Référentiel général de sécurité (RGS)
Le référentiel général de sécurité (RGS V2) définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information. Il propose également des bonnes pratiques en matière de sécurité des systèmes d’information que les autorités administratives sont libres d’appliquer.
Le RGS a été élaboré conformément à l’article 9 de l’ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu’entre les autorités administratives. Il fixe les règles que doivent respecter les fonctions des systèmes d’information contribuant à la sécurité des informations échangées par voie électronique.
Le RGS apporte les éclairages nécessaires aux autorités administratives pour prendre en compte pleinement les dispositions de l’ordonnance.
Présentation
Le Référentiel général de sécurité (RGS) est créé par l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. Ses conditions d’élaboration, d’approbation, de modification et de publication sont fixées par le décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance citée relatif à la sécurité des informations échangées par voie électronique.
La version initiale du RGS (v.1.0) a été rendue officielle par arrêté du Premier ministre en date du 6 mai 2010. Une version 2.0 a été publiée par arrêté du Premier ministre du 13 juin 2014. Elle est applicable depuis le 1er juillet 2014.
Contenu
Le référentiel général de sécurité (RGS) est un référentiel destiné à sécuriser les échanges électroniques de la sphère publique. Pour une autorité administrative, appliquer le RGS permet de garantir aux citoyens et autres administrations que le niveau de sécurité de ses systèmes d’information est bien adapté aux enjeux et aux risques et qu’il est harmonisé avec ceux de ses partenaires. Cette version mise à jour permet la qualification des prestataires :
-
de certification électronique ;
-
d’horodatage électronique ;
-
d’audit de la sécurité des systèmes d’information
Application
La version 2.0 du RGS s’appliquent aux autorités administratives de manière concomitante en application des mesures de transitions suivantes :
-
les autorités administratives devront accepter ces certificats électroniques et ces contremarques de temps pendant leur durée de vie, avec un maximum de trois ans ;
-
Les autorités administratives qui doivent homologuer leurs systèmes d’informations peuvent utiliser le guide d’homologation publié par l’ANSSI.
Évolution du RGS
La version 2.0 du RGS constitue un référentiel de transition entre une première version liée à la mise en œuvre de l’administration électronique et une troisième version qui se fondera sur la réglementation européenne en cours d’évolution.
La liste des offres référencées RGS se trouve sur le site de LSTI
La Trust-service Status List (TSL)
La Trusted List est gérée par l’ANSSI vous trouverez toutes les informations sur le site de l’ANSSI :
Commentaires et suggestions
L’ANSSI est à l’écoute de toute remarque qui permettra d’améliorer le RGS, sur le fond comme sur la forme.
Vous pouvez ainsi lui transmettre, par courrier adressé à l’ANSSI ou à l’adresse mail rgs@ssi.gouv.fr, toutes vos idées, et notamment :
-
vos commentaires et propositions d’amélioration sur la lisibilité et la clarté de tout ou partie du RGS, y compris de ses annexes et des documents référencés ;
-
vos propositions d’enrichissement du RGS ;
-
les thèmes relatifs à la sécurité des systèmes d’information que vous souhaiteriez voir traités dans les futures versions du RGS