Le référentiel général de sécurité version 2.0

L’ordonnance no 2005-1516 dite « ordonnance RGS » définit des fonctions de sécurité telles que l’identification électronique, la confidentialité, la signature électronique ou encore l’horodatage électronique.

Le référentiel général de sécurité (RGS), pris en application de cette ordonnance, vise à instaurer la confiance numérique dans les échanges électroniques.

Cette confiance numérique s'appuie sur la sécurisation des systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et avec les usagers, le RGS contient essentiellement deux grandes familles d’exigences :

• La première obligation et la plus importante est celle de conduire une homologation de sécurité : débutant par une analyse de risques, l’homologation   permet de déterminer les besoins de sécurisation spécifiques au système étudié et d’en déduire les mesures nécessaires et suffisantes pour y répondre ;
• Sur la base de cette analyse de risques et en cas de recours à une ou plusieurs des fonctions de sécurité listées ci-dessus, l’autorité administrative définit le niveau de sécurité à viser et met en œuvre des services conformes aux exigences du RGS. Le recours à un service qualifié au titre du RGS vaut présomption de conformité au RGS pour le niveau de qualification visé.

À qui s’adresse cette réglementation ?

Le RGS s'applique aux autorités administratives, définies dans l'ordonnance et visant :

1. les administrations de l'État ;
2. les collectivités territoriales ;
3. les établissements publics à caractère administratif ;
4. les organismes gérant des régimes de protection sociale ;
5. les autres organismes chargés de la gestion d'un service public administratif ;
6. les commissions de coordination des actions de prévention des expulsions locatives.

Le référentiel général de sécurité s’adresse également aux organismes publics et privés qui fournissent des produits ou des services de confiance. Il détaille les normes et exigences à appliquer ;

Le référentiel s’adresse enfin aux organismes chargés de la qualification des produits et services de confiance. Pour les produits, c’est actuellement l’ANSSI qui délivre les qualifications et pour les services de confiance, c’est un organisme privé accrédité par le COFRAC et habilité par l’ANSSI, LSTI.  

De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.

Quelles sont ses principales dispositions ?

Le référentiel général de sécurité :

1. Fixe une liste d’exigences et de recommandations pour les autorités administratives :
   • Des exigences de suivre une démarche en cinq étapes comprenant une démarche d’homologation de sécurité (chapitres 1 et 2)
   • Des recommandations relatives à la méthodologie, aux procédures et à l’organisation de la sécurité des systèmes d’information (chapitre 7)
   • Les règles et les recommandations de sécurité pour les téléservices nécessitant l’emploi de certificats électroniques (annexe A1)
   • Des règles et des recommandations relatives à la cryptographie et à la protection des échanges électroniques (chapitres 3 et 4 et annexes B1 à B3)
2. Fixe une liste d’exigences relatives à la mise en œuvre de service de confiance dans le domaine de l'identification électronique, de la signature ou du cachet électronique, de l’horodatage électronique et de l’audit de sécurité des systèmes d’information (chapitre 5 et annexes A2 à A5 et annexe C)

Pour se mettre en conformité avec ces exigences, les autorités administratives peuvent recourir à des prestataires de services de confiance qualifiés par un organisme de qualification habilité par l'ANSSI.

Source : ANSSI