Cybersecurity

Homologation de sécurité ANSSI : démarche, RGS et dossier en 9 étapes (2026)

Homologation de sécurité ANSSI : quand est-elle obligatoire (RGS, II 901, IGI 1300), les 9 étapes, le contenu du dossier et la décision d'homologation.

En une phrase. L’homologation de sécurité est la décision formelle par laquelle une autorité (l’autorité d’homologation) atteste, sur la base d’un dossier d’homologation et d’une analyse de risques, qu’un système d’information est protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés en connaissance de cause — elle est obligatoire pour les téléservices des administrations (RGS), les systèmes Diffusion Restreinte (II 901) et les systèmes classifiés (IGI 1300).

L’homologation n’est pas une certification technique : c’est un acte de management du risque, daté et signé, qui engage l’autorité qui le prend. Beaucoup d’administrations et d’opérateurs la vivent comme une formalité documentaire ; c’est exactement l’inverse — un système non homologué qui devait l’être expose juridiquement l’autorité, et un dossier vide transforme la signature en chèque en blanc.

Ce guide couvre les cas où l’homologation est obligatoire, la démarche en 9 étapes popularisée par l’ANSSI, le contenu du dossier et les erreurs récurrentes.

Points clés

  • Obligatoire pour les téléservices de l’administration (ordonnance n° 2005-1516 du 8 décembre 2005 et RGS, arrêté du 13 juin 2014), les systèmes Diffusion Restreinte (instruction interministérielle n° 901/SGDSN/ANSSI du 28 janvier 2015) et les systèmes classifiés (IGI 1300 du 9 août 2021).
  • Démarche ANSSI en 9 étapes, de la stratégie d’homologation à la décision.
  • Durée de validité limitée — en pratique 3 ans maximum, ou 5 ans pour les systèmes les plus matures, avec revue en cas d’évolution majeure.
  • Le dossier repose sur une analyse de risques (EBIOS Risk Manager), une PSSI applicable, des audits et un plan de traitement des risques résiduels.

1. Quand l’homologation est-elle obligatoire ?

Téléservices : le RGS

L’ordonnance n° 2005-1516 et le décret n° 2010-112 du 2 février 2010 imposent aux autorités administratives d’homologuer leurs téléservices — tout système permettant aux usagers d’échanger avec l’administration (portail de démarches, télédéclaration, prise de rendez-vous en ligne). Le référentiel général de sécurité (RGS), dans sa version 2.0 (arrêté du 13 juin 2014), fixe la méthode : l’attestation formelle d’homologation doit être prise avant la mise en service et être accessible aux usagers.

Diffusion Restreinte : l’II 901

L’instruction interministérielle n° 901 s’applique aux systèmes traitant des informations sensibles non classifiées portant la mention Diffusion Restreinte — fréquente dans la défense, la recherche et les marchés publics sensibles. Elle impose une homologation préalable selon des exigences techniques précises (cloisonnement, chiffrement de niveau DR, passerelles).

Informations classifiées : l’IGI 1300

L’instruction générale interministérielle n° 1300 (version du 9 août 2021) régit la protection du secret de la défense nationale. Tout SI traitant d’informations classifiées (Secret, Très Secret) doit être homologué, avec des exigences renforcées (produits agréés, zones protégées, habilitation du personnel).

Cas induits

L’homologation se diffuse par capillarité contractuelle et réglementaire : systèmes d’information de santé dans certains cadres (PGSSI-S), systèmes des OIV au titre des arrêtés sectoriels LPM, et de plus en plus de marchés publics qui exigent un SI homologué côté titulaire. La logique d’acceptation formelle des risques inspire aussi NIS2, qui impose l’approbation des mesures par les organes de direction.

2. La démarche en 9 étapes

La méthode de référence est celle du guide ANSSI « L’homologation de sécurité » (guide en neuf étapes, réédité et modernisé depuis sa première publication en 2014, disponible sur cyber.gouv.fr) :

