Fermer

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement

Menu

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
  • Accueil
  • Actualité
  • France
  • Le “RGS” ou la sécurité informatique des autorités administratives pour les pas trop nuls

Sécurité informatique

Le “RGS” ou la sécurité informatique des autorités administratives pour les pas trop nuls

Publié le 02/10/2014 • Par Sabine Blanc • dans : France

La version 2 du référentiel général de sécurité (RGS) a été publiée par l’Agence nationale de la sécurité des systèmes d'information (Anssi) fin juin. Cette évolution se veut plus accessible que la mouture initiale, jugée trop complexe. Mais l'Anssi a encore du chemin à parcourir vers les collectivités territoriales, si l'on en juge le programme de ses assises qui se tiennent cette semaine.

Utile mais trop complexe : tel était, en bref, le jugement porté sur la première version du référentiel général de sécurité (RGS) publié en 2010 par l’Agence nationale de la sécurité des systèmes d’information (Anssi). La seconde mouture, en application depuis le 1er juillet dernier, devrait répondre à cette critique.

Créé par l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, le RGS est un guide pour accompagner les administrations dans leur marche vers l’administration électronique.
Les collectivités territoriales doivent s’y conformer depuis mai 2013 en ce qui concerne les certificats électroniques (arrêté du 6 mai 2010). Il était composé d’un corps d’une trentaine de pages et d’annexes purement techniques.

Avec 25 pages contre 33, la V2 du corps du RGS est effectivement bien moins rebutante. Une cure d’amaigrissement, malgré l’ajout d’un chapitre sur la qualification des prestataires de certification électronique, d’horodatage électronique et d’audit de la sécurité des systèmes d’information.

Les administrations peuvent désormais recourir à des audits réalisés par des prestataires d’audit de la sécurité des systèmes d’information (PASSI) et ces derniers peuvent obtenir une qualification de leurs services.

Les annexes techniques ont été revues dans le même sens. “Certaines règles techniques concernant la cryptographie et la gestion des certificats électroniques ont également été adaptées pour en rendre l’application plus aisée”, précise l’Anssi, qui renvoie aussi au tout récent guide d’homologation, paru en juin.

« Un bon point de départ » – La V1 était une costaude introduction aux enjeux de la sécurité de l’e-administration et aux outils à mettre en oeuvre : authentification, signature électronique, confidentialité, horodatage.

“Le RGS est le bon point de départ pour une collectivité qui se demande par où commencer. Mais il faut reconnaître que ce document n’est pas facile à lire pour quelqu’un qui n’est pas spécialisé dans la matière, il y a forcément besoin de se faire accompagner dans la mise en oeuvre. Malgré tout, elle peut se faire pour des coûts modestes”, nous indiquait alors Marc Dovero, responsable de la sécurité des systèmes d’information (RSSI) du conseil général des Bouches-du-Rhône, département pilote pour l’élaboration du RGS.
“Il n’est pas facile d’accès”, reconnaissait aussi Pierre Raynal, délégué de l’OzSSI Sud Est, qui précisait : “l’Anssi devait le faire pour démystifier le sujet.”

Lire aussi : Cybersécurité : des observatoires trop souvent méconnus

Pas facile d’accès, et d’un niveau assez élevé, jugeait Yvonne Gellon, DSI de Grenoble Métropole, et présidente du CoTer Club, une association regroupant des collectivités territoriales dédiée à l’informatique et à la communication : “Si vous trouvez une collectivité conforme au RGS, je vous paye une bouteille ! Peut-être le Sictiam… »
Le Syndicat intercommunal des collectivités territoriales informatisées des Alpes méditerranée est un cas un peu particulier, puisqu’il a été précurseur du RGS, en travaillant avant sa création avec l’Anssi. Les DSI de l’agglomération de Grenoble se retrouvent régulièrement et avaient eu une formation de l’OzSSI. Ils ont ensuite effectué une analyse de risque préalable à sa mise en oeuvre.
“Sur toute l’agglomération, pas une collectivité n’est conforme. Mais c’est un outil qui a le mérite d’exister, de réglementer. C’est assez technique si on veut faire de la sécurité. C’est encore plus difficile à mettre en oeuvre pour les petites. Il y a matière à simplifier les outils”, indiquait-elle encore.

