faciliter les choses pour le responsable produit qui s'inscrit dans une telle démarche.
Transcription
00:00 Jean-Philippe Papillon, aujourd'hui sous-directeur d'usage numérique et innovation
00:05 et précédemment sous-directeur méthode et services de plateforme.
00:09 Notre démarche d'homologation à la sécurité,
00:23 c'est un processus qui doit permettre à toutes les parties prenantes
00:31 d'être sûres que la sécurité a été bien prise en compte
00:36 dans la conception ou l'exploitation du système d'information.
00:40 Le rôle principal c'est d'être une sorte de...
00:51 d'abord un sponsor pour que la revue de sécurité soit réellement menée
00:55 parce que souvent elle est repoussée à plus tard, c'est compliqué...
01:01 donc finalement on tourne autour du pot un peu.
01:05 Et donc ça c'est de s'assurer qu'elle est réellement mise en œuvre.
01:08 Et le deuxième sujet c'est qu'elle se...
01:11 l'autorité c'est en faisant preuve de bon sens,
01:14 de s'assurer qu'elle se focalise bien sur les points qui sont importants.
01:18 Alors dans le...
01:23 Déjà quels sont les logis d'action de l'autorité de l'homologation ?
01:29 Alors il y a vraiment deux cas de figure, il y a un nouveau système.
01:34 En théorie le système ne doit pas être rendu public
01:40 et exposé aux utilisateurs avant qu'il est homologué.
01:44 Du coup ce qu'elle peut faire en général l'autorité de l'homologation
01:48 c'est retarder l'ouverture du système tant qu'un certain nombre de mesures ne sont pas présentes.
01:52 Ça c'est pour les nouveaux systèmes.
01:57 L'impact d'une autorité de l'homologation ensuite sur des systèmes existants,
02:01 à l'heure du temps on peut pas, enfin sauf qu'à urgentissime,
02:06 on peut pas fermer le système, il est utilisé,
02:09 donc le rôle réel c'est de mettre des garde-faux
02:14 en disant "moi je demande aux équipes techniques que ça, ça, ça soit pris en compte avec un échéancier
02:21 sinon là pour le coup on prendra des mesures drastiques".
02:24 C'est là que du coup ça a un impact sur le monde réel.
02:27 Qu'est-ce qui est important pour l'autorité de l'homologation ?
02:34 La première étape c'est de ne pas louper le démarrage.
02:40 C'est un peu facile à dire, mais justement porter un diagnostic sur quel type de système on homologue.
02:48 Est-ce qu'on est sur un système neuf,
02:51 en quel cas on sait qu'on peut enfin dire que j'ai une clause L de blocage réaliste
02:59 ou est-ce que j'ai un système qui est déjà en production.
03:02 Parmi les systèmes neufs, il y a deux grandes familles.
03:06 C'est un produit qui existe sur l'étagère, on va installer Microsoft SharePoint par exemple.
03:13 SharePoint il existe indépendamment de chez nous.
03:16 Il n'y a aucun cas, la vraie question c'est est-ce qu'on l'a installé de façon sécurisée.
03:22 Ou vous avez des produits qui sont entièrement développés pour une fonction.
03:26 Pour une fonction, on fait un système, un track déchet avec la fabrique numérique
03:32 pour justement aider à mieux juguler ce fléau des déchets.
03:39 Là c'est un développement spécifique.
03:43 Tout est à reconstruire en termes d'analyse technique.
03:50 Un défi courant, particulièrement sur des dossiers où c'est un produit sur l'étagère à la base,
04:04 manque de transparence de certains fournisseurs.
04:09 C'est un défi, c'est pour ça qu'on a fait évoluer la législation.
04:15 On a fait avec nous un closier au type de Percy,
04:21 la moitié des clauses ont été reprises dans le CCAG NTIC,
04:28 le code de la commande publique.
04:31 Ce qui permet maintenant à un commanditaire d'exiger à un fournisseur
04:39 qu'il donne des éléments techniques ou qu'il soit audité pour pouvoir faire une législation de son système.
04:46 Le conseil que je donnerais au responsable de produit,
04:55 c'est de rapidement identifier au sein de son équipe
05:02 celui qui va avoir ce regard porté sur la sécurité.
05:06 Ce n'est pas forcément quelqu'un qui est dédié à la question,
05:09 c'est juste un conseil des équipes internes et intérdites pour cela.
05:13 Mais qu'il y ait au moins un premier regard porté assez tôt,
05:17 sinon les choix se font sans prise en compte de la sécurité dès le début.
05:22 Et quand on arrive et on se dit "tiens, c'est foutu comme ça",
05:27 on finit par mettre un plâtre sur le jambe de bois.
05:34 C'est un peu comme les marchés publics.
05:41 Dans le sens où un des travers de l'autorité qu'on appelle au dernier moment à venir signer,
05:49 c'est qu'on ne la voit jamais, et puis on la sort du placard
05:54 et on vient essayer de lui dire "ça serait bien que vous signiez".
05:57 Et évidemment le signataire qui n'a pas du tout été impliqué dans toutes les étapes préalables
06:06 se pose des questions et rushing à signer.
06:09 C'est ça la réalité au SIGAV.
06:11 Il y a pas mal de cas où l'autorité de propagation est assez naturelle,
06:15 mais en même temps elle ne vient pas naturellement à signer.
06:18 Donc le premier conseil c'est de se rendre disponible dès le début,
06:23 elle aussi, pour qu'elle exprime ce à quoi elle fera attention en fin de processus.
06:30 L'intérêt en découle de façon assez évidente,
06:39 c'est que si vous avez collaboré en début de processus,
06:44 quand vous venez remettre le dossier final,
06:47 qui n'est ni plus ni moins qu'une synthèse de comment la sécurité était prise en compte
06:54 dans le développement du produit,
06:56 ça coule de source, on fait une revue, un petit bout de réunion,
07:00 tout le monde est d'accord et ça passe.
07:02 Encore une fois, si on arrive, et ça m'est arrivé,
07:05 de situations où, reprenant un dossier, ils avaient fait des études "écharpentées"
07:13 et ne répondaient absolument pas à l'objet des questions qu'ils pouvaient avoir,
07:17 et de venaient, grosso modo, sans page.
07:20 Littéralement.
07:22 C'est une question qui est un peu particulière pour moi,
07:31 parce que personne ne peut oublier quel était mon métier
07:36 avant les références de sous-directeur d'Omnistair,
07:42 chargé de la transition écologique.
07:44 Donc, c'est un peu triché, ma réponse,
07:49 mais je suis plutôt perçu comme étant un expert technique,
07:53 donc là je serais plutôt celui qui va pointer directement,
07:56 vous penserez à vérifier ci, vous regarderez ça, et ainsi de suite.
08:01 C'est pas forcément la façon de faire d'une autorité d'obligation qui est plus générale.
08:08 [Musique]

Recommandations