  1. Quel système ? Pour quoi faire ? — définir le périmètre, les finalités, les responsabilités. C’est ici qu’on désigne l’autorité d’homologation (le responsable qui signera : directeur, DGS, sous-directeur — pas le RSSI, qui instruit mais ne peut accepter les risques à la place du responsable).
  2. Quelle démarche ? — stratégie d’homologation : profondeur proportionnée aux enjeux (Pianissimo/Mezzo Piano/Mezzo Forte dans l’ancienne terminologie ANSSI).
  3. Qui contribue ? — constitution de la commission d’homologation : métiers, DSI, RSSI, juridique, éventuellement le DPO lorsque des données personnelles sont traitées.
  4. Comment gérer les risques ? — analyse de risques, aujourd’hui avec EBIOS Risk Manager.
  5. Quelles mesures ? — objectifs et mesures de sécurité, adossés à la PSSI et aux référentiels applicables (hygiène informatique ANSSI).
  6. Le système est-il correctement sécurisé ? — audits et contrôles techniques : audit d’architecture, de configuration, tests d’intrusion, idéalement par un prestataire PASSI.
  7. Quels risques résiduels ? — formalisation des risques non couverts et du plan d’action.
  8. Décision — l’autorité d’homologation signe la décision, éventuellement assortie de réserves et d’une durée réduite (homologation provisoire).
  9. Et après ? — maintien en condition de sécurité, revue annuelle par la commission, ré-homologation à échéance ou en cas d’évolution majeure.

3. Le dossier d’homologation

Contenu type, modulé selon la stratégie retenue :

  • Stratégie d’homologation et périmètre (cartographie du système — voir notre méthode de cartographie du SI) ;
  • Analyse de risques et déclaration d’applicabilité des mesures ;
  • PSSI ou déclinaison applicable au système ;
  • Procédures d’exploitation de sécurité (PES) : gestion des comptes, des correctifs, des sauvegardes, journalisation ;
  • Rapports d’audit et preuve de correction des vulnérabilités majeures ;
  • Plan de traitement des risques résiduels ;
  • Décision d’homologation signée, avec durée et conditions.

Lorsque le téléservice traite des données personnelles, le dossier gagne à intégrer l’analyse d’impact RGPD (AIPD) : les deux exercices partagent l’étude des événements redoutés, et la CNIL comme l’ANSSI recommandent de les articuler. Une plateforme comme Legiscope permet de maintenir ce socle documentaire commun (cartographie, registre, mesures de sécurité, AIPD) à jour en continu plutôt que de le reconstituer à chaque échéance d’homologation.

4. Erreurs fréquentes

  1. Signer sans commission : une décision sans instruction collégiale ne protège personne — surtout pas le signataire.
  2. Homologuer le papier, pas le système : un dossier parfait sur un système jamais audité techniquement est une fiction.
  3. Oublier la durée : une homologation sans échéance ni conditions de revue est irrégulière au sens du RGS.
  4. Périmètre flou : interconnexions et services SaaS non inclus dans l’analyse — c’est pourtant là que se matérialisent les risques (voir sous-traitance cloud).
  5. Confondre autorité d’homologation et RSSI : l’acceptation du risque appartient au responsable, pas à l’expert.

FAQ

Combien de temps dure une homologation de sécurité ?

La décision fixe sa propre durée, en pratique 3 ans au maximum (5 ans pour les systèmes très matures avec un maintien en condition de sécurité démontré). Toute évolution majeure du système ou de la menace impose une révision anticipée.

Une homologation ANSSI est-elle la même chose qu’une certification ISO 27001 ?

Non. L’ISO 27001 certifie un système de management par un organisme tiers ; l’homologation est une décision interne d’acceptation des risques d’un système précis, exigée par la réglementation française. Un SMSI certifié facilite l’homologation mais ne la remplace pas.

Qui doit signer la décision d’homologation ?

L’autorité d’homologation : la personne qui a autorité sur le système et la légitimité pour engager l’organisation (directeur d’administration, DGS de collectivité, dirigeant). Elle peut être conseillée par la commission d’homologation, mais la signature ne se délègue pas au RSSI.

L’homologation concerne-t-elle les collectivités territoriales ?

Oui : tout téléservice communal, départemental ou régional (portail famille, démarches en ligne) est soumis au RGS, donc à homologation préalable. C’est l’un des manquements les plus répandus du secteur public local, qui cumule désormais avec les obligations NIS2 pour les plus grandes collectivités.

Conclusion

L’homologation de sécurité est le mécanisme français d’accountability en cybersécurité : elle force un responsable identifié à regarder les risques en face et à les accepter par écrit. Bien menée — périmètre net, analyse de risques réelle, audit technique, commission vivante — elle structure toute la sécurité d’un système. Réduite à un dossier de conformité, elle ne protège ni les usagers ni le signataire. Avec NIS2 et la généralisation de la responsabilité des dirigeants, la logique d’homologation va s’étendre bien au-delà de la sphère publique.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →