Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques








télécharger 221.02 Kb.
titrePortant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques
page1/19
date de publication06.02.2018
taille221.02 Kb.
typeDocumentos
ar.21-bal.com > loi > Documentos
  1   2   3   4   5   6   7   8   9   ...   19
REPUBLIQUE FRANCAISE
PREMIER MINISTRE

Arrêté du XXX

portant approbation du référentiel général de sécurité
et précisant les modalités de mise en œuvre de la procédure
de validation des certificats électroniques


NOR :



Publics concernés : autorités administratives (administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif, les organismes gérant des régimes de protection sociale relevant du code de la sécurité sociale et du code rural ou mentionnés aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargés de la gestion d’un service public administratif), éditeurs de produits de sécurité, prestataires de services de confiance, organismes de qualification.
Objet : référentiel général de sécurité, sécurité des systèmes d’information.
Entrée en vigueur : 1er janvier 2013.




Notice : Le présent arrêté approuve la seconde version du référentiel général de sécurité. Ce référentiel décrit une démarche de mise en sécurité des systèmes d’information applicable à chaque autorité administrative. Il précise également des règles et des recommandations en cas d’utilisation de produits de sécurité ou de recours à des prestataires de services de confiance (prestataires de services de certification ou d’horodatage électroniques, audit de la sécurité des systèmes d’information).
Références : Le présent arrêté est pris pour application du décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005 1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

Le Premier ministre,

Vu la directive n° 98/34/CE du Parlement européen et du Conseil du 22 juin 1998 modifiée prévoyant une procédure d’information dans le domaine des normes et réglementations techniques et des règles relatives aux services de la société de l’information ;

Vu le code de la défense, notamment son article R.* 1132-3 ;

Vu le code général des collectivités territoriales, notamment son article L.1211-4-2 ;

Vu l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, notamment son article 9 ;

Vu le décret n° 2005-1792 du 30 décembre 2005 portant création d'une direction générale de la modernisation de l’État au ministère de l'économie, des finances et de l'industrie ;

Vu le décret n° 2009-834 du 7 juillet 2009 modifié portant création d’un service à compétence nationale dénommé « agence nationale de la sécurité des systèmes d’information » ;

Vu le décret n° 2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 susvisée, notamment ses articles 2, 22 et 23 ;

Vu le décret n°2011-193 du 21 février 2011 portant création d’une direction interministérielle des systèmes d’information et de communication de l’Etat ;

Vu la notification à la Commission européenne n° XXX du XXX ;
Arrête :

Article 1

La version 2.0 du référentiel général de sécurité prévu à l’article 2 du décret n° 2010-112 du 2 février 2010 susvisé est approuvée.

Article 2

Le référentiel général de sécurité mentionné à l’article 1er est disponible par voie électronique sur le site Internet de l'agence nationale de la sécurité des systèmes d’information (www.ssi.gouv.fr/rgs) et sur le site Internet de la direction générale de la modernisation de l’État (www.references.modernisation.gouv.fr).

Article 3

Les modalités de mise en œuvre de la procédure de validation des certificats électroniques prévues à l’article 23 du décret n° 2010-112 du 2 février 2010 susvisé sont précisées dans le référentiel général de sécurité.

Article 4

La liste des informations relatives à la délivrance et à la validation des certificats électroniques mises à la disposition des usagers par les autorités administratives dans le cas d'un téléservice, prévue à l’article 22 du décret n° 2010-112 du 2 février 2010 susvisé, est fixée dans le référentiel général de sécurité.

Article 5

L’arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité
et précisant les modalités de mise en œuvre de la procédure
de validation des certificats électroniques est abrogé au 31 décembre 2012.

Article 6

Le présent arrêté entre en vigueur au 1er janvier 2013.

Article 7

Le présent arrêté sera publié au Journal officiel de la République française.

Fait à Paris, le XXX


Pour le Premier ministre et par délégation,

Le secrétaire général de la défense et de la sécurité nationale,

Francis Delon




Premier ministre

Agence nationale de la sécurité
des systèmes d’information







Référentiel Général de Sécurité
Version 2.0
Projet 0.9 du 1er août 2012

Synthèse

Le Référentiel général de Sécurité (RGS) traite de l’ensemble des thématiques et des composantes qui régissent la sécurité des systèmes d’information et des échanges électroniques. C’est un texte réglementaire permettant la prise en compte de la sécurité dans l’administration électronique. Il est d’application obligatoire pour les entités concernées : les autorités administratives et peut être considéré comme un recueil de bonnes pratiques pour tous les autres organismes.

