En une phrase. MonServiceSécurisé est un service en ligne gratuit de l’ANSSI qui accompagne pas à pas les collectivités territoriales, administrations et établissements publics dans leur homologation de sécurité : questionnaire d’auto-évaluation aligné sur le RGS et le guide d’hygiène ANSSI, génération automatique du plan d’action et du dossier d’homologation, suivi des mesures jusqu’à la décision formelle de l’autorité responsable.
L’homologation de sécurité est une obligation méconnue mais bien réelle pour les téléservices des autorités administratives : l’ordonnance n° 2005-1516 et le décret d’application du Référentiel Général de Sécurité (RGS) imposent qu’avant toute mise en service, l’autorité responsable atteste formellement avoir identifié et maîtrisé les risques de sécurité du service. Beaucoup de collectivités découvrent cette exigence à l’occasion d’un contrôle ou d’un incident, faute d’outillage adapté. MonServiceSécurisé a précisément été conçu pour combler ce manque, sans les délais et le formalisme lourd d’une homologation menée “à la main”.
Ce guide détaille le cadre juridique de l’homologation, le déroulé de la démarche sur MonServiceSécurisé, et son articulation avec NIS2 et le RGPD.
Points clés
- L’homologation de sécurité est exigée par le RGS pour les téléservices des autorités administratives, avant leur mise en service.
- MonServiceSécurisé est gratuit et cible prioritairement les collectivités territoriales, administrations, établissements publics et structures de santé.
- La démarche s’appuie sur un questionnaire d’auto-évaluation qui génère automatiquement un plan d’action de sécurité et les documents du dossier d’homologation.
- La décision d’homologation reste de la responsabilité de l’autorité (maire, DG, directeur d’établissement) : l’outil instruit le dossier, il ne décide pas à sa place.
- La démarche recoupe directement les obligations NIS2 des collectivités et l’article 32 du RGPD sur la sécurité des traitements.
1. Le cadre juridique : pourquoi l’homologation est obligatoire
L’obligation d’homologuer la sécurité d’un téléservice découle de l’ordonnance n° 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives, et de son décret d’application portant Référentiel Général de Sécurité (RGS). Concrètement, avant la mise en ligne d’un site web, d’une application ou d’un téléservice permettant des échanges avec les usagers, l’autorité administrative doit avoir identifié les risques de sécurité pesant sur ce service, mis en œuvre des mesures pour les maîtriser, et prononcé une décision d’homologation formelle attestant de cette maîtrise. Cette exigence rejoint la logique générale de l’homologation de sécurité ANSSI, mais MonServiceSécurisé en propose une version simplifiée et guidée, pensée pour des structures qui ne disposent pas toujours d’un RSSI dédié.
Dans une démarche d’homologation « classique », le dossier repose sur une analyse de risque formalisée (souvent selon la méthode EBIOS Risk Manager), une politique de sécurité et un avis d’une commission d’homologation avant la décision finale. Ce formalisme, pertinent pour un système d’information complexe ou sensible, décourage en pratique les petites structures : constituer un dossier complet suppose des compétences et un temps que la majorité des communes de moins de 10 000 habitants n’ont pas en interne. C’est ce vide que MonServiceSécurisé comble, en substituant au dossier rédigé à la main un parcours guidé qui produit automatiquement les mêmes livrables de fond.
2. À qui s’adresse MonServiceSécurisé
Le service cible en priorité les structures qui doivent homologuer un téléservice mais manquent de moyens internes pour mener une démarche classique, souvent perçue comme lourde et technique :
- Collectivités territoriales (communes, intercommunalités, départements, régions) publiant des téléservices aux usagers.
- Administrations et établissements publics, y compris les opérateurs de petite ou moyenne taille.
- Structures de santé, pour lesquelles l’homologation croise les exigences propres au secteur.
Pour ces structures, MonServiceSécurisé n’est pas une option parmi d’autres : c’est souvent le seul moyen réaliste de satisfaire l’obligation RGS sans recourir à un prestataire externe coûteux pour chaque service numérique mis en ligne.
3. Les étapes de la démarche
| Étape | Contenu | Résultat produit |
|---|---|---|
| 1. Création de compte | Inscription de l’autorité responsable et des contributeurs sur la plateforme | Espace de travail dédié au service |
| 2. Description du service | Périmètre fonctionnel, données traitées, hébergement, utilisateurs | Fiche d’identité du téléservice |
| 3. Auto-évaluation | Questionnaire aligné sur le RGS et le guide d’hygiène ANSSI | Cartographie des risques et écarts identifiés |
| 4. Plan d’action | Génération automatique des mesures à corriger, avec priorités | Feuille de route de sécurisation |
| 5. Suivi des mesures | Mise en œuvre des actions, mise à jour de l’avancement dans l’outil | Dossier d’homologation actualisé |
| 6. Décision d’homologation | Validation formelle par l’autorité responsable | Attestation d’homologation, mise en service possible |
Le questionnaire d’auto-évaluation reprend les grandes catégories du guide d’hygiène informatique de l’ANSSI — connaissance du système, gestion des accès, sécurisation du réseau, supervision — ce qui permet à une collectivité ayant déjà engagé une mise en œuvre priorisée des 42 mesures de réutiliser directement ce travail dans son dossier d’homologation.
