17 février 2010

Assurer la sécurité des systèmes d’information Le décret dit RGS (référentiel général de sécurité), prévu par l’article 9 de l’ordonnance du 8 décembre 2005, vient d‘être publié (1). Il fixe les règles auxquelles les systèmes d’information mis en place par les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif et tous les organismes chargés de la gestion d’un service public administratif, doivent se conformer pour assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles et notamment leur confidentialité et leur intégrité. Il décrit les démarches à suivre par les administrations pour assurer la protection de leurs systèmes d’information, notamment des téléservices. En terme de responsabilité, il incombe aux administrations de définir les fonctions de sécurité nécessaires, c’est-à-dire identifier les risques, fixer les objectifs et déduire les fonctions de sécurité et leur niveau en conformité avec le RGS, lors de la mise en place de tout système d’information. Le décret précise que l’autorité administrative « atteste formellement auprès des utilisateurs de son système d’information que celui-ci est protégé conformément aux objectifs de sécurité » et que, à défaut d’usage de produits ou prestataires qualifiés, l’autorité doit s’assurer de leur conformité. L’enjeux Les administrations doivent mettre leurs systèmes d’information en conformité avec le RGS dans un délai de trois ans pour les systèmes existants, raccourci à douze mois à compter passée la publication du RGS pour les applications créées dans les six mois suivants. Attester de la conformité au RGS S’agissant des téléservices, le décret constitue une forte incitation à destination des autorités administratives et de leurs fournisseurs à solliciter une qualification. Le décret fixe les règles de qualification des produits de sécurité (notamment, des procédés de signature électronique), des prestataires de service de confiance (tiers de confiance), de validation des conditions de délivrance des certificats électroniques et de référencement. Le décret précise les modalités d’habilitation des organismes de qualification des prestataires, l’agrément des centres d’évaluation des produits étant calqué sur le régime du décret du 18 avril 2002 sur l’évaluation et la certification de la sécurité des produits et systèmes d’information (2). Le référencement des produits et prestataires, déjà en vigueur au travers de la Politique de Référencement Intersectorielle de Sécurité (PRIS), devra être réexaminé à la lumière du RGS, dont les annexes remplacent la PRIS. Le décret et le projet d’arrêté devant approuver le RGS ont reçu un avis favorable de la Commission Consultative d’Evaluation des Normes (CCEN) (3). L’arrêté sera publié courant du 1er trimestre 2010. Les conseils Les autorités administratives et leurs fournisseurs doivent dès à présent anticiper ces exigences compte tenu du délai précité de mise en conformité de douze mois, au risque de sérieuses remises en cause ultérieures. (1) Décret n°2010-112 du 2-2-2010, JO du 4-2-2010 (2) Décret n°2002-535 du 18-4-2002, JO du 19-4-02 (3)Compte rendu du CCEN rendu le 7-5-2009 (Mise en ligne Février 2010) Paru dans la JTIT n°97/2010