Publication d’un référentiel général de sécurité

Dématérialisation et archivage électronique

RGS

Administration électronique : publication du référentiel général de sécurité

Le décret dit RGS (référentiel général de sécurité), prévu par l’article 9 de l’ordonnance du 8 décembre 2005, vient d‘être publié (1). Il fixe les règles auxquelles les systèmes d’information mis en place par les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif et tous les organismes chargés de la gestion d’un service public administratif, doivent se conformer pour assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, et notamment leur confidentialité et leur intégrité. Il décrit les démarches à suivre par les administrations pour assurer la protection de leurs systèmes d’information, notamment des téléservices. En terme de responsabilité, il incombe aux administrations de définir les fonctions de sécurité nécessaires, c’est-à-dire identifier les risques, fixer les objectifs et déduire les fonctions de sécurité et leur niveau en conformité avec le RGS, lors de la mise en place de tout système d’information. Le décret précise que l’autorité administrative « atteste formellement auprès des utilisateurs de son système d’information que celui-ci est protégé conformément aux objectifs de sécurité » et que, à défaut d’usage de produits ou prestataires qualifiés, l’autorité doit s’assurer de leur conformité.

S’agissant des téléservices, le décret constitue une forte incitation à destination des autorités administratives et de leurs fournisseurs à solliciter une qualification. Le décret fixe les règles de qualification des produits de sécurité (notamment, des procédés de signature électronique), des prestataires de service de confiance (tiers de confiance), de validation des conditions de délivrance des certificats électroniques et de référencement. Le décret précise les modalités d’habilitation des organismes de qualification des prestataires, l’agrément des centres d’évaluation des produits étant calqué sur le régime du décret du 18 avril 2002 sur l’évaluation et la certification de la sécurité des produits et systèmes d’information (2). Le référencement des produits et prestataires, déjà en vigueur au travers de la Politique de Référencement Intersectorielle de Sécurité (PRIS), devra être réexaminé à la lumière du RGS, dont les annexes remplacent la PRIS. Le décret et le projet d’arrêté devant approuver le RGS ont reçu un avis favorable de la Commission Consultative d’Evaluation des Normes (CCEN) (3). L’arrêté sera publié courant du 1er trimestre 2010.

(1) Décret 2010-112 du 2-2-2010, JO du 4-2-2010
(2) Décret 2002-535 du 18-4-2002, JO du 19-4-02
(3) Compte rendu du CCEN rendu le 7-5-2009

Paru dans la JTIT n°97/2010

(Mise en ligne Février 2010)