Archives

Sécurité informatique - Référentiel général de sécurité 2.0 : une évolution, pas une révolution

La version 2.0 du Règlement général de sécurité (RGS) qui vient d'être publiée au Journal officiel doit entrer en application le 1er juillet prochain. Le texte complète les règles et les recommandations relatives aux certificats électroniques et introduit la qualification de nouveaux prestataires. Les dispositions auront bien une incidence sur les collectivités locales, mais dans la logique progressive d'un changement de version, pas d'une révolution.
Dédié aux échanges électroniques de la sphère publique, le RGS vise "à élever le niveau de sécurité des systèmes d'information et à protéger le patrimoine informationnel des autorités administratives, en particulier les données confiées par les citoyens", rappelle le communiqué publié par l'Agence nationale de la sécurité informatique (Anssi) après la publication de l'arrêté du Premier ministre du 13 juin 2014 (JO du 24 juin) relatif à la sécurité des informations échangées par voie électronique.

Pour faire face à la recrudescence des attaques électroniques

Le RGS est en quelque sorte "la bible" de l'Etat et la synthèse de ses propres engagements en matière de sécurité. L'ensemble de ce qui doit être pris en compte y est décrit : la méthode pour sécuriser les systèmes d'information des autorités administratives (homologation), l'état de l'art de certaines prestations de confiance (certification électronique, horodatage électronique et audit), sans oublier les modalités d'encadrement des différents labels délivrés par les autorités qualifiées (qualification des produits de sécurité et des prestations de service de confiance). Aussi, quatre ans après la publication du RGS (arrêté du 6 mai 2010), cette nouvelle version, suspendue depuis plusieurs semaines à la validation du règlement européen sur l'identification électronique et les services de confiance (eIDAS) est désormais définitive. Elle arrive au moment où les administrations doivent de plus en plus répondre à la recrudescence des attaques électroniques.

De nouvelles versions de certificats

Le RGS V2 est un document plus lisible et plus accessible. Sur le fond, les changements concernent principalement les mises à jour techniques destinées à adapter les défenses aux méthodes actuelles de la cybercriminalité et renforcer l'organisation de la sécurité. A ce titre, deux modifications sont introduites :
- les certificats (signature et authentification) vont bénéficier d'algorithmes de hachage et de chiffrement renforcés ce qui impliquera le remplacement progressif des versions actuelles ;
- une nouvelle qualification est créée pour les prestataires d'audit de la sécurité des systèmes d'information (Passi). Elle vient compléter les labels existants délivrés aux prestataires de service de certification électronique et aux prestataires de services d'horodatage électroniques. L'objectif est de mieux protéger les collectivités locales et les administrations de prestataires peu scrupuleux, en leur permettant d'intégrer cette nouvelle clause de qualification dans le cahier des charges des appels d'offre publics.

Une phase de transition jusqu'à 2018

La principale difficulté de l'application de ce nouveau règlement réside dans l'organisation de la transition. "On ne peut pas imaginer que tout le monde bascule en même temps", explique un responsable. C'est pourquoi les deux versions vont devoir cohabiter jusqu'à 2018. Le déroulement retenu est le suivant :
- les certificats électroniques conformes à la version 1.0 du RGS pourront continuer à être émis jusqu'au 30 juin 2015. Après cette date, l'achat de certificats V2 sera obligatoire ;
- les autorités administratives devront accepter ces certificats électroniques (et les contremarques de temps) pendant leur durée de vie, avec un maximum de trois ans, donc jusqu'en 2018 ;
- les autorités administratives doivent accepter les certificats électroniques (et les contremarques de temps) conformes à la version 2.0 du RGS, à compter du 1er juillet 2015.
Cet "agenda" de transition laisse a priori une zone de "no man's land" de six mois qui risque de compliquer les décisions d'achat. Si les certificats d'une collectivité arrivent à échéance après l'entrée en application du RGS et avant le 1er janvier 2015, cette dernière pourra éventuellement les remplacer par des certificats V2, à condition de veiller à ce qu'ils soient compatibles avec les applications des destinataires, car, dans le cas contraire, une administration sera en droit de les rejeter. Mais il est par exemple raisonnable de penser que la DGCL et la DGFIP mettront rapidement en œuvre les adaptations nécessaires pour accepter dans Actes et dans Hélios les nouvelles versions de certificats, a priori plus sûrs que les précédents. Dans ce cas, il sera possible de passer à une nouvelle version pour Actes, en espérant que les travaux d'unification pourront être opérés rapidement. Dans les autres cas, la collectivité renouvellera son certificat V1 encore recevable jusqu'en 2018.

Le nouveau règlement européen introduit le cachet électronique

La période d'adaptation devrait se prolonger, car l'Anssi reconnaît que la nouvelle version du RGS 2.0 constitue elle-même une étape intermédiaire, "en attendant la version suivante qui se fondera sur la réglementation européenne". Toutefois, les futures évolutions réglementaires n'affecteront pas la V2 mais devraient plutôt la compléter.
Parmi les avancées majeures du texte européen, la création du cachet électronique (pour les entreprises, les associations et les administrations), qui introduit la notion de signature qualifiée de personne morale, est très attendue. Ce nouveau certificat va consolider le déploiement de la facture électronique, notamment au regard de la législation fiscale. Il sécurisera les attestations délivrées par une administration, ainsi que la signature électronique des marchés publics, notamment dans les grandes entreprises (lorsque le mandataire social ne peut lui même signer électroniquement les réponses effectuées par l'entreprise). L'introduction de ce nouveau certificat imposera à lui seul une nouvelle version, sans compter les autres adaptations plus mineures introduites dans le texte européen.
En tout état de cause, le sujet risque de mobiliser encore de longs mois les directions informatiques (DSI) et les structures de mutualisation, pour adapter les systèmes et accompagner les collectivités locales. Mais le jeu en vaut la peine, puisqu'à l'issue de cette transformation, les administrations seront en mesure de franchir de nouveaux paliers dans la dématérialisation de leurs procédures internes.