Qu’est-ce que le RGS, Référentiel Général de Sécurité ?

Le Référentiel Général de Sécurité ou RGS, encadre la sécurité dans l’administration électronique, ou e-administration. L’application de ses règles permet aux particuliers ainsi qu’aux entreprises d’échanger électroniquement en toute confiance et en sécurité avec les services en ligne des administrations (grâce à des process mis en place en interne ou grâce à un partenaire EDI)

Dans cet article découvrons ses objectifs, ses différents niveaux de sécurité et ses implications dans la mise en œuvre des échanges électroniques sécurisés entre usagers et administrations.

Quelle définition pour le Référentiel Général de Sécurité

Il s’agit d’un guide de règles et de bonnes pratiques pour la sécurité des systèmes d’information.

Selon l’ANSII, Agence Nationale de la Sécurité des Systèmes d’Information, organisme rédacteur du RGS : « Le référentiel général de sécurité est le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. »

Ce référentiel est maintenu à jour par l’ANSII. Sa première version, publiée en 2010, fut considérée utile mais complexe à comprendre et à mettre en œuvre. Elle a été remplacée par la version V2 publiée en juillet 2014, plus accessible. Cette deuxième version est, entre autres, venue compléter un chapitre sur la qualification des prestataires d’audit de la sécurité des systèmes d’information.

Les objectifs du RGS

Son principal objectif est d’établir la confiance envers la e-administration pour permettre son déploiement.

La mission principale du Référentiel de Général de Sécurité est alors d’écrire les règles de sécurité et les bonnes pratiques auxquelles les systèmes d’information des administrations publiques doivent se conformer pour :

1. Garantir la sécurité des informations échangées.
2. Veiller au respect de la confidentialité et à l’intégrité des données des utilisateurs.
3. Authentifier l’identité des utilisateurs.
4. Tracer les connexions et les échanges électroniques des usagers.
5. Assurer la disponibilité et l’intégrité des systèmes d’information.

Qui est concerné par le Référentiel Général de Sécurité ?

Le RGS s’adresse :

• aux administrations et à leurs prestataires informatiques.
• aux systèmes d’informations utilisés par les administrations dans leurs échanges électroniques entre elles et dans leurs relations avec les usagers, les particuliers et les entreprises.
• aux activités liées au déploiement de la e-administration comme l’ANTS, Agence Nationale des Titres Sécurisés.
• à tous les prestataires de services auxquels les administrations font appel pour mettre en œuvre leurs systèmes d’information et services destinés aux usagers.

Plus généralement, il s’adresse à tout organisme public ou privé cherchant à organiser la gestion de la sécurité de ses systèmes d’information et de ses échanges électroniques. C’est alors un guide de bonnes pratiques.

Comment s’applique le RGS ?

Les homologations RGS

L’obligation de l’homologation s’impose à toutes les administrations qui échangent électroniquement avec leur public ou avec des services de l’Etat, décret n°2010-112 du 2 février 2010.

L’objectif est de disposer d’une vision globale permettant d’identifier des menaces, analyser les risques et définir un plan d’action.

Les certificats pour s’authentifier et signer

Le référentiel propose trois niveaux de certificats électroniques : élémentaire RGS*, standard RGS** et renforcé RGS***. Ces derniers s’appuient sur quatre piliers de la sécurité informatique : l’authentification, la signature électronique, la confidentialité et l’horodatage.

Niveau élémentaire : RGS*

Ce premier niveau d’authentification est décerné sur dossier. Après validation du dossier, le certificat RGS* permet à l’utilisateur de s’authentifier sur les plateformes publiques, d’horodater et de signer des documents.

Ce certificat permet d’envoyer des documents dans une enveloppe électronique inviolable qui certifie l’authenticité de l’expéditeur. Il est une application téléchargée sur les terminaux de l’utilisateur mais peut également être livré sur une clé usb cryptographique.

Niveau standard : RGS**

Le certificat RGS** est exclusivement décerné sur clé usb cryptographique remise en mains propres. Il permet d’horodater, de signer et permet l’accès à des portails spécifiques qui sont :

• Le portail des marchés publics pour les entreprises privées.
• Le portail des cartes grises et des permis de conduire pour les polices municipales.

Ce certificat est lié à une personne physique.

Niveau renforcé : RGS***

Tous les documents permettant d’établir le dossier de demande du certificat RGS*** doivent être signés à la main puis envoyés par voie postale. Ils font l’objet d’une vérification rigoureuse avant l’attribution du certificat.

La clé USB qui contient la signature électronique est strictement personnelle. Elle doit uniquement être utilisée sur l’ordinateur de son propriétaire.

Il est admis que les niveaux RGS** et RGS*** correspondent respectivement aux signatures avancée et qualifiée définies par le Règlement eIDAS.

Règlement eIDAS et RGS

L’équivalent du RGS au niveau européen est la réglementation eIDAS, Electronic Identification Authentification and trust Services, qui s’applique depuis juillet 2014.

Les administrations fres acceptent des moyens d’authentification et de signature non conformes au RGS s’ils répondent aux spécifications du règlement eIDAS.

De fait, une double certification RGS et eIDAS est fortement recommandée. Cependant des travaux sont en cours pour une version V3 du Référentiel Général de Sécurité permettant de simplifier la compatibilité des règles RGS avec les règles eIDAS.

Expert des échanges de flux de données depuis plus de 30 ans, Tenor vous accompagne dans vos projets d’EDI, d’EAI et de facturation électronique. Contactez nos experts et voyons comment nous pouvons vous aider à performer davantage.