Référentiel général de sécurité Sommaire Présentation | Référencement et qualification RGS | Procédure de référencement | Les grandes dates | Type de certificats RGS | Usage | Les secteurs utilisant les certificats RGS | Procédure de mise en service d'un certificat RGS | Article connexe | Notes et références | Menu de navigationréférencéedécret n°2010-112 du 2 février 2010Politique de Référencement Intersectorielle de SécuritéCahier des charges pour le référencement des produits de sécurité et des offres de prestataires de services de confianceRéférentiel Général de SécuritéRéférentiel Général de SécuritéCahier des charges du 14 février 2012Ordonnance no 2005-1516 du 8 décembre 2005Décret no 2010-112 du 2 février 2010Arrêté du 6 mai 2010Arrêté du 18 janvier 2012L'État français se dote d'une autorité de certification racineRGS - Référentiel général de sécurité, site ANSSIRGS - Référentiel général de sécurité, site DGMERéférencement RGS, site DGMETout sur l'accréditation / certification, site COFRACListe des offres référencées, site LSTIGlossaire sur les opérations de validation d'une demande, Site Click and TrustDocu SignComment signer tous vos documents dématérialisés avec la signature électronique

Sécurité du système d'informationAdministration en ligne en France


projets correspondantsarrêtéDirection générale de la modernisation de l'ÉtatAgence nationale de la sécurité des systèmes d'informationsignature électroniqueauthentificationconfidentialitéhorodatagesécurité des systèmes d'informationanalyse de risqueshomologationréférencée





image illustrant l’informatiqueimage illustrant la sécurité informatique


Cet article est une ébauche concernant l’informatique et la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.




Le référentiel général de sécurité (RGS) est prévu par l’ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives. Ses conditions d’élaboration, d’approbation, de modification et de publication sont fixées par le décret no 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance citée relatif à la sécurité des informations échangées par voie électronique.




Sommaire





  • 1 Présentation


  • 2 Référencement et qualification RGS


  • 3 Procédure de référencement


  • 4 Les grandes dates


  • 5 Type de certificats RGS


  • 6 Usage


  • 7 Les secteurs utilisant les certificats RGS


  • 8 Procédure de mise en service d'un certificat RGS


  • 9 Article connexe


  • 10 Notes et références

    • 10.1 Références


    • 10.2 Sources


    • 10.3 Liens externes





Présentation |


La version 2.0 du RGS est en vigueur et a été rendue officielle par arrêté du Premier ministre en date du 13 juin 2014. Cette version remplace celle du 6 mai 2010. Celle-ci est le résultat d’un travail conjoint entre la Direction générale de la modernisation de l'État (DGME) et l’Agence nationale de la sécurité des systèmes d'information (ANSSI).


Ce référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l'authentification, la confidentialité ou encore l'horodatage. Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l'autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable. En complément à ces règles, le RGS contient des bonnes pratiques en matière de sécurité des systèmes d'information (SSI), afin de guider les autorités administratives et les prestataires de services qui les assistent dans les choix qui se présentent à eux en matière de SSI. Le RGS apporte également des éclairages nécessaires sur la marche à suivre pour prendre en compte pleinement les dispositions réglementaires, en particulier concernant l'analyse de risques et l'homologation de sécurité d'un système d'information.



Référencement et qualification RGS |


L'objectif du référencement RGS est de faciliter les échanges électroniques sécurisés entre les usagers et les autorités administratives mais aussi entre autorités administratives par la mise à disposition d'un catalogue de solutions de sécurité référencées interopérables.


Conformément au décret n°2010-112 du 2 février 2010 (dit « décret RGS »), le référencement est réalisé sous le pilotage de la DGME et inclut une étape préalable obligatoire de qualification du produit ou service de sécurité visé par l'ANSSI [1] . Cette qualification atteste de sa conformité à un niveau de sécurité du RGS.


Dans le cadre de leur migration vers le référentiel RGS (remplaçant la Politique de Référencement Intersectorielle de Sécurité, PRIS[2], obsolète d’ici mai 2013), les agents des autorités administratives ont obligation d'utiliser des solutions et produits référencés pour leurs systèmes d'information.


Ainsi, les sociétés référençant leurs produits seront à même de proposer leurs services et produits pour les plates-formes de l'État mais aussi aux particuliers et entreprises souhaitant se connecter à ces plates-formes.


À terme, un environnement interopérable de confiance est ainsi créé avec un ensemble de solutions du marché référencées pour utilisation par les autorités administratives.


Depuis juillet 2012, seule l'entreprise Dhimyotis est référencée.



Procédure de référencement |


Le référencement est une opération réalisée sous la responsabilité de la DGME. Il vise à attester du bon fonctionnement d’un produit ou d’une offre de services de sécurité avec les systèmes d’information des autorités administratives. Il est réalisé sur la base d’un cahier des charges qui précise les règles d’interopérabilité à respecter[3].


La demande de référencement est un acte volontaire du fournisseur de produits ou services ou du prestataire de services de confiance (PSCO). Elle est faite en rapport à une fonction de sécurité (authentification, signature, etc.) et un niveau de sécurité, identifié par un nombre de une à trois étoiles (*, ** ou ***), et défini tels que décrits dans le RGS.


Seuls les produits et offres préalablement qualifiés par l’ANSSI peuvent faire l’objet d’un référencement.


Le référencement est prononcé après vérification du respect des règles contenues dans le cahier des charges pour le référencement des produits de sécurité ou d’offres de prestataires de services de confiance[3]. Ce document officiel a été approuvé par l’arrêté du 18 janvier 2012 signé pour la Ministre et par délégation par le directeur général de la modernisation de l’État, lui conférant ainsi une valeur réglementaire[3].



Les grandes dates |



  • 13 juin 2014 : publication du Référentiel Général de Sécurité Version 2.0

  • 2 mai 2012 : habilitation du premier organisme évaluateur pour le référencement de produits de sécurité ou d’offres de prestataires de services de confiance (PSCo)


  • 29 février 2012 : mise à jour de la procédure d’habilitation (v 1.1) et du recueil d’exigences (v 1.1) pour l’habilitation des organismes évaluateurs pour le référencement selon l’ordonnance n° 2005-1516


  • 21 février 2012 : publication de l'arrêté relatif au référencement de produits de sécurité ou d'offres de PSCo du 18 janvier 2012 au Journal Officiel


  • 18 mai 2010 : publication de l'arrêté RGS du 6 mai 2010 au Journal Officiel


  • 6 mai 2010 : publication du Référentiel Général de Sécurité


  • 4 février 2010 : publication du décret RGS n°2010-112 du 2 février 2010 au Journal Officiel


  • 8 décembre 2005 : publication de l’ordonnance n°2005-1516 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives




Type de certificats RGS |


Il existe 3 types de certificats RGS:



  • Certificat RGS * : Le dispositif de protection des éléments secrets doit être qualifié au minimum au niveau élémentaire, selon le processus décrit dans le RGS, et être conforme aux exigences de sécurité devant s'appliquer au dispositif de protection des éléments secrets d’un service applicatif. Il est toutefois recommandé d’utiliser un tel dispositif qualifié au niveau standard.


  • Certificat RGS ** : Le dispositif de protection des éléments doit être qualifié au minimum au niveau standard, selon le processus décrit dans le RGS, et être conforme aux exigences de sécurité comme précédemment. Il est toutefois recommandé d’utiliser un dispositif de protection éléments secrets qualifié au niveau renforcé.


  • Certificat RGS *** : Le dispositif de protection des éléments secrets doit être qualifié au niveau renforcé, selon le processus décrit dans le RGS, et être conforme aux exigences comme précédemment.

Le niveau du certificat correspond au niveau de sécurité qu'il peut offrir au client.



Usage |


L'utilisation des certificats se fait dans un contexte dans lequel le client souhaiterait échanger des informations confidentielles de façon sécurisée avec une structure spécialisée. En effet, par le biais de cette méthode, les documents physiques seront dématérialisés mais auront la même valeur juridique qu'en papier.
Ces certificats sont délivrés dans une clé cryptographique qui contient la signature électronique du client qu'il pourra utiliser et apposer sur tous les documents numériques.



Les secteurs utilisant les certificats RGS |


Voici une liste non-exhaustive des secteurs utilisant la signature électronique:


  • La banque

  • Les assurances

  • La justice

  • Le commerce

  • L'éducation

  • La santé

  • Les marchés publics


Procédure de mise en service d'un certificat RGS |


Pour une confidentialité absolue et une sécurité optimale, il existe une procédure mise en place par l'entreprise émettrice de clé pour délivrer la clé au client. En effet, cette procédure, pouvant varier d'une société à l'autre mais qui sont semblables dans l'ensemble, regroupe l'essentiel du processus et dont les acteurs devront respecter scrupuleusement.
Les acteurs concernés sont les suivantes:



  • La société émettrice : Au sein même de la structure, la demande d'émission de clé devra être passée par 2 personnes

    • Un opérateur de saisie : Cette personne devra réceptionner les documents de la demande, les vérifier de leurs authenticités et la véracité de ces derniers, puis les enregistrer dans la base de données. Il devra également signaler toute erreur dans la demande ou toute tentative d'usurpation, de falsification de documents.


    • Un vérificateur : Cette personne devra vérifier de nouveau ce que l'opérateur a saisi et effectué. Si les documents sont conformes et valides, il lance la procédure de fabrication de clé.



  • L'opérateur intermédiaire : En règles générales, la demande de clé se fait par une autorité représentative du client. Par mesure de sécurité et de traçabilité, le client ne peut s'adresser à la société émettrice de produire un certificat. De même, la société ne peut pas délivrer la clé cryptographique au client final. Néanmoins, le code d'activation de la clé sera envoyé au client final.


  • Le client : Il s'agit du demandeur qui recevra la clé cryptographique par l'intermédiaire d'une société représentative.


Article connexe |


  • Autorité de certification


Notes et références |



Références |



  1. décret n°2010-112 du 2 février 2010


  2. Politique de Référencement Intersectorielle de Sécurité


  3. a b et cCahier des charges pour le référencement des produits de sécurité et des offres de prestataires de services de confiance



Sources |



  • Référentiel Général de Sécurité du 6 mai 2010 (version 1.0)


  • Référentiel Général de Sécurité du 13 juin 2014 (version 2.0)


  • Cahier des charges du 14 février 2012 pour le référencement des produits de sécurité et des offres de prestataires de services de confiance


  • Ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives)


  • Décret no 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance no 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives


  • Arrêté du 6 mai 2010 portant approbation du RGS et précisant les modalités de la mise en œuvre de la procédure de validation des certificats électroniques


  • Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d'offres de prestataires de services de confiance

  • L'État français se dote d'une autorité de certification racine


Liens externes |


  • RGS - Référentiel général de sécurité, site ANSSI

  • RGS - Référentiel général de sécurité, site DGME

  • Référencement RGS, site DGME

  • Tout sur l'accréditation / certification, site COFRAC

  • Liste des offres référencées, site LSTI

  • Glossaire sur les opérations de validation d'une demande, Site Click and Trust

  • Docu Sign

  • Comment signer tous vos documents dématérialisés avec la signature électronique

  • Portail de la sécurité informatique Portail de la sécurité informatique
  • Portail de la sécurité de l’information Portail de la sécurité de l’information

-

Popular posts from this blog

Isabella Eugénie Boyer Biographie | Références | Menu de navigationmodifiermodifier le codeComparator to Compute the Relative Value of a U.S. Dollar Amount – 1774 to Present.

Image
Personnalité américaine du monde des affairesPersonnalité féminine françaiseNaissance en décembre 1841Naissance à ParisDécès en mai 1904Décès à 62 ansDécès à Paris 17 décembre1841Paris12 mai1904Isaac Merritt SingerSingerNew York1863guerre civile américaineParisAngleterreguerre de 1870DevonOldway Mansion (en) PaigntonWinnarettaEdmond de Polignacduchesse DecazesdollarsVictor ReubsaetParisHumbert I er d'Italieviolon de StradivariusStatue de la LibertéBartholdi Isabella Eugénie Boyer.mw-parser-output .entete.humainbackground-image:url("//upload.wikimedia.org/wikipedia/commons/8/82/Picto_infobox_manwoman.png") Isabella Eugénie Boyer. Titre de noblesse Duchesse Biographie Naissance 17 décembre 1841 Paris Décès 12 mai 1904 (à 62 ans) Paris Sépulture Cimetière de Passy Nationalité Française Domicile Oldway Mansion ( en ) Activité Mannequin Conjoint Isaac Merritt Singer (depuis 1863) Enfants Winnaretta Singer Isabelle Singer ( d ) Paris Singer Washington Singer ( en ) Mortimer
Read more

Lioubotyn Sommaire Géographie | Histoire | Population | Notes et références | Liens externes | Menu de navigationlubotin.kharkov.uamodifier« Recensements et estimations de la population depuis 1897 »« Office des statistiques d'Ukraine : population au 1er janvier 2010, 2011 et 2012 »« Office des statistiques d'Ukraine : population au 1er janvier 2011, 2012 et 2013 »Informations officiellesCartes topographiquesCarte routièrem

Image
Ville en UkraineVille dans l'oblast de KharkivVille d'importance régionale en Ukraine projets correspondantsukrainienrusseoblast de KharkivUkraineraïon de Lioubotyn2013estKharkiv1650première révolution russegare ferroviaireKharkivMerefaSoumyPoltava1938ville d'importance régionale Cet article est une ébauche concernant l’Ukraine. Vous pouvez partager vos connaissances en l’améliorant ( comment ? ) selon les recommandations des projets correspondants. Lioubotyn Люботин .mw-parser-output .entete.mapbackground-image:url("//upload.wikimedia.org/wikipedia/commons/7/7a/Picto_infobox_map.png") Héraldique Drapeau Administration Pays Ukraine Subdivision  Oblast de Kharkiv Maire Leonid Tatoun Code postal 63433 Indicatif tél. +380 5774 Démographie Population 21 909  hab. (2013) Densité 704  hab./km 2 Géographie Coordonnées 49° 57′ nord, 35° 55′ est Superficie 3 110   ha  = 31,1  km 2 Divers Fondation 1650 Statut Ville depuis 1938 Localisation Géolocalisation sur la car
Read more

Mpande kaSenzangakhona Biographie | Références | Menu de navigationmodifierMpande kaSenzangakhonavoir la liste des auteursm

Image
Naissance en 1798Décès en septembre 1872Histoire de l'Afrique du SudRoi zoulouPersonnalité africaine du XIXe siècle projets correspondantsNotes et référencesQuelles sources sont attendues ?Comment ajouter mes sources ?Babanango (en) Royaume zoulouShakaDinganerois de la nation zoulouinDunaNdlela kaSompisi (en) CetshwayoAndries Pretoriusforêt d'Hlatikhulu (en) bataille de NdondakusukaCetshwayoJohn Robert Dunn (en) Tugela Cet article est une ébauche concernant l’Afrique et l’histoire. Vous pouvez partager vos connaissances en l’améliorant ( comment ? ) selon les recommandations des projets correspondants. Cet article ne cite pas suffisamment ses sources (juillet 2012). Si vous disposez d'ouvrages ou d'articles de référence ou si vous connaissez des sites web de qualité traitant du thème abordé ici, merci de compléter l'article en donnant les références utiles à sa vérifiabilité et en les liant à la section « Notes et références » En pratique : Quelles sources sont
Read more