RGS v2.0 : un texte à obsolescence programmée
Citation : Cabinet Caprioli & Associés, RGS v2.0 : un texte à obsolescence programmée, www.caprioli-avocats.com
Mise en ligne : 8 juillet 2014
Le 24 juin 2014 a été publié l’arrêté du 13 juin 2014 approuvant une seconde version du référentiel général de sécurité. Ce référentiel, prévu par l’article 9 de l’ordonnance du 8 décembre 2005[1], a pour but d’établir, conformément aux termes du décret n°2010-112[2], « les règles auxquelles les systèmes d'information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l'intégrité de ces systèmes et l'identification de leurs utilisateurs ».
En 2010, respectant à la lettre les termes de cet article 9 de l’ordonnance du 8 décembre 2005 selon lesquels ce RGS devait fixer « les règles que doivent respecter les fonctions des systèmes d'information », une première version du RGS avait été introduite par l’arrêté du 6 mai 2010[3]. Cette première version était axée sur les fonctions de sécurité que sont l’authentification, la signature électronique, la confidentialité et l’horodatage, la plupart de ces fonctions de sécurité étant dotées, au sein des documents constitutifs du RGS, d’une annexe et d’une politique de certification type.
Dans le cadre de la nouvelle déclinaison présentée le 13 juin dernier, et disponible sur le site de l’ANSSI[4], si les principes fondamentaux ont été conservés (notamment quelques éléments liminaires sur les fonctions de sécurité), l’ordonnancement de l’ensemble a été chamboulé et rationnalisé, réduisant les explications et les documents annexes afin de proposer un ensemble cohérent faisant la part belle à la mise en application (ex : Description des étapes de mises en conformité, recommandations relatives à l’application du référentiel, rationalisation des annexes relatives aux politiques de certification type…).
L’arrêté du 24 juin prévoit également le remplacement progressif des certificats valables sous le précédent référentiel par ceux qui seront établis sous l’emprise de ce nouveau texte selon le calendrier suivant :
- Les certificats électroniques et les contremarques de temps issus du précèdent RGS pourront continuer à être émis pendant l'année qui suit l'entrée en vigueur de l’arrêté ;
- Les autorités administratives devront les accepter pendant leur durée de vie, qui ne pourra excéder trois ans ; et
- Les autorités administratives ne sont tenues d'accepter les nouveaux certificats électroniques et contremarques de temps qu'à compter du 1er juillet 2015.
Cela étant, force est de constater que cette nouvelle version est à obsolescence programmée. En effet, l’ANSSI précise sur son site que « La version 2.0 du RGS constitue un référentiel de transition entre une première version liée à la mise en œuvre de l’administration électronique et une troisième version qui se fondera sur la réglementation européenne en cours d’évolution. »[5]. Il semble ainsi que l’ANSSI, prenant en compte l’ensemble des dernières évolutions juridiques et techniques majeures, en ce compris les nouvelles dispositions européennes et notamment celles du règlement du Parlement européen et du Conseil sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur[6], œuvre déjà au remplacement de ce référentiel.
Il est à noter que si ce référentiel a initialement pour vocation à édicter les règles auxquelles les systèmes d'information mis en place par les autorités administratives doivent se conformer, il constitue un état de l’art de la sécurité des systèmes d’information et de la dématérialisation (non obligatoire mais parfois élément de référence[7]) pour les relations entre opérateurs privés.
[1] Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JORF n°286 du 9 décembre 2005 page 18986 texte n° 9. Sur ce point voir : Éric A. CAPRIOLI Commentaire de l'ordonnance du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, Communication Commerce électronique n° 4, Avril 2006, comm. 75.
[2] Décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives, JORF n°0029 du 4 février 2010 page 2072 texte n° 1, sur ce point voir : Éric A. CAPRIOLI Décret n° 2010-112 du 2 février 2010 fixant les conditions d'élaboration et de publication du Référentiel général de sécurité, Communication Commerce électronique n° 4, Avril 2010, comm. 42
[3] Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques, JORF n°0113 du 18 mai 2010 page 9152, texte n° 1. Sur ce point voir :Éric A. CAPRIOLI Référentiel général de sécurité : adoption de l'arrêté Communication Commerce électronique n° 7-8, Juillet 2010, comm. 81.
[4] Disponible sur le site www.ssi.gouv.fr sous le lien : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/liste-des-documents-constitutifs-du-rgs-v-2-0.html.
[5] Disponible sur le site www.ssi.gouv.fr sous le lien : http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/.
[6] Disponible à l’adresse : http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2014-0282+0+DOC+XML+V0//FR&language=FR.
[7] Comme pour la Politique d’acceptation commune du CFONB (disponible à l’adresse : http://www.cfonb.org/fichiers/20130612111123_5_1_CFONB_PAC_V3.0_2012_01_17.pdf), s’appuyant sur le RGS, qui permet la reconnaissance mutuelle des certificats référencés pour la communauté bancaire.