Le référentiel général de sécurité (RGS)

Le référentiel général de sécurité vise à limiter la fraude liée à l'usage des services numériques de l'Administration.

Publié le 18 Août 2022 Mis à jour le 28 Novembre 2023
Corps

L’ordonnance no 2005-1516 dite « ordonnance RGS » définit des fonctions de sécurité telles que l’identification électronique, la confidentialité, la signature électronique ou encore l’horodatage électronique.

Le référentiel général de sécurité (RGS), pris en application de cette ordonnance, vise à instaurer la confiance numérique dans les échanges électroniques.

Cette confiance numérique s'appuie sur la sécurisation des systèmes d’information mis en œuvre par les autorités administratives dans leurs relations entre elles et avec les usagers, le RGS contient essentiellement deux grandes familles d’exigences :

  • La première obligation et la plus importante est celle de conduire une homologation de sécurité : débutant par une analyse de risques, l’homologation   permet de déterminer les besoins de sécurisation spécifiques au système étudié et d’en déduire les mesures nécessaires et suffisantes pour y répondre ;
  • Sur la base de cette analyse de risques et en cas de recours à une ou plusieurs des fonctions de sécurité listées ci-dessus, l’autorité administrative définit le niveau de sécurité à viser et met en œuvre des services conformes aux exigences du RGS. Le recours à un service qualifié au titre du RGS vaut présomption de conformité au RGS pour le niveau de qualification visé.

À qui s’adresse cette réglementation ?

Le RGS s'applique aux autorités administratives, définies dans l'ordonnance et visant :

  1. les administrations de l'État ;
  2. les collectivités territoriales ;
  3. les établissements publics à caractère administratif ;
  4. les organismes gérant des régimes de protection sociale ;
  5. les autres organismes chargés de la gestion d'un service public administratif ;
  6. les commissions de coordination des actions de prévention des expulsions locatives.

Le référentiel général de sécurité s’adresse également aux organismes publics et privés qui fournissent des produits ou des services de confiance. Il détaille les normes et exigences à appliquer ;

Le référentiel s’adresse enfin aux organismes chargés de la qualification des produits et services de confiance. Pour les produits, c’est actuellement l’ANSSI qui délivre les qualifications et pour les services de confiance, c’est un organisme privé accrédité par le COFRAC et habilité par l’ANSSI, LSTI.  

De façon générale, pour tout autre organisme souhaitant organiser la gestion de la sécurisation de ses systèmes d’information et de ses échanges électroniques, le référentiel général de sécurité se présente comme un guide de bonnes pratiques conformes à l’état de l’art.

Quelles sont ses principales dispositions ?

Le référentiel général de sécurité :

  1. Fixe une liste d’exigences et de recommandations pour les autorités administratives :
    • Des exigences de suivre une démarche en cinq étapes comprenant une démarche d’homologation de sécurité (chapitres 1 et 2)
    • Des recommandations relatives à la méthodologie, aux procédures et à l’organisation de la sécurité des systèmes d’information (chapitre 7)
    • Les règles et les recommandations de sécurité pour les téléservices nécessitant l’emploi de certificats électroniques (annexe A1)
    • Des règles et recommandations relatives à la cryptographie et à la protection des échanges électroniques (chapitres 3 et 4 et annexes B1 à B3)
  2. Fixe une liste d’exigences relatives à la mise en œuvre de service de confiance dans le domaine de l'identification électronique, de la signature ou du cachet électronique, de l’horodatage électronique et de l’audit de sécurité des systèmes d’information (chapitre 5 et annexes A2 à A5 et annexe C)

Pour se mettre en conformité avec ces exigences, les autorités administratives peuvent recourir à des prestataires de services de confiance qualifiés par un organisme de qualification habilité par l'ANSSI.

Quel est le rôle de l’ANSSI ?

L’ANSSI, en co-construction avec la Direction interministérielle du numérique, est responsable du maintien à jour des exigences du référentiel général de sécurité.

L’ANSSI accompagne les autorités administratives dans l’application du RGS en leur fournissant des outils de compréhension des exigences et publie des guides explicatifs ; Elle peut également être contactée via l’adresse rgs@ssi.gouv.fr pour tout besoin de complément d’information.

L’ANSSI habilite les organismes chargés de la qualification des services de confiance.

L'ANSSI qualifie les produits de sécurité

Pour aller plus loin

1. Références réglementaires

Références Lien
Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. legifrance.gouv.fr
Décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives legifrance.gouv.fr
Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques legifrance.gouv.fr
Arrêté du 10 juin 2015 prorogeant les délais de mise en œuvre du référentiel général de sécurité legifrance.gouv.fr
Liste des documents constitutifs du RGS Page dédiée aux corpus documentaires relatifs au RGS

2. Renvoi aux contenus connexes

Références Lien
La qualification des produits et services de confiance Page dédiée à la qualification des produits et services de confiance
La liste des services de confiance qualifiés au titre du RGS Liste des services de confiance qualifiés par LSTI

Le référentiel général de sécurité version 2.0 : les documents