Référentiel général de sécurité

La version 2.0 du RGS est en vigueur et a été rendue officielle par arrêté du Premier ministre en date du 13 juin 2014. Cette version remplace celle du 6 mai 2010. Celle-ci est le résultat d’un travail conjoint entre la Direction générale de la modernisation de l'État (DGME) et l’Agence nationale de la sécurité des systèmes d'information (ANSSI).

Ce référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage. Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable. En complément à ces règles, le RGS contient des bonnes pratiques en matière de sécurité des systèmes d'information (SSI), afin de guider les autorités administratives et les prestataires de services qui les assistent dans les choix qui se présentent à eux en matière de SSI. Le RGS apporte également des éclairages nécessaires sur la marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier concernant l'analyse de risques et l'homologation de sécurité d'un système d'information.

L'objectif du référencement RGS est de faciliter les échanges électroniques sécurisés entre les usagers et les autorités administratives mais aussi entre autorités administratives par la mise à disposition d'un catalogue de solutions de sécurité référencées interopérables.

Conformément au décret n°2010-112 du 2 février 2010 (dit « décret RGS »), le référencement est réalisé sous le pilotage de la DGME et inclut une étape préalable obligatoire de qualification du produit ou service de sécurité visé par l'ANSSI [1]. Cette qualification atteste de sa conformité à un niveau de sécurité du RGS.

Dans le cadre de leur migration vers le référentiel RGS (remplaçant la Politique de Référencement Intersectorielle de Sécurité, PRIS[2], obsolète d’ici mai 2013), les agents des autorités administratives ont obligation d'utiliser des solutions et produits référencés pour leurs systèmes d'information.

Ainsi, les sociétés référençant leurs produits seront à même de proposer leurs services et produits pour les plates-formes de l'État mais aussi aux particuliers et entreprises souhaitant se connecter à ces plates-formes.

À terme, un environnement interopérable de confiance est ainsi créé avec un ensemble de solutions du marché référencées pour utilisation par les autorités administratives.

Depuis juillet 2012, seule l'entreprise Dhimyotis est référencée.

Le référencement est une opération réalisée sous la responsabilité de la DGME. Il vise à attester du bon fonctionnement d’un produit ou d’une offre de services de sécurité avec les systèmes d’information des autorités administratives. Il est réalisé sur la base d’un cahier des charges qui précise les règles d’interopérabilité à respecter[3].

La demande de référencement est un acte volontaire du fournisseur de produits ou services ou du prestataire de services de confiance (PSCO). Elle est faite en rapport à une fonction de sécurité (authentification, signature, etc.) et un niveau de sécurité, identifié par un nombre de une à trois étoiles (*, ** ou ***), et défini tels que décrits dans le RGS.

Seuls les produits et offres préalablement qualifiés par l’ANSSI peuvent faire l’objet d’un référencement.

Le référencement est prononcé après vérification du respect des règles contenues dans le cahier des charges pour le référencement des produits de sécurité ou d’offres de prestataires de services de confiance[3]. Ce document officiel a été approuvé par l’arrêté du 18 janvier 2012 signé pour la Ministre et par délégation par le directeur général de la modernisation de l’État, lui conférant ainsi une valeur réglementaire[3].

• 13 juin 2014 : publication du Référentiel Général de Sécurité Version 2.0

• 2 mai 2012 : habilitation du premier organisme évaluateur pour le référencement de produits de sécurité ou d’offres de prestataires de services de confiance (PSCo)
• 29 février 2012 : mise à jour de la procédure d’habilitation (v 1.1) et du recueil d’exigences (v 1.1) pour l’habilitation des organismes évaluateurs pour le référencement selon l’ordonnance n° 2005-1516
• 21 février 2012 : publication de l'arrêté relatif au référencement de produits de sécurité ou d'offres de PSCo du 18 janvier 2012 au Journal Officiel
• 18 mai 2010 : publication de l'arrêté RGS du 6 mai 2010 au Journal Officiel
• 6 mai 2010 : publication du Référentiel Général de Sécurité
• 4 février 2010 : publication du décret RGS n°2010-112 du 2 février 2010 au Journal Officiel
• 8 décembre 2005 : publication de l’ordonnance n°2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives

Il existe 3 types de certificats RGS:

• Certificat RGS * : Le dispositif de protection des éléments secrets doit être qualifié au minimum au niveau élémentaire, selon le processus décrit dans le RGS, et être conforme aux exigences de sécurité devant s'appliquer au dispositif de protection des éléments secrets d’un service applicatif. Il est toutefois recommandé d’utiliser un tel dispositif qualifié au niveau standard.
• Certificat RGS ** : Le dispositif de protection des éléments secrets doit être qualifié au minimum au niveau standard, selon le processus décrit dans le RGS, et être conforme aux exigences de sécurité comme précédemment. Il est toutefois recommandé d’utiliser un dispositif de protection éléments secrets qualifié au niveau renforcé.
• Certificat RGS *** : Le dispositif de protection des éléments secrets doit être qualifié au niveau renforcé, selon le processus décrit dans le RGS, et être conforme aux exigences comme précédemment.

Le niveau du certificat correspond au niveau de sécurité qu'il peut offrir au client.

L'utilisation des certificats se fait dans un contexte dans lequel le client souhaiterait échanger des informations confidentielles de façon sécurisée avec une structure spécialisée. En effet, par le biais de cette méthode, les documents physiques seront dématérialisés mais auront la même valeur juridique qu'en papier. Ces certificats sont délivrés dans une clé cryptographique qui contient la signature électronique du client qu'il pourra utiliser et apposer sur tous les documents numériques.

Voici une liste non exhaustive des secteurs utilisant la signature électronique :

• La banque
• Les assurances
• La justice
• Le commerce
• L'éducation
• La santé
• Les marchés publics

Pour une confidentialité absolue et une sécurité optimale, il existe une procédure mise en place par l'entreprise émettrice de clé pour délivrer la clé au client. En effet, cette procédure, pouvant varier d'une société à l'autre mais qui sont semblables dans l'ensemble, regroupe l'essentiel du processus et dont les acteurs devront respecter scrupuleusement. Les acteurs concernés sont les suivantes:

• La société émettrice : Au sein même de la structure, la demande d'émission de clé devra être passée par 2 personnes
  • Un opérateur de saisie : Cette personne devra réceptionner les documents de la demande, les vérifier de leurs authenticités et la véracité de ces derniers, puis les enregistrer dans la base de données. Il devra également signaler toute erreur dans la demande ou toute tentative d'usurpation, de falsification de documents.
  • Un vérificateur : Cette personne devra vérifier de nouveau ce que l'opérateur a saisi et effectué. Si les documents sont conformes et valides, il lance la procédure de fabrication de clé.
• L'opérateur intermédiaire : En règles générales, la demande de clé se fait par une autorité représentative du client. Par mesure de sécurité et de traçabilité, le client ne peut s'adresser à la société émettrice de produire un certificat. De même, la société ne peut pas délivrer la clé cryptographique au client final. Néanmoins, le code d'activation de la clé sera envoyé au client final.
• Le client : Il s'agit du demandeur qui recevra la clé cryptographique par l'intermédiaire d'une société représentative.

• Autorité de certification