Le référentiel général de sécurité (RGS) est prévu par l’ordonnance no 2005-1516 du relative aux échanges électroniques entre les usagers et les autorités administratives. Ses conditions d’élaboration, d’approbation, de modification et de publication sont fixées par le décret no 2010-112 du pris pour l’application des articles 9, 10 et 12 de l’ordonnance citée relatifs à la sécurité des informations échangées par voie électronique.
Ce référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage. Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable. En complément à ces règles, le RGS contient des bonnes pratiques en matière de sécurité des systèmes d'information (SSI), afin de guider les autorités administratives et les prestataires de services qui les assistent dans les choix qui se présentent à eux en matière de SSI. Le RGS apporte également des éclairages nécessaires sur la marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier concernant l'analyse de risques et l'homologation de sécurité d'un système d'information.
Référencement et qualification RGS
L'objectif du référencement RGS est de faciliter les échanges électroniques sécurisés entre les usagers et les autorités administratives mais aussi entre autorités administratives par la mise à disposition d'un catalogue de solutions de sécurité référencées interopérables.
Conformément au décret no 2010-112 du (dit « décret RGS »), le référencement est réalisé sous le pilotage de la DGME et inclut une étape préalable obligatoire de qualification du produit ou service de sécurité visé par l'ANSSI[1]. Cette qualification atteste sa conformité à un niveau de sécurité du RGS.
Dans le cadre de leur migration vers le référentiel RGS (remplaçant la Politique de Référencement Intersectorielle de Sécurité, PRIS[2], obsolète d’ici ), les agents des autorités administratives ont obligation d'utiliser des solutions et produits référencés pour leurs systèmes d'information.
Ainsi, les sociétés référençant leurs produits seront à même de proposer leurs services et produits pour les plates-formes de l'État mais aussi aux particuliers et entreprises souhaitant se connecter à ces plates-formes.
À terme, un environnement interopérable de confiance est ainsi créé avec un ensemble de solutions du marché référencées pour utilisation par les autorités administratives.
Depuis , seule l'entreprise Dhimyotis est référencée.
Procédure de référencement
Le référencement est une opération réalisée sous la responsabilité de la DGME. Il vise à attester le bon fonctionnement d’un produit ou d’une offre de services de sécurité avec les systèmes d’information des autorités administratives. Il est réalisé sur la base d’un cahier des charges qui précise les règles d’interopérabilité à respecter[3].
La demande de référencement est un acte volontaire du fournisseur de produits ou services ou du prestataire de services de confiance (PSCO). Elle est faite en rapport à une fonction de sécurité (authentification, signature, etc.) et un niveau de sécurité, identifié par un nombre de une à trois étoiles (*, ** ou ***), et défini tels que décrits dans le RGS.
Seuls les produits et offres préalablement qualifiés par l’ANSSI peuvent faire l’objet d’un référencement.
Le référencement est prononcé après vérification du respect des règles contenues dans le cahier des charges pour le référencement des produits de sécurité ou d’offres de prestataires de services de confiance[3]. Ce document officiel a été approuvé par l’arrêté du signé pour la Ministre et par délégation par le directeur général de la modernisation de l’État, lui conférant ainsi une valeur réglementaire[3].
Grandes dates
: publication de l’ordonnance no 2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives
: publication du décret RGS no 2010-112 du au Journal Officiel
: publication du Référentiel Général de Sécurité
: publication de l'arrêté RGS du au Journal Officiel
: publication de l'arrêté relatif au référencement de produits de sécurité ou d'offres de PSCo du au Journal Officiel
: mise à jour de la procédure d’habilitation (v 1.1) et du recueil d’exigences (v 1.1) pour l’habilitation des organismes évaluateurs pour le référencement selon l’ordonnance no 2005-1516
: habilitation du premier organisme évaluateur pour le référencement de produits de sécurité ou d’offres de prestataires de services de confiance (PSCo)
: publication du Référentiel Général de Sécurité Version 2.0
Type de certificats RGS
Il existe 3 types de certificats RGS:
Certificat RGS * : Le dispositif de protection des éléments secrets doit être qualifié au minimum au niveau élémentaire, selon le processus décrit dans le RGS, et être conforme aux exigences de sécurité devant s'appliquer au dispositif de protection des éléments secrets d’un service applicatif. Il est toutefois recommandé d’utiliser un tel dispositif qualifié au niveau standard.
Certificat RGS ** : Le dispositif de protection des éléments secrets doit être qualifié au minimum au niveau standard, selon le processus décrit dans le RGS, et être conforme aux exigences de sécurité comme précédemment. Il est toutefois recommandé d’utiliser un dispositif de protection éléments secrets qualifié au niveau renforcé.
Certificat RGS *** : Le dispositif de protection des éléments secrets doit être qualifié au niveau renforcé, selon le processus décrit dans le RGS, et être conforme aux exigences comme précédemment.
Le niveau du certificat correspond au niveau de sécurité qu'il peut offrir au client.
Usage
L'utilisation des certificats se fait dans un contexte dans lequel le client souhaiterait échanger des informations confidentielles de façon sécurisée avec une structure spécialisée. En effet, par le biais de cette méthode, les documents physiques seront dématérialisés mais auront la même valeur juridique qu'en papier. Ces certificats sont délivrés dans une clé cryptographique qui contient la signature électronique du client qu'il pourra utiliser et apposer sur tous les documents numériques.
Secteurs utilisant les certificats RGS
Voici une liste non exhaustive des secteurs utilisant la signature électronique :
La banque
Les assurances
La justice
Le commerce
L'éducation
La santé
Les marchés publics
Procédure de mise en service d'un certificat RGS
Pour une confidentialité absolue et une sécurité optimale, il existe une procédure mise en place par l'entreprise émettrice de clé pour délivrer la clé au client. En effet, cette procédure, pouvant varier d'une société à l'autre mais qui sont semblables dans l'ensemble, regroupe l'essentiel du processus et dont les acteurs devront respecter scrupuleusement.
Les acteurs concernés sont les suivantes :
La société émettrice : Au sein même de la structure, la demande d'émission de clé devra être passée par 2 personnes
Un opérateur de saisie : Cette personne devra réceptionner les documents de la demande, les vérifier de leurs authenticités et la véracité de ces derniers, puis les enregistrer dans la base de données. Il devra également signaler toute erreur dans la demande ou toute tentative d'usurpation, de falsification de documents.
Un vérificateur : Cette personne devra vérifier de nouveau ce que l'opérateur a saisi et effectué. Si les documents sont conformes et valides, il lance la procédure de fabrication de clé.
L'opérateur intermédiaire : En règles générales, la demande de clé se fait par une autorité représentative du client. Par mesure de sécurité et de traçabilité, le client ne peut s'adresser à la société émettrice de produire un certificat. De même, la société ne peut pas délivrer la clé cryptographique au client final. Néanmoins, le code d'activation de la clé sera envoyé au client final.
Le client : Il s'agit du demandeur qui recevra la clé cryptographique par l'intermédiaire d'une société représentative.
Ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives)
Décret no 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance no 2005-1516 du relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives
Arrêté du 6 mai 2010 portant approbation du RGS et précisant les modalités de la mise en œuvre de la procédure de validation des certificats électroniques
Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d'offres de prestataires de services de confiance