4. Ce que l’outil ne remplace pas
MonServiceSécurisé outille la démarche, il ne se substitue pas à la décision. La responsabilité de l’homologation reste, in fine, celle de l’autorité administrative — maire, président d’intercommunalité, directeur d’établissement — qui doit examiner le dossier généré et prononcer formellement la décision, en toute connaissance des risques résiduels. L’outil réduit le travail d’instruction et de mise en forme, pas l’engagement de responsabilité. Pour les services les plus sensibles ou les plus complexes, un accompagnement complémentaire par un prestataire qualifié peut rester utile, notamment lorsque le plan d’action fait apparaître des écarts structurants.
5. Articulation avec NIS2 et le RGPD
L’intérêt de MonServiceSécurisé dépasse la seule obligation RGS. Pour les collectivités entrant dans le périmètre de NIS2, la démarche d’homologation produit une bonne partie de la cartographie des risques et des mesures de sécurité déjà attendues par la directive — un chevauchement qui évite de dupliquer le travail. Côté RGPD, l’auto-évaluation et le plan d’action alimentent directement la démonstration de conformité à l’article 32 du RGPD, qui impose des mesures techniques et organisationnelles appropriées à la sécurité des traitements. Une collectivité qui homologue son téléservice via MonServiceSécurisé dispose ainsi d’un socle documentaire réutilisable pour trois obligations distinctes : RGS, NIS2 et RGPD.
Reste que l’homologation d’un téléservice n’épuise pas la conformité RGPD : elle ne couvre pas le registre des traitements, les analyses d’impact ni les durées de conservation. Legiscope permet aux collectivités de centraliser cette partie complémentaire — registre, AIPD, sous-traitants — en s’appuyant sur la cartographie de sécurité déjà produite par la démarche d’homologation.
6. Erreurs courantes à éviter
- Attendre un contrôle ou un incident pour lancer la démarche, alors que l’homologation doit précéder la mise en service du téléservice, pas la suivre.
- Traiter le plan d’action comme une simple formalité : chaque mesure identifiée comme un écart doit être corrigée ou faire l’objet d’un risque résiduel explicitement accepté par l’autorité, pas ignorée.
- Faire homologuer le service par un agent technique sans validation de l’autorité responsable : la décision engage juridiquement le maire ou le directeur d’établissement, pas le webmestre ou le DSI.
- Considérer l’homologation comme définitive : une évolution significative du service (nouvelle fonctionnalité, changement d’hébergeur, ouverture à de nouvelles données) impose de réexaminer, voire de renouveler, la décision.
- Dupliquer le travail entre l’auto-évaluation MonServiceSécurisé et une démarche RGPD ou NIS2 menée séparément, alors que les deux peuvent s’appuyer sur la même cartographie des risques.
FAQ
MonServiceSécurisé est-il vraiment gratuit ?
Oui. C’est un service en ligne mis à disposition gratuitement par l’ANSSI, sans coût de licence ni d’abonnement, ce qui en fait une option accessible pour des collectivités de petite taille qui n’ont pas de budget dédié à un accompagnement externe pour chaque homologation.
Une commune est-elle obligée d’utiliser MonServiceSécurisé pour homologuer un téléservice ?
Non, l’outil n’est pas la seule voie possible : une collectivité peut mener une homologation “classique” selon la méthodologie ANSSI. Mais MonServiceSécurisé simplifie fortement la démarche en générant automatiquement le plan d’action et les documents du dossier à partir du questionnaire d’auto-évaluation, ce qui en fait l’option la plus réaliste pour les structures sans RSSI dédié.
Qui prend la décision finale d’homologation ?
L’autorité administrative responsable du service — maire, président d’intercommunalité, directeur d’établissement selon les cas. MonServiceSécurisé instruit le dossier et objective les risques, mais la décision d’homologation, avec l’engagement de responsabilité qu’elle implique, reste un acte propre de l’autorité, pas une validation automatique de l’outil.
L’homologation via MonServiceSécurisé suffit-elle pour être conforme à NIS2 ?
Non, mais elle en couvre une partie substantielle côté cartographie des risques et mesures techniques. Une entité soumise à NIS2 doit aussi traiter la gouvernance, la gestion des incidents et la sécurité de la chaîne d’approvisionnement — voir notre guide sur les obligations NIS2 des collectivités territoriales pour le périmètre complet.
Combien de temps prend une homologation sur MonServiceSécurisé ?
Il n’existe pas de durée réglementaire fixe : elle dépend du nombre d’écarts identifiés par l’auto-évaluation et de la capacité de la structure à mettre en œuvre le plan d’action. Pour un téléservice simple déjà correctement sécurisé, la description du service et le questionnaire peuvent être bouclés en quelques jours ; la partie qui prend réellement du temps est la correction des écarts (mise à jour, durcissement, MFA) avant que l’autorité ne puisse prononcer sa décision en connaissance de cause.
Conclusion
MonServiceSécurisé transforme une obligation réglementaire souvent ignorée — l’homologation de sécurité RGS — en démarche outillée et accessible, y compris pour les collectivités sans ressource cybersécurité dédiée. En 2026, l’absence d’homologation d’un téléservice n’est plus seulement un risque juridique théorique : c’est un écart facilement identifiable lors d’un contrôle, et un socle manquant pour la conformité NIS2 et RGPD qui s’appuient sur les mêmes mesures de sécurité. Le bon réflexe pour toute collectivité qui met en ligne un nouveau service : passer par MonServiceSécurisé avant la mise en service, pas après un incident.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial