Le Référentiel général de sécurité (RGS)


Le référentiel général de sécurité (RGS) est le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens.

Le Référentiel général de sécurité (RGS), a pour objet le renforcement de la confiance des usagers dans les services électroniques mis à disposition par les autorités administratives et s’impose ainsi à elles comme un cadre contraignant tout en étant adaptable et adapté aux enjeux et besoins de tout type d’autorité administrative.

Références

consulter les liens de la colonne « A voir aussi »

Contexte

Le référentiel général de sécurité est pris en application du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives.
Dans le cadre du développement des téléservices et des échanges électroniques entre l’administration et les usagers, les autorités administratives doivent garantir la sécurité de leurs systèmes d’information en charge de la mise en œuvre de ces services.

Historique

La version initiale du RGS (v.1.0) a été rendue officielle par arrêté du Premier ministre en date du 6 mai 2010. Une version 2.0 a été publiée par arrêté du Premier ministre du 13 juin 2014. Ses mesures de transitions ont été étendues par arrêté du Premier ministre du 10 juin 2015. Elle est applicable depuis le 1er juillet 2014.
La version 2.0 du RGS constitue un référentiel de transition entre une première version liée à la mise en œuvre de l’administration électronique et une troisième version qui se fondera sur la réglementation européenne en cours d’évolution.

Champ d’application et destinataires

Le Référentiel général de sécurité s’impose spécifiquement aux systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et dans leurs relations avec les usagers (il s’agit de téléservices tels le paiement de contraventions auprès de l’Administration).
Indirectement, le Référentiel général de sécurité s’adresse à l’ensemble des prestataires de services qui assistent les autorités administratives dans la sécurisation des échanges électroniques qu’elles mettent en œuvre, ainsi qu’aux industriels dont l’activité est de proposer des produits de sécurité.
De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le Référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.

Contenu

Le référentiel général de sécurité propose :

  • D’une part une méthodologie orientée autour de la responsabilisation des autorités vis-à-vis de leurs systèmes d’information à travers la démarche d’homologation ;

  • D’autre part des règles et bonnes pratiques que doivent mettre en œuvre les administrations lorsqu’elles recourent à des prestations spécifiques : certification et horodatage électroniques, audit de sécurité.

Il comprend les règles permettant aux autorités administratives de garantir aux citoyens et aux autres administrations un niveau de sécurité de leurs systèmes d’information adapté aux enjeux et risques liés à la cybersécurité.

Il intègre les principes et règles liées à :
– la description des étapes de la mise en conformité ;
– la cryptologie et à la protection des échanges électroniques ;
– la gestion des accusés d’enregistrement et des accusés de réception ;
– la qualification des produits de sécurité et des prestataires de services de confiance ;
– la validation des certificats par l’État.

Application

Les versions 1.0 et 2.0 du RGS s’appliquent aux autorités administratives de manière concomitante en application des mesures de transitions suivantes :
– les certificats électroniques et les contremarques de temps conformes aux annexes de la version 1.0 du RGS pourront continuer à être émis jusqu’au 30 juin 2016 ;
– les autorités administratives devront accepter ces certificats électroniques et ces contremarques de temps pendant leur durée de vie, avec un maximum de trois ans ;
– les autorités administratives doivent accepter les certificats électroniques et les contremarques de temps conformes aux annexes de la version 2.0 du RGS à compter du 1er juillet 2016.
Les autorités administratives qui doivent homologuer leurs systèmes d’informations peuvent utiliser le guide d’homologation publié par l’ANSSI.
Les autorités administratives qui mettent en œuvre des certificats électroniques ou des contremarques de temps conformes aux annexes de la version 1.0 du RGS peuvent se référer aux documents constitutifs du RGS v1.0.

Fonds documentaire (recommandations, autres textes, FAQ)

Ordonnance 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives
Décret 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives
Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques
Arrêté du 10 juin 2015 prorogeant les délais de mise en œuvre du référentiel général de sécurité
Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques (abrogé)