Dispenses d'homologation de sécurité pour les systèmes d'information et de communication de l'État

Secteur Public / Administration Standard Publié le 17/09/2025

En Bref

Les autorités qualifiées en sécurité des systèmes d'information de l'État doivent appliquer les conditions de dispense d'homologation pour les systèmes d'information de l'État et tenir à jour un registre des systèmes bénéficiant de ces dispenses.

Décryptage de la Réglementation

Entrée en vigueur : 18 septembre 2025 (lendemain de la publication au JO).

👥 Public concerné

  • Administrations publiques
  • Responsables de la sécurité des systèmes d’information (RSSI)
  • Directions numériques des ministères et établissements publics

🎯 Objectif

Définir les cas où une dispense temporaire d’homologation de sécurité est possible pour des infrastructures ou services logiciels de l’État, afin de simplifier et d’accélérer certaines mises en œuvre techniques.

📌 Principales dispenses prévues

Une homologation n’est pas exigée immédiatement dans les situations suivantes :

  1. Mises à jour ou évolutions mineures sans impact sur le niveau de risque.
  2. Modifications urgentes ou sécuritaires (ex. : patch critique) → homologation à réaliser sous 6 mois si la validité initiale est remise en cause.
  3. Créations sous contrainte d’urgence sécuritaire → homologation sous 6 mois après mise en production.
  4. Services expérimentaux limités en usage, sans impact majeur en cas d’attaque → homologation requise si passage en production.
  5. Services à impact négligeable et pouvant être arrêtés immédiatement sans conséquence majeure.
  6. Services qualifiés par l’ANSSI (ou équivalent européen) répondant aux besoins métier et sécurité.
  7. Services de croisement de données non sensibles, réalisés sans interconnexion avec des systèmes en production et pour un nombre limité d’agents.
  8. Instanciations internes d’infrastructures déjà homologuées, avec mesures de sécurité équivalentes.
  9. Changement d’autorité d’homologation en cours de validité → pas de nouvelle homologation immédiate.

📒 Obligations des administrations

  • Registre obligatoire : l’autorité qualifiée en SSI doit tenir un registre à jour des dispenses accordées.
  • Transmission annuelle : ce registre est communiqué chaque année (et à la demande) au haut fonctionnaire de défense et de sécurité et au FSSI compétent.

✅ Actionnables pour les entreprises publiques et services concernés

  • Vérifier si vos projets ou évolutions entrent dans l’une des 9 catégories de dispenses.
  • En cas de recours à une dispense :
    • Documenter la décision et l’inscrire au registre officiel.
    • Préparer une homologation différée (délai max. 6 mois après mise en production dans certains cas).
  • Mobiliser vos équipes SSI pour anticiper la transition entre phase expérimentale → production.
  • Prioriser l’usage de solutions déjà qualifiées ANSSI ou équivalentes européennes pour bénéficier de la dispense.

Références et Informations Officielles

  • Référence du texte : Arrêté du 31 juillet 2025 relatif aux dispenses d'homologation de sécurité des infrastructures et services logiciels informatiques qui composent le système d'information et de communication de l'Etat
  • Source officielle : Consulter sur Légifrance
  • Date de publication (source) : 17/09/2025
  • Dernière mise à jour (site) : 17/09/2025