Tout comprendre du RGS (Référentiel Général de Sécurité)

Face aux enjeux croissants de la cybersécurité, les administrations publiques ont la responsabilité de garantir des échanges numériques sûrs et fiables. Pour les y aider, la France s’est dotée d’un cadre de référence exigeant : le Référentiel Général de Sécurité (RGS). Ce socle commun pose les règles à suivre pour protéger les données sensibles, sécuriser les systèmes d’information et renforcer la confiance dans les services numériques.

Document juridique qui est analysé pour illustrer le RGS

Qu'est-ce que le RGS ?

Garantir la sécurité des informations et la confiance des citoyens : c’est la mission que le Référentiel Général de Sécurité (RGS) confie aux administrations publiques françaises. Ce cadre réglementaire définit les règles de sécurité que ces entités (État, collectivités territoriales, établissements publics) doivent appliquer pour sécuriser leurs systèmes d’information.

Issu de l’ordonnance n° 2005-1516 du 8 décembre 2005, le RGS a été adopté en 2010 dans le cadre de la modernisation de l’administration publique. Sa version 2.0, publiée en 2014, a permis une mise à jour face à l’évolution des menaces et des technologies.

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a élaboré la première version du RGS conjointement avec la DGME (Direction Générale de la Modernisation de l’État), puis en collaboration avec le SGMAP lors de la version 2.0. L’ANSSI assure également sa mise à jour, la délivrance des qualifications associées ainsi que le contrôle de l’application effective sur le terrain par le biais d’audits de conformité.

Concrètement, le RGS vise à instaurer un climat de confiance numérique entre l’administration et les citoyens : il sécurise les échanges électroniques, protège les données sensibles et garantit la continuité des services publics. Comme le précise l’ANSSI : « Le Référentiel Général de Sécurité est le cadre règlementaire permettant d’instaurer la confiance dans les échanges au sein de l’administration et avec les citoyens. »

Le RGS s’adresse principalement aux administrations, en particulier aux DSI, RSSI et aux acheteurs publics, mais concerne également les sociétés souhaitant obtenir de l’ANSSI un label de confiance. Pour une autorité administrative, le RGS constitue une norme nationale de référence en matière de sécurité des systèmes d’information publics. Le non-respect du RGS peut entraîner des demandes de mise en conformité.

Les objectifs du RGS

Le Référentiel Général de Sécurité (RGS) vise à atteindre plusieurs objectifs :

  • La protection des données sensibles : Assurer la confidentialité, l’intégrité et la disponibilité des informations traitées par les administrations.
  • L’authentification des utilisateurs : Garantir que seules les personnes autorisées accèdent aux services numériques grâce à des mécanismes d’identification fiables et robustes.
  • La traçabilité des actions : Mettre en place des dispositifs de journalisation et de contrôle des accès pour détecter d’éventuelles anomalies et de responsabiliser les utilisateurs.
  • L’encadrement des certificats électroniques : Réglementer l’usage des certificats et des signatures électroniques pour sécuriser les échanges et garantir l’authenticité des documents.
  • La continuité des services publics : Assurer le fonctionnement ininterrompu des services en ligne offerts aux citoyens, même en cas d’incident de sécurité.
  • Le renforcement de la confiance numérique : Instaurer un climat de confiance entre les citoyens et l’administration, en démontrant que les données sont gérées de manière sécurisée et conforme aux exigences réglementaires.

En appliquant le RGS, une autorité administrative peut attester que le niveau de sécurité de ses systèmes d’information est parfaitement adapté aux enjeux et aux risques spécifiques qu’elle rencontre. Cela permet de renforcer la résilience face aux cybermenaces et d’assurer une meilleure protection des usagers et des données qu’ils confient aux services publics numériques.

À qui s’adresse le RGS ?

Le Référentiel Général de Sécurité (RGS) s’adresse à deux grandes catégories d’acteurs : les entités qui doivent appliquer le RGS dans leurs pratiques numériques, et les prestataires qui fournissent des produits ou services conformes au RGS pour permettre cette application.

