Le Référentiel général de sécurité (RGS), a pour objet le renforcement de la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives et s’impose ainsi à elles comme un cadre contraignant tout en étant adaptable et adapté aux enjeux et besoins de tout type d’autorité administrative.
consulter les liens de la colonne « A voir aussi »
Le référentiel général de sécurité est pris en application du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives.
Dans le cadre du développement des téléservices et des échanges électroniques entre l’administration et les usagers, les autorités administratives doivent garantir la sécurité de leurs systèmes d’information en charge de la mise en œuvre de ces services.
La version initiale du RGS (v.1.0) a été rendue officielle par arrêté du Premier ministre en date du 6 mai 2010. Une version 2.0 a été publiée par arrêté du Premier ministre du 13 juin 2014. Ses mesures de transitions ont été étendues par arrêté du Premier ministre du 10 juin 2015. Elle est applicable depuis le 1er juillet 2014.
La version 2.0 du RGS constitue un référentiel de transition entre une première version liée à la mise en œuvre de l’administration électronique et une troisième version qui se fondera sur la réglementation européenne en cours d’évolution.
Le Référentiel général de sécurité s’impose spécifiquement aux systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et dans leurs relations avec les usagers (il s’agit de téléservices tels le paiement de contraventions auprès de l’Administration).
Indirectement, le Référentiel général de sécurité s’adresse à l’ensemble des prestataires de services qui assistent les autorités administratives dans la sécurisation des échanges électroniques qu’elles mettent en œuvre, ainsi qu’aux industriels dont l’activité est de proposer des produits de sécurité.
De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le Référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.
Le référentiel général de sécurité propose :
D’une part une méthodologie orientée autour de la responsabilisation des autorités vis-à-vis de leurs systèmes d’information à travers la démarche d’homologation ;
D’autre part des règles et bonnes pratiques que doivent mettre en œuvre les administrations lorsqu’elles recourent à des prestations spécifiques : certification et horodatage électroniques, audit de sécurité.
Il comprend les règles permettant aux autorités administratives de garantir aux citoyens et aux autres administrations un niveau de sécurité de leurs systèmes d’information adapté aux enjeux et risques liés à la cybersécurité.
Il intègre les principes et règles liées à :
– la description des étapes de la mise en conformité ;
– la cryptologie et à la protection des échanges électroniques ;
– la gestion des accusés d’enregistrement et des accusés de réception ;
– la qualification des produits de sécurité et des prestataires de services de confiance ;
– la validation des certificats par l’État.
Les versions 1.0 et 2.0 du RGS s’appliquent aux autorités administratives de manière concomitante en application des mesures de transitions suivantes :
– les certificats électroniques et les contremarques de temps conformes aux annexes de la version 1.0 du RGS pourront continuer à être émis jusqu’au 30 juin 2016 ;
– les autorités administratives devront accepter ces certificats électroniques et ces contremarques de temps pendant leur durée de vie, avec un maximum de trois ans ;
– les autorités administratives doivent accepter les certificats électroniques et les contremarques de temps conformes aux annexes de la version 2.0 du RGS à compter du 1er juillet 2016.
Les autorités administratives qui doivent homologuer leurs systèmes d’informations peuvent utiliser le guide d’homologation publié par l’ANSSI.
Les autorités administratives qui mettent en œuvre des certificats électroniques ou des contremarques de temps conformes aux annexes de la version 1.0 du RGS peuvent se référer aux documents constitutifs du RGS v1.0.