Référentiel général de sécurité

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher

Le référentiel général de sécurité (RGS) est prévu par l’ordonnance no 2005-1516 du relative aux échanges électroniques entre les usagers et les autorités administratives. Ses conditions d’élaboration, d’approbation, de modification et de publication sont fixées par le décret no 2010-112 du pris pour l’application des articles 9, 10 et 12 de l’ordonnance citée relatif à la sécurité des informations échangées par voie électronique.

Présentation[modifier | modifier le code]

La version 2.0 du RGS est en vigueur et a été rendue officielle par arrêté du Premier ministre en date du 13 juin 2014. Cette version remplace celle du 6 mai 2010. Celle-ci est le résultat d’un travail conjoint entre la Direction générale de la modernisation de l'État (DGME) et l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Ce référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage. Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable. En complément à ces règles, le RGS contient des bonnes pratiques en matière de sécurité des systèmes d'information (SSI), afin de guider les autorités administratives et les prestataires de services qui les assistent dans les choix qui se présentent à eux en matière de SSI. Le RGS apporte également des éclairages nécessaires sur la marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier concernant l'analyse de risques et l'homologation de sécurité d'un système d'information.

Référencement et qualification RGS[modifier | modifier le code]

L'objectif du référencement RGS est de faciliter les échanges électroniques sécurisés entre les usagers et les autorités administratives mais aussi entre autorités administratives par la mise à disposition d'un catalogue de solutions de sécurité référencées interopérables.

Conformément au décret n°2010-112 du 2 février 2010 (dit « décret RGS »), le référencement est réalisé sous le pilotage de la DGME et inclut une étape préalable obligatoire de qualification du produit ou service de sécurité visé par l'ANSSI [1] . Cette qualification atteste de sa conformité à un niveau de sécurité du RGS.

Dans le cadre de leur migration vers le référentiel RGS (remplaçant la Politique de Référencement Intersectorielle de Sécurité, PRIS[2], obsolète d’ici mai 2013), les agents des autorités administratives ont obligation d'utiliser des solutions et produits référencés pour leurs systèmes d'information.

Ainsi, les sociétés référençant leurs produits seront à même de proposer leurs services et produits pour les plates-formes de l'État mais aussi aux particuliers et entreprises souhaitant se connecter à ces plates-formes.

À terme, un environnement interopérable de confiance est ainsi créé avec un ensemble de solutions du marché référencées pour utilisation par les autorités administratives.

Depuis juillet 2012, seule l'entreprise Dhimyotis est référencée.

Procédure de référencement[modifier | modifier le code]

Le référencement est une opération réalisée sous la responsabilité de la DGME. Il vise à attester du bon fonctionnement d’un produit ou d’une offre de services de sécurité avec les systèmes d’information des autorités administratives. Il est réalisé sur la base d’un cahier des charges qui précise les règles d’interopérabilité à respecter[3].

La demande de référencement est un acte volontaire du fournisseur de produits ou services ou du prestataire de services de confiance (PSCO). Elle est faite en rapport à une fonction de sécurité (authentification, signature, etc.) et un niveau de sécurité, identifié par un nombre de une à trois étoiles (*, ** ou ***), et défini tels que décrits dans le RGS.

Seuls les produits et offres préalablement qualifiés par l’ANSSI peuvent faire l’objet d’un référencement.

Le référencement est prononcé après vérification du respect des règles contenues dans le cahier des charges pour le référencement des produits de sécurité ou d’offres de prestataires de services de confiance[3]. Ce document officiel a été approuvé par l’arrêté du 18 janvier 2012 signé pour la Ministre et par délégation par le directeur général de la modernisation de l’État, lui conférant ainsi une valeur réglementaire[3].