Pour couvrir la grande variété des types d’autorités administratives soumises à ce texte – des ministères aux collectivités territoriales en passant par établissements publics, autorités administratives indépendantes, etc. – la criticité des informations qu’elles stockent, traitent et échangent, et la complexité des services en ligne qu’elles mettent en œuvre, la première des règles du RGS est d’ordre méthodologique. Il n’est pas, a contrario, un recueil de mesures de sécurité que les autorités administratives devraient obligatoirement et indifféremment respecter en totalité, à l’instar de recueils relatifs, par exemple, à la protection d’informations classifiées de défense ([IGI1300] et [II920] pour le niveau Confidentiel Défense) ou de données bancaires ([PCI-DSS]).

Appelé par l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, le RGS traite, par essence, de la sécurité des échanges électroniques. Il aborde la sécurisation du patrimoine informationnel d’un organisme à travers une approche méthodique et globale dont les étapes incontournables sont fixées aux articles 3, 4 et 5 du décret n° 2010-112 du 2 février 2010. Ainsi l’autorité administrative doit, successivement, afin de protéger un système d’information :

  • Identifier l’ensemble des risques pesant sur la sécurité du système d’information ;

  • Fixer les objectifs de sécurité pour répondre de manière proportionnée au besoin de protection du système d’information face aux risques identifiés ;

  • En déduire les fonctions de sécurité et leur niveau qui permettent d’atteindre ces objectifs ;

  • Recourir à des produits de sécurité et à des prestataires de services de confiance ayant idéalement fait l’objet d’une qualification ;

  • Attester formellement auprès des utilisateurs de son système d’information que celui-ci est protégé conformément aux objectifs de sécurité fixés.

Il est ainsi obligatoire pour une autorité administrative d’identifier les risques – conjugaison de l’impact d’un incident avec sa probabilité d’occurrence –, de les évaluer et de les traiter au travers d’une analyse des risques. Celle-ci permet de caractériser, dans un contexte et un périmètre donné et propre à l’autorité administrative, les biens essentiels qu’il convient de protéger selon les critères dont les principaux sont la confidentialité, la disponibilité, l’intégrité ; de caractériser également les menaces et les vulnérabilités du système. Face à ces risques l’autorité administrative met en place des mesures techniques, organisationnelles ou procédurales afin de protéger son système d’information et de réduire le risque à un niveau acceptable. De telles mesures sont décrites dans le RGS ainsi que dans d’autres guides, normes ou référentiels (norme [ISO27002], [EBIOS]…).

Lorsqu’elles sont d’ordre technique, les mesures de sécurité retenues peuvent être assurées par des produits de sécurité ou par certains prestataires de services de confiance. Pour aider les autorités administratives dans leur choix, un label – la qualification – est délivré aux produits et prestations de services qui atteste de leur conformité aux règles du RGS et qui garantie également leur qualité ainsi que la confiance qu’on peut leur accorder.

Certaines mesures de sécurité impliquent la mise en œuvre de la cryptographie, technique généralement considérée comme la plus efficace pour protéger une information objet d’échanges électroniques. La cryptographie asymétrique et l’emploi des certificats électroniques délivrés par des prestataires de services de confiance sont considérés, à ce jour, comme les techniques les plus sûres pour assurer les fonctions de sécurité suivantes : confidentialité, authentification, signature électronique, horodatage électronique. Le RGS fixe les règles et décrit l’état de l’art à ce sujet.

En complément, les autorités administratives doivent prendre conscience que la démarche de sécurisation et de défense de leurs systèmes d’information s’inscrit, d’une part, dans la durée et nécessite, d’autre part, un suivi quotidien.

En effet, bien que les mesures de sécurité « préventives » permettent de se protéger avec une certaine efficacité contre les attaques informatiques, seuls un suivi régulier et une surveillance quotidienne du système d’information dans le cadre d’une défense active et dynamique permettent d’atteindre un niveau de protection optimal et une réaction rapide en cas d’attaque informatique avérée ou soupçonnée. La règle dite du « 80-19-1 » peut être mise en avant : 80% des attaques sont arrêtées par les mesures de sécurité préventives, 19% par des mesures de détection et de surveillance … et 1% des attaques passeront quelles que soient les lignes de défense. Ces dernières ne peuvent être traitées que par des mesures, généralement peu techniques, de résilience, de redondance, de fonctionnement en mode dégradé et de remise en état de marche et ces risques, résiduels, doivent être acceptés.