Les acteurs tenus d’appliquer le RGS

Le RGS est obligatoire pour l’ensemble des structures publiques et parapubliques chargées de garantir la sécurité des systèmes d’information traitant des données sensibles ou échangées dans le cadre des services publics :

  • Administrations publiques : ministères, agences nationales, autorités administratives indépendantes, etc.
  • Collectivités territoriales : régions, départements, communes, ainsi que leurs structures mutualisées ou établissements associés.
  • Établissements publics à caractère administratif (EPA) : hôpitaux, universités, organismes de recherche, etc.
  • Organismes chargés d’une mission de service public, y compris les opérateurs privés ou associatifs dans le cadre de délégations de service public (ex : transport, énergie, éducation, etc.).

Les prestataires impliqués dans l’écosystème RGS

Les prestataires de services ne sont pas directement assujettis au RGS, mais doivent proposer des solutions, produits ou prestations conformes pour collaborer avec les acteurs publics. Ils constituent un maillon essentiel de la chaîne de confiance.

Parmi eux :

  • Prestataires de services numériques : intégrateurs, éditeurs de logiciels, infogéreurs…
  • Prestataires de certification électronique : délivrance de certificats de signature, d’authentification, de chiffrement.
  • Prestataires de services d’horodatage électronique : fourniture d’horodatages qualifiés conformes au RGS.
  • Prestataires d’audit de la sécurité des SI : réalisation d’audits de conformité, tests d’intrusion, etc.
  • Hébergeurs et fournisseurs de services cloud : traitement et hébergement de données publiques sensibles (cloud souverain, HDS, etc.).

Bien que non directement soumis au RGS, ces prestataires doivent s’assurer que leurs services sont conformes aux exigences du référentiel pour être éligibles à travailler avec les entités publiques.

Les niveaux de sécurité du RGS

Le RGS propose trois niveaux de sécurité, représentés par un système d’étoiles, afin de garantir une protection adaptée selon les usages. Ces niveaux s’appliquent aux produits de sécurité — comme ceux utilisés pour le chiffrement, l’authentification ou la signature électronique — en fonction des risques auxquels ils sont exposés. Ainsi, ils permettent d’utiliser des produits qualifiés selon la criticité des données à protéger ou des opérations à sécuriser.

• 1 étoile : Niveau de sécurité de base

Le niveau 1 étoile est adapté aux systèmes présentant des risques modérés. Ces systèmes traitent un certain niveau de confidentialité mais leur compromission n’entraîne pas de conséquences graves. Il est suffisant pour des services où la confidentialité et l’intégrité des données sont importantes, sans nécessiter de mesures de sécurité complexes.

Exemples : Sylae (gestion des achats publics), certaines fonctions de Helios, la facture électronique, Chorus, ANTAI, PESV2 (gestion des cartes de stationnement)…

• 2 étoiles : Niveau de sécurité renforcé

Le niveau 2 étoiles est destiné aux systèmes qui nécessitent une protection plus robuste. Ces systèmes traitent des données sensibles ou stratégiques, et leur compromission pourrait avoir des conséquences significatives. Ce niveau inclut des outils cryptographiques et des processus de vérification stricts, notamment pour garantir l’identité des utilisateurs et prévenir les accès non autorisés.

Exemples : Plateformes de marchés publics, Guichet Unique (INPI), @ctes (Actes), contrôle de légalité, systèmes nécessitant une vérification physique de l’identité.

• 3 étoiles : Niveau de sécurité maximal

Le niveau 3 étoiles est réservé aux systèmes critiques pour l’État ou traitant des informations extrêmement sensibles. La compromission de ces systèmes pourrait avoir des conséquences graves sur les services publics ou la sécurité nationale. Les exigences de sécurité sont strictes : contrôles d’accès rigoureux, cryptage avancé, audits réguliers.

Exemples : L’Agence du Médicament (gestion des informations médicales), systèmes de gestion des infrastructures critiques, systèmes liés à la défense nationale.

