ANSSI

Edito L’administration électronique a son référentiel général de sécurité La sécurisation des SI publics Plus de 4 ans après l’ordonnance du 8 décembre 2005 le prévoyant (1), le Référentiel général de sécurité (RGS) vient d’être homologué par un arrêté du 6 mai 2010 paru au Journal Officiel du 18 mai 2010 (2). Le Gouvernement a pris soin d’observer la procédure de notification à la Commission européenne, le 25 mars 2009, dont l’inobservation peut être sanctionnée par l’inopposabilité des textes. Il a également reçu, en mai 2009, un avis favorable de la Commission Consultative d’Evaluation des Normes (CCEN) (3). Rappelons que le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives (dont les collectivités territoriales), dans la sécurisation de leurs systèmes d’information, en particulier les téléservices. Il fixe ainsi les règles auxquelles les systèmes d’information mis en place par les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif et tous les organismes chargés de la gestion d’un service public administratif, doivent se conformer pour assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, et notamment leur confidentialité et leur intégrité. Les enjeux Assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, notamment en termes de confidentialité et d’intégrité de ces informations. Une mise en conformité nécessaire L’arrêté est la dernière pierre d’un édifice visant à sécuriser les Système d’Information des administrations en suivant les meilleures pratiques du marché. La publication de la version 1.0 du RGS annonce le point de départ de la sécurisation des SI publics, l’ordonnance du 8 décembre 2005 fixant le délai de mise en conformité à 3 ans pour les systèmes d’information existant et 12 mois pour les systèmes d’information déployés dans les 6 mois suivant la publication du RGS. Les systèmes d’information créés à compter de la fin 2010 devront donc être conformes au RGS. La version homologuée (v1.0) du référentiel est disponible par voie électronique sur les sites Internet de l’Agence nationale de la sécurité des systèmes d’information (4) et de la direction générale de la Modernisation de l’Etat (5). Les autorités administratives devront attester, à l’égard des usagers, de la conformité de leurs systèmes d’information au RGS et, sauf à recourir à des produits ou prestataires qualifiés, vérifier la conformité desdits produits ou prestataires. Les conseils Les administrations qui devront définir leur politique de sécurité et attester, à l’égard des usagers, de la conformité des systèmes d’information au RGS, auront le choix de vérifier cette même conformité des produits et prestataires, ou de sélectionner des produits et services qualifiés. (1) Ord. 2005-1516 du 8-12-2005 (2) Arrêté du 6-5-2010 (3) Avis favorable de la CCEN du 7-5-2009 (4) Site de l’Anssi (5) Site de la Dgme (Mise en ligne Juin 2010) Paru dans la JTIT n°101/2010 Philippe Ballet Avocat, Directeur du département Dématérialisation et archivage électronique

Edito L’administration électronique a son référentiel général de sécurité La sécurisation des SI publics Plus de 4 ans après l’ordonnance du 8 décembre 2005 le prévoyant (1), le Référentiel général de sécurité (RGS) vient d’être homologué par un arrêté du 6 mai 2010 paru au Journal Officiel du 18 mai 2010 (2). Le Gouvernement a pris soin d’observer la procédure de notification à la Commission européenne, le 25 mars 2009, dont l’inobservation peut être sanctionnée par l’inopposabilité des textes. Il a également reçu, en mai 2009, un avis favorable de la Commission Consultative d’Evaluation des Normes (CCEN) (3). Rappelons que le RGS définit un ensemble de règles de sécurité qui s’imposent aux autorités administratives (dont les collectivités territoriales), dans la sécurisation de leurs systèmes d’information, en particulier les téléservices. Il fixe ainsi les règles auxquelles les systèmes d’information mis en place par les administrations de l’Etat, les collectivités territoriales, les établissements publics à caractère administratif et tous les organismes chargés de la gestion d’un service public administratif, doivent se conformer pour assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, et notamment leur confidentialité et leur intégrité. Les enjeux Assurer la sécurité des informations échangées avec les usagers et les autorités administratives entre elles, notamment en termes de confidentialité et d’intégrité de ces informations. Une mise en conformité nécessaire L’arrêté est la dernière pierre d’un édifice visant à sécuriser les Système d’Information des administrations en suivant les meilleures pratiques du marché. La publication de la version 1.0 du RGS annonce le point de départ de la sécurisation des SI publics, l’ordonnance du 8 décembre 2005 fixant le délai de mise en conformité à 3 ans pour les systèmes d’information existant et 12 mois pour les systèmes d’information déployés dans les 6 mois suivant la publication du RGS. Les systèmes d’information créés à compter de la fin 2010 devront donc être conformes au RGS. La version homologuée (v1.0) du référentiel est disponible par voie électronique sur les sites Internet de l’Agence nationale de la sécurité des systèmes d’information (4) et de la direction générale de la Modernisation de l’Etat (5). Les autorités administratives devront attester, à l’égard des usagers, de la conformité de leurs systèmes d’information au RGS et, sauf à recourir à des produits ou prestataires qualifiés, vérifier la conformité desdits produits ou prestataires. Les conseils Les administrations qui devront définir leur politique de sécurité et attester, à l’égard des usagers, de la conformité des systèmes d’information au RGS, auront le choix de vérifier cette même conformité des produits et prestataires, ou de sélectionner des produits et services qualifiés. (1) Ord. 2005-1516 du 8-12-2005 (2) Arrêté du 6-5-2010 (3) Avis favorable de la CCEN du 7-5-2009 (4) Site de l’Anssi (5) Site de la Dgme (Mise en ligne Juin 2010) Paru dans la JTIT n°101/2010 Philippe Ballet Avocat, Directeur du département Dématérialisation et archivage électronique