L’audit de la sécurité du système d’information, qu’il soit technique ou organisationnel est l’un des moyens d’éprouver et de s’assurer du niveau de sécurité de son système d’information. Il permet, en pratique, de mettre en évidence les forces mais surtout les faiblesses et vulnérabilités du système d’information. Ses conclusions permettent d’identifier des axes d’amélioration et de contribuer ainsi à l’élévation de son niveau de sécurité.

Les résultats de l’analyse des risques, la détermination et la mise en œuvre des mesures de sécurité appropriées, le choix des produits de sécurité et des prestations de services de confiance, les résultats d’audit et de surveillance ainsi que le choix des mécanismes cryptographiques s’inscrivent dans un processus appelé homologation de sécurité.

La décision d’homologuer un système d’information est prise au plus haut niveau hiérarchique de l’autorité administrative et atteste formellement que les questions de sécurité ont bien été prises en compte. C’est un acte qui implique la responsabilité de l’autorité administrative, motivé sur la base d’un dossier de sécurité élaboré par les spécialistes, techniciens, RSSI et autres acteurs qui ont identifiés, mis en place et évalués les mesures de protection et de défense du système d’information ainsi que l’organisation au sein de l’autorité administrative.

Il est très fréquent que les autorités administratives s’attachent les services de prestataires qui vont les assister dans leur démarche de sécurisation de leurs systèmes d’information. Ces services peuvent être de nature intellectuelle (audit de la sécurité du système d’information, traitement d’incident de sécurité, etc.) ou technique (cyberdéfense du système d’information, externalisation, infogérance, mise dans le nuage de tout ou partie du système d’information, tierce maintenance applicative, etc.). Dans tous les cas, l’autorité administrative doit veiller aux clauses relatives à la sécurité qui figurent dans les contrats qu’elle passe.

Enfin, le facteur humain ne doit jamais être négligé. La sensibilisation du personnel aux questions de sécurité et à la vigilance ne doit jamais être sous-estimée de même que la formation du personnel intervenant plus spécifiquement dans la mise en œuvre et dans l’opération – surveillance, détection, prévention – de la sécurité du système d’information.

Le RGS détaille l’ensemble de ces éléments.

Sommaire

Arrêté du XXX 1

portant approbation du référentiel général de sécurité
et précisant les modalités de mise en œuvre de la procédure
de validation des certificats électroniques 1


NOR : 1

Avant-propos 8

Le cyberespace 8

La dépendance aux technologies de l’information 8

La faiblesse des technologies de l’information 8

Les risques et les menaces dans le cyberespace 9

La défense et la sécurité des systèmes d’information 10

L’administration électronique et le RGS 10

Eléments de contexte 11

Cadre juridique 11

Structure du RGS 11

Acteurs concernés 12

Evolutions par rapport à la première version du RGS 13

Transition entre la première et la seconde version du RGS 13

Démarche de mise en conformité avec le RGS : description des étapes 14

Analyse des risques 14

Principes de l’analyse des risques 14

Modalités de la démarche d’analyse des risques 15

Définition des objectifs de sécurité 15

Choix et mise en œuvre des mesures de sécurité adaptées 16

Décision d’homologation de sécurité du système d’information 16

Suivi opérationnel de la sécurité du système d’information 17

Recommandations générales et bonnes pratiques 18

Accès aux éléments documentaires relatifs à la SSI 18

Principes généraux de la sécurité des systèmes d’information 18

Guides thématiques 18

Adopter une démarche globale 18

Adapter l’effort de protection des systèmes d’information aux enjeux de sécurité et prendre en compte la SSI dans les projets 19

Impliquer les instances décisionnelles 20

Organiser la sécurité des systèmes d’information 20

Organiser les responsabilités liées à la SSI 20

Mettre en place un système de management de la sécurité des systèmes d’information 20

