Consulter : Texte officiel sur Légifrance
Une obligation réglementaire à l’horizon 2025
Depuis avril 2023, les établissements disposent d’un délai de deux ans pour se mettre en conformité. Passé ce délai, les pénalités seront encadrées par l’ANSSI, comme précisé dans la section 6.3 de l’Instruction.
Consulter : Section 6.3 sur Légifrance
Qu’est-ce que l’homologation de sécurité ?
L’homologation est un acte formel par lequel une autorité qualifiée (l’AQSSI ou son délégataire) atteste que :
-
les risques de sécurité ont été identifiés
-
les mesures de maîtrise des risques ont été mises en œuvre
-
les risques résiduels sont acceptés en pleine connaissance de cause.
Ce processus doit précéder toute mise en production d’un nouveau service numérique. Il s’applique à tous les SI relevant du périmètre de l’État ou de réglementations spécifiques, et est adapté en fonction de la sensibilité des systèmes concernés.
Une gouvernance assumée
L’autorité d’homologation doit occuper une position hiérarchique suffisamment élevée pour porter la responsabilité de la mise en ligne des services.
Dans le cas de l’Abes, c’est le directeur qui fixe la durée de validité de l’homologation selon une échelle d’évaluation (ex. : note de 4,5 ➝ 3 ans d’homologation).
L’Abes engagée avec MonServiceSécurisé
En tant que DPO et RSSI de l’Abes, nous avons engagé début 2024 une démarche ambitieuse d’homologation, en nous appuyant sur MonServiceSécurisé, la plateforme développée par l’ANSSI pour faciliter cette mise en conformité.
Ce chantier a mobilisé plusieurs parties prenantes en interne : les responsables applicatifs, un expert sécurité. l’AQSSI (rôle assumé par le directeur de l’Abes), la Déléguée à la Protection des données (DPO), le Responsables de la Sécurité des Systèmes d’Information (RSSI).
Au total, plus de 50 applications ont été intégrées à la plateforme. Cette dynamique illustre une volonté forte de structurer la sécurité numérique à l’échelle de l’établissement.
Retour d’expérience dans la communauté ESR
Le 26 juin 2024, nous avons eu le plaisir de partager notre retour d’expérience lors d’un webinaire consacré aux synergies entre urbanistes SI, RSSI et DPO. Organisée par la communauté urbaESR, coanimée par l’Amue et le Csiesr, cette rencontre a rassemblé plus de 50 participants issus de ces trois domaines d’expertise. À cette occasion, Maria Castillo (DPO, Abes), Frédéric Pouilloux (RSSI, Abes) et Catherine Balleydier (Grenoble INP) ont présenté des exemples concrets de collaboration au sein de leurs établissements.
Nous avons notamment présenté :
-
les apports concrets de MonServiceSécurisé
-
la méthodologie d’évaluation des applications
-
l’intérêt d’une collaboration étroite entre urbanistes SI, DPO et RSSI
Consulter : Les liens entre urbanistes SI, DPO et RSSI : retour sur un webinaire urbaESR
Une reconnaissance inspirante
Notre engagement a été salué en avril 2025 par l’équipe de MonServiceSécurisé, qui nous a adressé un message de remerciement chaleureux, soulignant notre rôle d’ambassadrice et d’ambassadeur des innovations de l’ANSSI.
Cette reconnaissance renforce notre détermination à poursuivre cette dynamique, et à contribuer à la diffusion des bonnes pratiques en matière de sécurité numérique dans le secteur public.
Et demain ?
La cybersécurité est l’affaire de tous. Nous sommes convaincus que les outils et initiatives comme MonServiceSécurisé jouent un rôle essentiel dans l’évolution des pratiques du secteur public. À l’Abes, cette dynamique va se poursuivre en élargissant l’homologation à de nouveaux services et en partageant nos retours d’expérience avec la communauté ESR.
Maria Castillo, DPO et Frédéric Pouilloux, RSSI
