Le RGS (Référentiel Général de Sécurité) porte sur les échanges électroniques entre les usagers et les autorités administratives. Il est prévu par l’ordonnance n°2005-1516 du 8 décembre 2005 et est détaillé par le décret n° 2010-112 du 2 février 2010. Ses conditions d’élaboration, d’approbation, de modification et de publication sont notamment explicitées aux articles 9, 10 et 12 de l’ordonnance citée. Certes, mais à quoi sert-il exactement ? Qui en a besoin et comment le mettre en place ? Réponses.
Qu’est-ce que le RGS ?
Le RGS fixe des règles que doivent respecter certaines fonctions permettant de contribuer à la sécurité optimale des informations échangées par voie électronique. Ces fonctions sont par exemple la signature électronique, l’authentification en ligne, l’horodatage ou encore la confidentialité.
Les règles que doivent respecter ces fonctions dépendent du niveau de sécurité exigé, identifié par une, deux ou trois *. Le RGS contient également des bonnes pratiques en matière de sécurité des systèmes d’information (SSI) afin d’aider les prestataires de services et les autorités administratives à faire le bon choix en termes de SSI.
Il existe ainsi trois types de certificats RGS, dont le nombre d’étoiles correspond au niveau de sécurité qu’il peut offrir au client :
- Certificat RGS* : niveau élémentaire de protection selon le processus RGS
- Certificat RGS** : niveau standard de protection selon le processus RGS
- Certificat RGS*** : niveau renforcé de protection selon le processus RGS
Tous les certificats RGS doivent être conformes aux exigences de sécurité devant s’appliquer au dispositif de protection des éléments secrets d’un service applicatif.
Qui est concerné par le RGS ?
Grâce aux certificats électroniques, les documents physiques sont dématérialisés et conservent leur valeur juridique. Ainsi, toute société ou organisation dans laquelle un client souhaite échanger des informations confidentielles avec une structure spécialisés est concernée par le RGS.
Parmi les secteurs nécessitant l’utilisation des certificats RGS, on retrouve notamment le secteur bancaire mais également les assurances, la santé, les marchés publics, l’éducation, le commerce et la justice. Il s’agit bien sûr d’une liste non exhaustive.
Pour bénéficier d’un certificat électronique répondant aux normes du RGS (et dont le niveau de sécurité est indiqué par une, deux ou trois *), la société émettrice du certificat doit respecter une procédure stricte qui garantit la confidentialité absolue et la sécurité optimale dudit certificat.
Ce dernier, qui contient une signature numérique du client, est apposé sur une clef cryptographique. Au sein même de la structure de la société émettrice, la demande d’émission de la clef doit passer par deux personnes : un opérateur de saisie et un vérificateur. Une fois les documents valides, la procédure de fabrication de la clef est lancée.
Un opérateur intermédiaire (souvent une société représentative proche du client final) doit également être missionné pour jouer l’intermédiaire entre la société émettrice du certificat et le client final. Cette dernière ne peut ainsi pas délivrer la clef cryptographique au client final, mais seulement le code d’activation de ladite clef.
En suivant cette procédure stricte, les secteurs le nécessitant peuvent bénéficier de certificats conformes aux RGS et faciles à utiliser, pour une sécurité accrue des échanges entre partenaires.