Elaborer une PSSI 21

Sensibiliser le personnel 21

Utiliser les produits et prestataires labellisés pour leur sécurité 21

Mettre en place des mécanismes de défense des systèmes d’information 22

Procéder à des audits réguliers de la sécurité du système d’information 22

Elaborer des plans de traitement d’incidents ainsi que de continuité et de reprise d’activité 22

Prendre en compte la sécurité dans les contrats et les achats 22

Prendre en compte la sécurité dans les projets d’externalisation et de cloud computing 23

Réaliser une veille sur les menaces et les vulnérabilités 23

Catalogues de mesures de sécurité relatives à la sécurité des systèmes d’information 24

Favoriser l’interopérabilité 24

Règles et recommandations particulières relatives à certaines fonctions de sécurité 24

Règles relatives à la cryptographie 24

Règles relatives à la protection des échanges électroniques 25

L’authentification d’une entité par certificat électronique 25

La signature et le cachet électroniques 26

Confidentialité 27

Horodatage électronique 27

Accusé d’enregistrement et accusé de réception 28

L’article 5 de l’[Ordonnance] prévoit que les accusés d’enregistrement et les accusés de réception soient émis selon un procédé conforme au RGS. Ces accusés ne constituent pas en eux-mêmes des fonctions de sécurité. En revanche, ils peuvent s’appuyer sur des fonctions de sécurité, qui sont prévues au chapitre 5 du présent document telles que les fonctions de signature, de cachet et d’horodatage. 28

Qualification des produits de sécurité et des prestataires de services de confiance 29

Qualification des produits de sécurité 29

Qualification des prestataires de services de confiance 30

Les prestataires de services de certification électronique 31

Les prestataires de services d’horodatage électronique 31

Les prestataires d’audit de la sécurité des systèmes d’information 31

Validation des certificats par l’Etat : IGC/A et RGS 31

L’IGC/A 31

Procédure de validation des certificats par l’Etat au titre du RGS 32

Règles de sécurité 34

Procédure de validation 34

Liste des informations relatives à la délivrance et à la validation 35

Liste des annexes du RGS 35

Documents applicables concernant l’utilisation de certificats électroniques 35

Documents applicables concernant l’utilisation de mécanismes cryptographiques 36

Référentiel d’exigences applicables aux prestataires d’audit de la SSI 36

Référentiel d’exigences relatif à la sécurité des sites de personnalisation 36

Références documentaires 36

Références réglementaires 36

Références techniques 37

Glossaire 38


  1   2   3   4   5   6   7   8   9   ...   19

similaire:

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconRésumé La sécurité est un enjeu majeur des technologies numériques...
«Public Key Infrastructure» pour l’authentification, le vpn «Virtual Private Network» – ipsec pour le cryptage des données et les...

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconBulletin d’adhésion
«temps partiel autorisé». La demande est à faire normalement en mars. Par sécurité, contactez les élus C. C. M. A. de votre académie...

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconI. Qu’est-ce que la sécurité sociale ? La sécurité sociale, c’est...
«Toute personne en tant que membre de la société, a droit à la sécurité sociale»

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconQuestions clés sur la sécurité
«cloud computing» et des principes de base de la sécurité du nuage. Son but n'est pas de répondre à toutes les questions relatives...

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconProgramme 1 : poursuivre la structuration d’une offre diversifiée...
«obligatoires» et la mise à disposition dans 100 des cas des preuves de matérialité ou compensatoires dans l’attente du référentiel...

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconArrêté du 24 mars 2006 portant création et définition de la mention...
«Sécurité des Ascenseurs Existants», tout cela va entraîner d’importants besoins de personnel : 1 500 recrutements par an au cours...

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconDossier pedagogique mise en œuvre d’activites df cpap ien c1&2 la couleur
«jaune» ou «bleu», ou «rouge»… trier, faire des collections, nommer les couleurs

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconObjet : modification simplifiee n°3 du pos – modalites de mise a disposition au public
«chai» destiné à de l’habitation et dont la façade d’origine est caractéristique de l’architecture locale

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconLe processeur, la mémoire et le dispositif de gestion des entrées-sorties
«Ordinateur» en précisant que le mot «Ordinateur» était un adjectif provenant du Littré signifiant «Dieux mettant de l'ordre dans...

Portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques iconRéflexion sur l’élaboration d’un document expérimental et départemental...
«mise en œuvre de la personnalisation des parcours» compte rendu de la séance 1








Tous droits réservés. Copyright © 2016
contacts
ar.21-bal.com