10
juin
2011

Du RGS à l’horodatage

Exploitation Universign Exploitation Universign
0 commentaires
Avis d’expert

Le Référentiel Général de Sécurité (RGS) a fêté sa première bougie le 18 mai dernier. Et conformément à l’ordonnance n°2005-1516 du 8 décembre 2005, depuis le 18 novembre 2010, aucune autorité administrative ne peut plus légalement mettre en service un nouveau système d’information en ignorant le RGS.

Malgré tout la communication autour du RGS été modérée, les projets de mise en conformité sont encore relativement peu nombreux et il n’est pas rare que la question fuse encore aujourd’hui : « que veut dire RGS ? qu’est-ce qu’une qualification RGS ? »

Renforcer la sécurité des administrations électroniques…

Avec le développement de l’administration électronique, l’État a souhaité, dès 2005, renforcer et encadrer la sécurité des échanges électroniques entre les autorités administratives et entre les usagers et les autorités administratives. C’est l’objet du Référentiel Général de Sécurité (RGS). Ce document et ses nombreuses annexes définissent un ensemble de règles de sécurité qui s’imposent aux autorités administratives dans la sécurisation de leurs systèmes d’information.

Sont concernées l’ensemble des administrations comme les administrations d’État, les collectivités territoriales, les établissements publics à caractère administratif, les organismes de gestion des régimes de protection sociale, les organismes de gestion de services publics administratifs…

Pour ces entités, la mise en conformité avec ce référentiel nécessite plusieurs étapes. Afin de protéger leur système d’information, elle doivent notamment :

  1. identifier l’ensemble des risques pesant sur la sécurité du système et des informations qu’il traite, eu égard notamment aux conditions d’emploi du système ;
  2. face aux risques identifiés, fixer des objectifs de sécurité, notamment en matière de disponibilité et d’intégrité du système, de confidentialité et d’intégrité des informations, ainsi que d’identification des utilisateurs du système, pour répondre de manière proportionnée au besoin de protection du système et des informations ;
  3. en déduire les fonctions de sécurité et leur niveau qui permettent d’atteindre ces objectifs et respecter les règles correspondantes du référentiel général de sécurité.

En ayant recours à des prestataires labellisés

Sur ce dernier point, le RGS détermine les règles que doivent respecter les quatre grandes fonctions de sécurité des systèmes d’information : authentification, signature électronique, confidentialité et horodatage. En particulier, la fonction d’horodatage permet d’attester qu’une donnée sous forme électronique existait à une date donnée.

Le RGS précise également que pour mettre en œuvre dans un système d’information, les fonctions de sécurité ainsi déterminées, l’autorité administrative recourt à des produits de sécurité et à des prestataires de services de confiance ayant fait l’objet d’une qualification qui permet d’attester de la confiance que l’on peut leur accorder.

Ainsi, lorsqu’au terme de son analyse des risques, une administration estime que la mise en œuvre de l’horodatage s’impose, alors elle devra faire appel à un tiers horodateur qualifié RGS comme Universign, qui est à ce jour la seule autorité d’horodatage à l’être.

Rappelons enfin que les autorités administratives dont les systèmes d’information existaient avant le 18 mai 2010 ont encore jusqu’au 18 mai 2013 pour mettre leur système en conformité avec le RGS.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Testez Universign