RGS

Le Référentiel Général de Sécurité (RGS) est un ensemble de règles, de normes et de bonnes pratiques élaboré par l’État français en février 2010. Son objectif ? Garantir la sécurité des systèmes d’information utilisés par les administrations publiques, mais aussi par les prestataires de services numériques qui travaillent avec elles. Il s’agit d’assurer la protection des données, ainsi que leur confidentialité, leur intégrité, leur disponibilité et leur authenticité – le but final étant de renforcer la confiance des usagers dans les échanges électroniques avec les services publics. Allons voir cela de plus près.

Partage
Quelques éléments de contexte

Le RGS a été conçu dans un contexte où l’administration française se numérise de plus en plus : les services en ligne sont en train de devenir – pour le meilleur et pour le pire – un canal privilégié pour les interactions entre l’État et les citoyens, les entreprises ou autres entités publiques. Une telle transformation numérique a rendu nécessaire l’établissement d’un cadre de sécurité robuste qui permettrait de protéger les données sensibles contre les cyberattaques, les fuites de données ou les falsifications.

Ce référentiel est obligatoire pour toutes les administrations publiques en France. Il s’impose à :

  • tous les services de l’État,
  • les collectivités territoriales,
  • les établissements publics,
  • les prestataires de services numériques qui traitent des données pour le compte de ces entités.

Tout l’enjeu du RGS est de définir les exigences minimales de sécurité informatique auxquelles doivent se conformer ces entités.

Il s’inscrit dans une démarche plus globale, celle de la sécurisation de l’écosystème numérique de l’État.

Que contient le Référentiel Général de Sécurité ?

Le RGS est structuré autour de quatre axes principaux, souvent désignés par l’acronyme DICA.

  1. Disponibilité : assurer que les services concernés sont accessibles et opérationnels dès que cela est nécessaire. Cette exigence implique la mise en place de mesures pour prévenir les interruptions de service, comme les célèbres attaques par déni de service (DDoS).
  2. Intégrité : garantir que les informations ne sont ni modifiées ni altérées de manière non autorisée. Attention : cela concerne aussi bien les données en transit que les données stockées !
  3. Confidentialité : protéger les informations sensibles contre l’accès non autorisé, via un chiffrement des données et la gestion rigoureuse des accès.
  4. Authenticité : vérifier l’identité des acteurs (utilisateurs, systèmes) impliqués dans les échanges afin de s’assurer que l’information provient bien de la source déclarée.
La question des niveaux de sécurité

Le RGS établit plusieurs niveaux de sécurité, fondés sur la criticité des systèmes d’information et des données traitées. Chaque niveau est ensuite associé à un ensemble d’exigences techniques et organisationnelles spécifiques.

Ces exigences couvrent de (très) nombreux domaines : gestion des identités et des accès, protection des communications, gestion des incidents de sécurité, continuité d’activité…

Ce système de classification en niveaux de sécurité permet aux administrations de choisir les mesures les plus adaptées à leurs besoins en fonction de l’impact potentiel d’une compromission de leur système d’information.

Comment se conformer au RGS ?

La certification RGS est délivrée par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), qui est l’autorité chargée de la mise en œuvre du référentiel. Une telle certification atteste que les solutions concernées respectent les exigences du RGS en matière de sécurité.

Bonne nouvelle : le RGS est présent dans Tenacy ! Vous pourrez donc être guidé dans votre mise en conformité, grâce à des plans d’action générés automatiquement et un suivi facilité de vos initiatives.