Les grandes dates[modifier | modifier le code]

  • 13 juin 2014 : publication du Référentiel Général de Sécurité Version 2.0
  • 2 mai 2012 : habilitation du premier organisme évaluateur pour le référencement de produits de sécurité ou d’offres de prestataires de services de confiance (PSCo)
  • 29 février 2012 : mise à jour de la procédure d’habilitation (v 1.1) et du recueil d’exigences (v 1.1) pour l’habilitation des organismes évaluateurs pour le référencement selon l’ordonnance n° 2005-1516
  • 21 février 2012 : publication de l'arrêté relatif au référencement de produits de sécurité ou d'offres de PSCo du 18 janvier 2012 au Journal Officiel
  • 18 mai 2010 : publication de l'arrêté RGS du 6 mai 2010 au Journal Officiel
  • 6 mai 2010 : publication du Référentiel Général de Sécurité
  • 4 février 2010 : publication du décret RGS n°2010-112 du 2 février 2010 au Journal Officiel
  • 8 décembre 2005 : publication de l’ordonnance n°2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives


Type de de certificats RGS[modifier | modifier le code]

Il existe 3 types de certificats RGS:

  • Certificats RGS * : Tous les certificats électroniques référencés d'une étoile ont pour pour protection tous les risques de niveau moyen) de tentatives d'usurpation d'identité pour falsifier la signature des documents. La vérification de l'identité du porteur se fait par un contrôle visuel des dossiers papiers ou électroniques.
  • Certificats RGS ** : Tous les certificats électroniques référencés de deux étoiles ont pour pour protection tous les risques de niveau fort) de tentatives d'usurpation d'identité pour falsifier la signature des documents. La vérification de l'identité du porteur se fait par la vérification des pièces d'identités originales du porteur et du représentant légal, le code SIREN, les documents justifiants les coordonnées de l'entreprise, en face à face avec le porteur.
  • Certificats RGS *** : Ce certificat regroupe toutes les conditions des certificats RGS précédents (de type 1 et 2 étoiles) et dont le niveau de risque de tentatives d'usurpations d'identité et de falsification de documents est très fort.

Le niveau du certificat correspond au niveau de sécurité qu'il peut offrir au client.

Usage[modifier | modifier le code]

L'utilisation des certificats se fait dans un contexte dans lequel le client souhaiterait échanger des informations confidentiels de façon sécurisée avec une structure spécialisée. En effet, par le biais de cette méthode, les documents scripturales seront dématérialisés mais auront la même valeur juridique qu'en papier. Ces certificats sont délivrés dans une clé cryptographique dans laquelle contient la signature électronique du client qu'il pourra utiliser et apposer sur tous les documents numériques.

Les secteurs utilisant les certificats RGS[modifier | modifier le code]

Voici une liste non-exhaustive des secteurs utilisant la signature électronique:

  • La banque
  • Les assurances
  • La justice
  • Le commerce
  • L'éducation
  • La santé
  • Les marchés publics

Procédure de mise en service d'un certificat RGS[modifier | modifier le code]

Pour une confidentialité absolue et une sécurité optimale, il existe une procédure mise en place par l'entreprise émettrice de clé pour délivrer la clé au client. En effet, cette procédure, pouvant varier d'une société à l'autre mais qui sont semblables dans l'ensemble, regroupe l'essentiel du processus et dont les acteurs devront respecter scrupuleusement. Les acteurs concernés sont les suivantes:

  • La société émettrice : Au sein même de la structure, la demande d'émission de clé devra être passée par 2 personnes
    • Un opérateur de saisie : Cette personne devra réceptionner les documents de la demande, les vérifier de leurs authenticités et la véracité de ces derniers, puis les enregistrer dans la base de données. Il devra également signaler tout erreur dans la demande ou toute tentative d'usurpation, de falsification de documents.
    • Un vérificateur : Cette personne devra vérifier de nouveau ce que l'opérateur à saisie et effectuer. Si les documents sont conformes et valides, il lance la procédure de fabrication de clé.
  • L'opérateur intermédiaire : En règles générales, la demande de clé se fait par une autorité représentative du client. Par mesure de sécurité et de traçabilité, le client ne peut s'adresser à la société émettrice de produire un certificat. De même, la société ne peut pas délivrer la clé cryptographique au client final. Néanmoins, le code d'activation de la clé sera envoyé au client final.
  • Le client : Il s'agit du demandeur qui recevra la clé cryptographique par l'intermédiaire d'une société représentative.

Notes et références[modifier | modifier le code]

Références[modifier | modifier le code]

Sources[modifier | modifier le code]

Liens externes[modifier | modifier le code]