Qu'est-ce que le RGS ?

Le Référentiel Général de Sécurité (RGS) est le cadre réglementaire français définissant les règles de sécurité que doivent respecter les systèmes d'information des autorités administratives pour leurs échanges électroniques avec les usagers et entre administrations.

Qui publie et maintient le RGS ?

Le RGS est publié et maintenu par l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information). La version actuelle est la V2, publiée en juillet 2014. Une version V3 est en cours d'élaboration pour mieux s'aligner avec le règlement eIDAS.

Quels sont les types de certificats RGS ?

Il existe trois types de certificats RGS : le certificat RGS 1 étoile (RGS*) pour l'authentification de base, le certificat RGS 2 étoiles (RGS**) pour les marchés publics et portails spécifiques, et le certificat RGS 3 étoiles (RGS***) pour le niveau de signature RGS le plus élevé, équivalent à la signature qualifiée eIDAS.

RGS — Référentiel Général de Sécurité : définition et certificats

Q: Quelle est la différence entre RGS et eIDAS ?

Le RGS est le référentiel national français, l'eIDAS est son équivalent européen. Les niveaux RGS** et RGS*** correspondent respectivement aux signatures avancée et qualifiée définies par eIDAS. Une double certification est fortement recommandée pour les échanges transfrontaliers.

Q: Le RGS est-il obligatoire ?

L'homologation RGS est obligatoire pour toutes les administrations qui échangent électroniquement avec leur public ou avec des services de l'État, conformément au décret n°2010-112 du 2 février 2010.

Le Référentiel Général de Sécurité (RGS) encadre la sécurité des systèmes d’information des autorités administratives dans le cadre de l’e-administration. Il définit les règles de sécurité que doivent respecter les services numériques des administrations publiques pour permettre aux particuliers et aux entreprises d’échanger électroniquement en toute confiance (grâce à des process mis en place en interne ou grâce à un partenaire EDI)

Quelle définition pour le Référentiel Général de Sécurité

Il s’agit d’un guide de règles et de bonnes pratiques pour la sécurité des systèmes d’information.

Selon l’ANSSI, Agence Nationale de la Sécurité des Systèmes d’Information, organisme rédacteur du RGS : « Le référentiel général de sécurité est le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. »

Ce référentiel est maintenu à jour par l’ANSSI. Sa première version, publiée en 2010, fut considérée utile mais complexe à comprendre et à mettre en œuvre. Elle a été remplacée par la version V2 publiée en juillet 2014, plus accessible. Cette deuxième version est, entre autres, venue compléter un chapitre sur la qualification des prestataires d’audit de la sécurité des systèmes d’information.

Discutons de la sécurité de votre EDI

Les objectifs du RGS

Son principal objectif est d’établir la confiance envers la e-administration pour permettre son déploiement.

La mission principale du Référentiel de Général de Sécurité est alors d’écrire les règles de sécurité et les bonnes pratiques auxquelles les systèmes d’information des administrations publiques doivent se conformer pour :

Garantir la sécurité des informations échangées.
Veiller au respect de la confidentialité et à l’intégrité des données des utilisateurs.
Authentifier l’identité des utilisateurs.
Tracer les connexions et les échanges électroniques des usagers.
Assurer la disponibilité et l’intégrité des systèmes d’information.

Qui est concerné par le Référentiel Général de Sécurité ?

Ce référentiel s’adresse :

aux autorités administratives (État, collectivités territoriales, établissements publics) et à leurs prestataires informatiques.
aux systèmes d’informations utilisés par les administrations dans leurs échanges électroniques entre elles et dans leurs relations avec les usagers, les particuliers et les entreprises.
aux activités liées au déploiement de la e-administration comme l’ANTS, Agence Nationale des Titres Sécurisés.
à tous les prestataires de services auxquels les administrations font appel pour mettre en œuvre leurs systèmes d’information et services destinés aux usagers.
à tout organisme souhaitant sécuriser ses services numériques en ligne selon les standards définis par l’ANSSI.

Plus généralement, il s’adresse à tout organisme public ou privé cherchant à organiser la gestion de la sécurité de ses systèmes d’information et de ses échanges électroniques. C’est alors un guide de bonnes pratiques.

Comment s’applique le RGS ?

Les homologations RGS

L’obligation de l’homologation s’impose à toutes les administrations qui échangent électroniquement avec leur public ou avec des services de l’Etat, décret n°2010-112 du 2 février 2010.

L’objectif est de disposer d’une vision globale permettant d’identifier des menaces, analyser les risques et définir un plan d’action.

Les certificats pour s’authentifier et signer

Le référentiel propose trois niveaux de certificats électroniques : élémentaire RGS*, standard RGS** et renforcé RGS***. Ces derniers s’appuient sur quatre piliers de la sécurité informatique : l’authentification, la signature électronique, la confidentialité et l’horodatage.

Le RGS définit trois types de certificats RGS selon le niveau de sécurité requis. Chaque certificat permet d’apposer une signature RGS sur des documents électroniques échangés avec les services numériques des administrations.

Niveau élémentaire : RGS*

Le certificat RGS 1 étoile (RGS*) est le premier niveau d’authentification, décerné sur dossier. Après validation du dossier, le certificat RGS* permet à l’utilisateur de s’authentifier sur les plateformes publiques, d’horodater et de signer des documents.

Ce certificat permet d’envoyer des documents dans une enveloppe électronique inviolable qui certifie l’authenticité de l’expéditeur. Il est une application téléchargée sur les terminaux de l’utilisateur mais peut également être livré sur une clé usb cryptographique.

Niveau standard : RGS**

Le certificat RGS** est exclusivement décerné sur clé usb cryptographique remise en mains propres. Il permet d’horodater, de signer et permet l’accès à des portails spécifiques qui sont :

Le portail des marchés publics pour les entreprises privées.
Le portail des cartes grises et des permis de conduire pour les polices municipales.

Ce certificat RGS 2 étoiles constitue la signature RGS standard pour les échanges avec les marchés publics et les services de l’État nécessitant une identification renforcée. Ce certificat est lié à une personne physique.

Niveau renforcé : RGS***

Tous les documents permettant d’établir le dossier de demande du certificat RGS*** doivent être signés à la main puis envoyés par voie postale. Ils font l’objet d’une vérification rigoureuse avant l’attribution du certificat.

La clé USB qui contient la signature électronique est strictement personnelle. Elle doit uniquement être utilisée sur l’ordinateur de son propriétaire.

Il est admis que les niveaux RGS** et RGS*** correspondent respectivement aux signatures avancée et qualifiée définies par le Règlement eIDAS.

Ce certificat RGS 3 étoiles offre le niveau de signature RGS le plus élevé, équivalent à la signature qualifiée définie par le règlement eIDAS.

Règlement eIDAS et RGS

L’équivalent du RGS au niveau européen est la réglementation eIDAS, Electronic Identification Authentification and trust Services, qui s’applique depuis juillet 2014.

Les administrations fres acceptent des moyens d’authentification et de signature non conformes au RGS s’ils répondent aux spécifications du règlement eIDAS.

De fait, une double certification RGS et eIDAS est fortement recommandée. Cependant des travaux sont en cours pour une version V3 permettant de simplifier la compatibilité des règles RGS avec les règles eIDAS.

EDI

E-Invoicing

EAI

Nos ressources

Nos formations

A propos de Tenor

Nous contacter

RGS – Référentiel Général de Sécurité : définition, certificats et signature