Limites de la vulgarisation – Cette V2 demande encore des efforts mais la vulgarisation sur certains sujets touche peut-être aussi ses limites, dans un contexte général de technicisation. On trouve donc encore des passages un peu rebutants, par exemple : « De ce fait, une signature électronique sécurisée au sens de l’article 1er du décret n° 2001-272 du 30 mars 2001, établie avec un dispositif sécurisé de création de signature certifié conforme dans les conditions de l’article 3 et mettant en œuvre des certificats de signature électronique conformes au niveau de sécurité (***) de [RGS_A2], est de facto « présumée fiable » selon ce décret et donc au sens de l’article 1316-4 du code civil.”

Et reste que l’enjeu de la sécurité dans les collectivités ne semble pas vraiment la priorité de l’Anssi, si l’on en croit le programme de ses assises qui se tiennent cette semaine (voir ci-dessous).

Des assises de l’Anssi sans les collectivités

Cette semaine se tiennent les Assises de la sécurité et des systèmes d’information, “événement référent le plus prisé de la scène professionnelle de la SSI.” Mais les collectivités et de façon plus générale la sphère publique en sont quasiment absentes : rien dans les conférences, les tables rondes comptent la plupart du temps un intervenant d’une entreprise privée.

Transition

La transition entre la V1 et la V2 concernant les certificats et les contremarques de temps est précisée : “les certificats électroniques et les contremarques de temps conformes aux annexes de la version 1.0 du RGS pourront continuer à être émis jusqu’au 30 juin 2015 ; les autorités administratives devront accepter ces certificats électroniques et ces contremarques de temps pendant leur durée de vie, avec un maximum de trois ans ; les autorités administratives doivent accepter les certificats électroniques et les contremarques de temps conformes aux annexes de la version 2.0 du RGS à compter du 1er juillet 2015.”

Références

Le RGS V2

Thèmes abordés

1 Réagir à cet article

Nos offres d'emploi

Plus de 1000 offres d'emploi !

TOUTES LES OFFRES D'EMPLOI

Aujourd'hui sur les clubs experts gazette

Nos services

Prépa concours

CAP

Évènements

Gazette

Formations

Gazette

Fournisseurs public expo Public Expo

Commentaires

Le “RGS” ou la sécurité informatique des autorités administratives pour les pas trop nuls

Votre e-mail ne sera pas publié

Fabrice

03/10/2014 04h10

Malgré le respect qui m’inspire la maturité du CG13 sur ces questions, je ne partage pas l’avis de Marc Dovero lorsqu’il affirme « Le RGS est le bon point de départ pour une collectivité qui se demande par où commencer ». Selon moi, le RGS reste, y compris en version 2, un document très technique, qui n’a pas vocation à servir de « fil rouge » à une collectivité qui souhaite s’engager dans un cycle vertueux en matière de sécurité. A cet égard et à titre d’exemple, le guide d’hygiène informatique publié par l’ANSSI constitue une source bien plus « abordable » …

Commenter

Déjà inscrit(e) ?

Mot de passe oublié ?

Identifiant et/ou mot de passe non valides

Nous n’avons pas reconnu votre email, veuillez indiquer un email valide, utilisé lors de la création de votre compte.

Un message avec vos codes d'accès vous a été envoyé par mail.

Pas encore inscrit(e) ?

Inscrivez-vous pour accéder aux services de LaGazette.fr et à la gestion de vos Newsletters et Alertes.

M'inscrire gratuitement
 
En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d'intérêt. OK En savoir plus X