Critères de classification des niveaux de sécurité

Le choix du niveau de sécurité applicable à un système d’information est basé sur une analyse de risques approfondie. Cette analyse prend en compte plusieurs critères, tels que :

  • La sensibilité des données traitées : Certaines données, comme celles relatives à la santé ou à la sécurité nationale, nécessitent des mesures de sécurité très strictes.
  • Les conséquences d’une compromission : Une analyse des impacts potentiels sur les services publics, les citoyens ou l’organisation est effectuée. L’usage de produits de sécurité de niveau 3 étoiles est généralement réservé aux contextes où une compromission pourrait entraîner des perturbations majeures dans des domaines critiques.
  • Les enjeux opérationnels associés : L’impact sur la continuité des services publics, le respect de la réglementation et la confiance des usagers sont également des critères pris en compte.

Chaque niveau de sécurité impose des exigences spécifiques que les systèmes doivent respecter pour obtenir la certification RGS. Ces exigences incluent des aspects techniques, organisationnels et de gestion, ainsi que des contrôles réguliers pour garantir la conformité aux standards de sécurité.

RGS et eIDAS : quelles compatibilités ?

Les certificats RGS conformes à eIDAS sont non seulement valides pour les transactions au sein de la France, mais également pour celles impliquant d’autres États membres de l’UE.

Ces deux textes ne sont pas équivalents d’un point de vue juridique, mais ils se complètent et sont parfois proches. Le niveau 1 étoile du RGS se rapproche des exigences de la signature électronique avancée. Les niveaux 2 et 3 étoiles du RGS se rapprochent des exigences de la signature électronique qualifiée.

Comment choisir son niveau RGS approprié ?

Comprendre les différents types de certificats RGS :

• Certificats pour Personnes Physiques : Ces certificats permettent d’authentifier l’identité d’une personne physique dans le cadre d’échanges électroniques. Ils sont couramment utilisés pour la signature électronique de documents, l’accès à des services en ligne sécurisés, etc.

• Certificats pour Personnes Morales : Ces certificats permettent d’authentifier l’identité d’une organisation (entreprise, administration, association) dans le cadre d’échanges électroniques. Ils sont utilisés pour sceller des documents au nom de l’organisation, authentifier les serveurs web, etc.

Critères de sélection d'un certificat RGS :

Le choix du certificat RGS doit être guidé par plusieurs critères :
  1. Le niveau de sécurité RGS requis : Le premier critère à prendre en compte est le niveau de sécurité requis pour le système d’information du certificat.

    Un certificat RGS 1 étoile est adapté aux systèmes avec des risques modérés. Un certificat RGS 2 ou 3 étoiles est nécessaire pour des systèmes traitant des informations sensibles ou critiques.

  2. Les besoins fonctionnels : Certains certificats sont adaptés à la signature électronique, d’autres à l’authentification forte, au chiffrement, ou encore à la sécurisation des serveurs. Il convient de choisir le certificat en fonction des usages.
  3. La conformité eIDAS : Il est fortement recommandé de choisir un certificat RGS qui soit conforme au règlement européen eIDAS. Cela facilite les échanges transfrontaliers et renforce la confiance dans les transactions électroniques.
  4. La durée de validité : Les certificats RGS ont une durée de validité limitée (généralement de 1 à 3 ans). Il est important de choisir une durée de validité adaptée aux besoins de l’organisation et de prévoir le renouvellement du certificat avant son expiration.
  5. L’Autorité de Certification (AC) : Le certificat doit être délivré par une Autorité de Certification qualifiée et reconnue par l’ANSSI. Cela garantit que le certificat respecte les normes de sécurité les plus élevées. Par exemple, ChamberSign est une AC reconnue, délivrant des certificats qualifiés répondant aux exigences du RGS et d’eIDAS.

Le choix du certificat RGS est une décision importante qui doit être prise en fonction des besoins spécifiques de chaque organisation et de son niveau de risque.

