- Référentiel général de sécurité
-
Sommaire
Présentation
Le référentiel général de sécurité (RGS) est prévu par l’ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ses conditions d’élaboration, d’approbation, de modification et de publication sont fixées par le décret no 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance citée relatif à la sécurité des informations échangées par voie électronique.
La version 1.0 du RGS est en vigueur et a été rendue officielle par arrêté du Premier ministre en date du 6 mai 2010. Celle-ci est le résultat d’un travail conjoint entre la Direction générale de la modernisation de l’État (DGME) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Ce référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage. Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable. En complément à ces règles, le RGS contient des bonnes pratiques en matière de sécurité des systèmes d'information (SSI), afin de guider les autorités administratives et les prestataires de services qui les assistent dans les choix qui se présentent à eux en matière de SSI. Le RGS apporte également des éclairages nécessaires sur la marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier concernant l'analyse de risques et l'homologation de sécurité d'un système d'information.
Référencement et qualification RGS
L'objectif du référencement RGS est de faciliter les échanges électroniques sécurisés entre les usagers et les autorités administratives mais aussi entre autorités administratives par la mise à disposition d'un catalogue de solutions de sécurité référencées interopérables.
Le référencement est réalisé sous le pilotage de la DGME. Ce référencement inclut une étape préalable obligatoire de qualification du produit ou service de sécurité visé par l'ANSSI. Cette qualification atteste de sa conformité à un niveau de sécurité du RGS
Les autorités administratives, dans le cadre de leur migration vers le référentiel RGS, ont obligation d'utiliser des solutions et produits référencés pour leurs systèmes d'information.
Ainsi, les sociétés référençant leurs produits seront à même de proposer leurs services et produits pour les plate-formes de l'État mais aussi aux particuliers et entreprises souhaitant se connecter à ces plate-formes.
À terme, un environnement interopérable de confiance est ainsi créé avec un ensemble de solutions du marché référencées pour utilisation par les autorités administratives.
Procédure de référencement
Le référencement est une opération réalisée sous la responsabilité de la DGME. Il vise à attester du bon fonctionnement d’un produit ou d’une offre de services de sécurité avec les systèmes d’information des autorités administratives. Il est réalisé sur la base d’un cahier des charges qui précise les règles d’interopérabilité à respecter.
La demande de référencement est un acte volontaire du fournisseur de produits ou services ou du Prestataire de Services de COnfiance (PSCO). Elle est faite en rapport à une fonction de sécurité (authentification, signature, etc.) et un niveau de sécurité (*, ** ou ***).
Seuls les produits et offres préalablement qualifiés par l’ANSSI peuvent faire l’objet d’un référencement.
Le référencement est prononcé après vérification du respect des règles contenues dans le cahier des charges pour le référencement des produits de sécurité ou d’offres de prestataires de services de confiance. Ce document est actuellement en version préliminaire (v0.99a) et diffusé à titre d'information. Sa version finale sera approuvée par arrêté du Ministre chargé de la réforme de l’État, lui conférant ainsi une valeur réglementaire. La publication de cet arrêté est prévue pour le deuxième trimestre 2011
Lien externe
- RGS - Référentiel général de sécurité, site ANSSI
- RGS - Référentiel général de sécurité, site DGME
- Référencement RGS, site DGME
Sources
- Ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives).
- Décret no 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
- Arrêté du 6 mai 2010 portant approbation du RGS et précisant les modalités de la mise en œuvre de la procédure de validation des certificats électroniques.
- L'État français se dote d'une autorité de certification racine.
Wikimedia Foundation. 2010.