Le décret RGS est publié

Le décret dit « RGS » (Référentiel Général de Sécurité) [1], visé à l'article 9 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives a été publié au JORF du 4 février 2010.

11 février 2010

[1] Décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives - NOR: PRMX0909445D

Les échanges de données entre différents interlocuteurs et la cohérence des systèmes d'information impliqués doivent s’appuyer sur des standards et de préférence des normes intégrés dans des référentiels reflétant l’état de l’art en la matière.

Les référentiels

Les référentiels de l'administration électronique, sont des documents de référence tels que le RGI, le RGAA, le RGS ainsi que la charte ergonomique des sites Internet publics.

Ces référentiels sont accessibles sur un site Internet unique de la direction générale de la modernisation de l’Etat (DGME) :

http://references.modernisation.gouv.fr/

Définition du référentiel général de sécurité (RGS)

Le référentiel général de sécurité fixe les règles auxquelles les systèmes d’information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l’intégrité de ces systèmes et l’identification de leurs utilisateurs.

Fonctions de sécurité des systèmes d’information

Le décret énumère les obligations à la charge de l’autorité administrative pour protéger un système d’information telles que : l’identification des risques pesant sur la sécurité du système et des informations, la fixation des objectifs de sécurité, l’identification des utilisateurs du système, la déduction des fonctions de sécurité et de leur niveau pour atteindre ces objectifs et respecter les règles du RGS.

Pour mettre en œuvre les fonctions de sécurité ainsi déterminées, l’autorité administrative recourt notamment à des produits de sécurité et à des prestataires de services de confiance ayant fait l’objet d’une qualification dans les conditions prévues au décret.

Qualification des produits de sécurité

La demande de qualification d’un produit de sécurité prévue l’ordonnance du 8 décembre 2005 est adressée à l’Agence nationale de la sécurité des systèmes d’information par le commanditaire. La qualification est obtenue à l’issue d’une évaluation au regard des règles du RGS.

Qualification des prestataires de services de confiance

Quand à la qualification des prestataires de services de confiance, elle distingue deux étapes.

Le décret définit

• les conditions d’habilitation des organismes qui procèdent à la qualification des prestataires de services de confiance,
• les conditions de qualification des prestataires de services de confiance par les organismes habilités précités.

Validation des certificats électroniques

Le décret définit également les procédures de validation des certificats électroniques. La « Validation d’un certificat électronique » et le « Certificat électronique » sont définis à l’article 20 du décret.

C’est l’Agence nationale de la sécurité des systèmes d’information qui est chargée de mettre en place la procédure de validation des certificats électroniques délivrés aux autorités administratives ou à leurs agents.

Référencement des produits de sécurité et des prestataires de services de confiance

Le référencement d’un produit de sécurité ou d’un prestataire de services de confiance doit respecter les prescriptions d’un cahier des charges. Ce cahier des charges détermine notamment les conditions dans lesquelles l’interopérabilité des produits de sécurité et des prestataires de services de confiance qualifiés est vérifiée ainsi que les tests qui sont réalisés à cette fin.