Les certificats RGS de Chambersign

Chambersign propose une gamme complète de certificats adaptés aux besoins des organisations. Voici un aperçu des principales solutions disponibles :

Certificats d’identité et de signature

Présentation des critères des certificats RGS de ChamberSign

Pour en savoir plus sur nos différents certificats d’identité et de signature RGS : Initio, Audacio Identité, Negocio, Eiducio, Eiducio+.

Certificats pour serveurs et systèmes d’informations

Pour en savoir plus sur nos différents certificats serveurs et systèmes d’informations RGS* : Certiserv Serveur client, Certiserv SSL.

En s’appuyant sur une Autorité de Certification reconnue comme ChamberSign, les entreprises et administrations bénéficient d’un haut niveau de sécurité, de conformité et d’accompagnement dans le choix de leur certificat RGS.

Vous souhaitez sécuriser vos échanges numériques ? Découvrez nos solutions de certificats RGS.

Bannière cliquable "Protégez votre entreprise dès aujourd'hui avec les certificats électroniques Chambersign"
Autorité de certification
depuis 25 ans
Commande en ligne
de vos certificats
Un réseau
de proximité
Service client disponible
à votre écoute
Un projet ? Une question ?
Prenez contact avec nos experts en certificat électronique ou experts en dématérialisation
Contactez-nous
Suivez l'actualité de ChamberSign
Nous sommes présents sur Linkedin, ne ratez pas nos dernières news !

Grâce à ChamberSign, autorité de certification depuis 25 ans, vous faites le choix d’obtenir des identités numériques développées, conçues, fournies et hébergées en France pour divers usages (signature, scellement, authentification, etc). Au service des entreprises, des grands groupes, et des organisations privées ou publiques, Chambersign permet de sécuriser les communications en ligne, via des procédés d’identification, d’authentification et de sécurisation. C’est le cas pour signer, sceller, ou sécuriser des documents, ou bien pour accéder à certaines plateformes et pouvoir s’y connecter. ChamberSign propose une large gamme de produits de certificats électroniques et d’outils de signatures électroniques. Nos solutions répondent au référentiel général de sécurité (RGS). Les produits concernés disposent de la mention RGS * (une étoile) et RGS * (deux étoiles) ainsi qu’à la réglementation européenne eIDAS (ElectronicIDentification And Trust Services). Retrouvez sur notre site le descriptif de chacun de nos produits pour répondre au plus juste à vos besoins ! Que vous souhaitiez obtenir un certificat électronique professionnel grâce à nos solutions Eiducio (eIDAS), Initio RGS*, Audacio Identité RGS**,ou vous équiper de certificats électroniques « corporate » via des outils dédiés tels que Négocio RGS,Certiserv SSL RGS*, EuroComercio (eIDAS), Certiserv SSL ou Certiserv serveur client RGS*.Vous pouvez également disposer d’outils de signatures avec Sunnysign Advanced ou Sunnysign Standard. Un besoin en matière de Cybersécurité ? Les certificats électroniques jouent un rôle primordial en matière de sécurité informatique.  Sécurisez toutes les données sensibles de vos sites internet, vos extranets et intranets, protégez vos serveurs ou applications, chiffrez vos flux de données avec nos certificats électroniques TLS/SSL !Tiers de confiance depuis 2020, Chambersign détient le visa de sécurité de la ANSSI pour ses services de certification électronique et depuis 2021, le Label France CyberSecurity. Vous avez besoin de conseils ? Faites appel à nos experts en certificats électroniquespour vous guider dans votre choix ! Nous mettons aussi à votre disposition plus de 140 bureaux d’enregistrement et près de 350 opérateurs habilités à la délivrance de certificats numériques sur l’ensemble du territoire français (Guyane et Dom inclus). Retrouvez aussi l'actualité de Chambersign sur notre chaine Youtube et sur les réseaux sociaux en suivant nos comptes Facebook Chambersign, Twitter Chambersign et LinkedinChambersign.