LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE
LISTE DES PRESTATAIRES DE CERTIFICATION. ÉLECTRONIQUE QUALIFIÉS ET DES OID DES PC. AUDITÉES Service : Opérateur de certification Niveau RGS : *.
Premier ministre Règlement eIDAS Foire aux questions
25 mars 2021 Où trouver la liste des schémas d'identification électronique notifiés ... eIDAS pour les prestataires de services de confiance qualifiés ?
RÈGLEMENT (UE) No 910/2014 DU PARLEMENT EUROPÉEN ET
23 juil. 2014 «certificat qualifié de cachet électronique» un certificat de cachet électronique
Premier ministre Services de délivrance de certificats qualifiés de
25 mars 2021 Critères d'évaluation de la conformité au règlement eIDAS ... Prestataire de Services de Certification Electronique. RGS.
Liste des produits et services qualifiés
6 sept. 2022 Qu'est-ce que la liste des produits et services qualifiés ? ... Délivrance de certificat de cachet électronique. Cegedim. Cegedim Qseal.
Services de délivrance des certificats qualifiés de signature
3 janv. 2017 Prestataire de Services de Certification Electronique. RGS. Référentiel Général de Sécurité. LCR. Liste des Certificats Révoqués.
Sécurité numérique deS collectivitéS territorialeS
III / Se procurer un certificat de signature électronique Indirectement le RGS s'adresse à l'ensemble des prestataires de services et des éditeurs de ...
SÉCURITÉ NUMÉRIQUE DES COLLECTIVITÉS TERRITORIALES
III / Se procurer un certificat de signature électronique au niveau qualifié au sens du règlement mais pour autant n'étant pas conforme au RGS.
Référentiel Général de Sécurité
13 juin 2014 Mise en conformité avec les exigences du « décret RGS » . ... Les prestataires de services de certification électronique.
Premier ministre Services dhorodatage électronique qualifiés
3 janv. 2017 PSHE. Prestataire de Services d'Horodatage Electronique. RGS. Référentiel Général de Sécurité. Page 5. Services d'horodatage électronique ...
LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE
LISTE DES PRESTATAIRES DE CERTIFICATION ÉLECTRONIQUE QUALIFIÉS ET DES OID DES PC AUDITÉES IGC-CA-V2-ENRÔLEUR-** 1 2 250 1 141 2 4 1 13 Service : Authentification (RGS_A_7) Niveau RGS : ** Niveau ETSI : ETSI TS 102 042 NCP+ Niveau réglementaire : Néant Destinataires : Entreprises/Administrations IGC-CA-V2-PERSONNE-** 1 2 250 1 141 2 3 1 13
Premier ministre
Agence nationale de la sécurité
(ANSSI)Secrétariat général pour la
(SGMAP)RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
version 2.0 2Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 2/25
HISTORIQUE DES VERSIONS
DATE VERSION ÉVOLUTION DU DOCUMENT
06/05/2010 1.0 Publication de la première version du Référentiel général de sécurité
13/06/2014 2.0 Publication de la deuxième version du Référentiel général de sécurité
Les commentaires sur le présent document sont à adresser à :Agence nationale de la sécurité
des systèmes dinformationSGDSN/ANSSI
Bureau de la maitrise des risques
et de la réglementation51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
rgs [at] ssi.gouv.frLe présent référentiel ainsi que les annexes sont disponibles en ligne sur les sites suivants :
- le site institutionnel de lANSSI (www.ssi.gouv.fr) ; - le site institutionnel du SGMAP (www.references.modernisation.gouv.fr).Le présent référentiel est pris en application du décret n° 2010-112 du 2 février 2010, lui-même pris
9, 10 et 12 de de -1516 du 8 décembre 2005
relative aux échanges électroniques entre les usagers et les autorités administratives et entre les
autorités administrativesêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les mo certificats électroniques.Ce référentiel remplace la première version du référentiel général de sécurité publiée par arrêté du
Premier ministre le 6 mai 2010. Il complète les règles et les recommandations relatives aux certificats
version du référentiel sont décrits dans le chapitre 8 du présent document.Les termes entre " [ ] » renvoient aux références documentaires décrites dans le chapitre 10 du
présent document. 3Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 3/25
Sommaire
Chapitre 1. Mise en conformité avec les exigences du " décret RGS » .......................................... 5
Chapitre 2. Description des étapes de la mise en conformité ......................................................... 6
2.1 Analyse des risques ________________________________________________________________ 6
2.2 Définition des objectifs de sécurité ___________________________________________________ 6
2.3 __________________________________ 6
2.4 ______________________________________ 7
2.5 _________________________________ 7
Chapitre 3. Règles relatives à la cryptographie et à la protection des échanges électroniques ..... 8
3.1 Règles relatives à la cryptographie ____________________________________________________ 8
3.2 Règles relatives à la protection des échanges électroniques _________________________________ 8
Chapitre 4. ............ 12
Chapitre 5. Qualification des produits de sécurité et des prestataires de services de confiance . 13
5.1 Qualification des produits de sécurité_________________________________________________ 13
5.2 Qualification des prestataires de services de confiance (PSCO) ____________________________ 13
Chapitre 6. ............................................................................ 156.1 ______________________________________________________________ 15
6.2 Règles de sécurité ________________________________________________________________ 15
6.3 Procédure de validation ___________________________________________________________ 16
6.4 Liste des informations relatives à la délivrance et à la validation ___________________________ 16
4Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 4/25
Chapitre 7. ........................................ 177.1 Org _______________________________________ 17
7.2 Impliquer les instances décisionnelles ________________________________________________ 17
compte la SSI dans les projets ______________________________________________________ 187.4 Adopter une démarche globale ______________________________________________________ 18
7.5 Informer et sensibiliser le personnel __________________________________________________ 18
7.6 Prendre en compte la sécurité dans les contrats et les achats _______________________________ 18
7.7 Pr ______ 19
7.8 _____________________ 19
7.9 Utiliser les produits et prestataires labellisés pour leur sécurité ____________________________ 20
7.10 ______ 20
7.11 ______________________ 20
7.12 Réaliser une veille sur les menaces et les vulnérabilités __________________________________ 21
7.13 _________________________________________________________ 21
Chapitre 8. Transition entre la première et la deuxième version du RGS ................................... 22
Chapitre 9. Liste des annexes du RGS ........................................................................................... 23
9.1 ficats électroniques ___________________ 23
9.2 ______________ 23
Chapitre 10. Références documentaires ...................................................................................... 24
10.1 Références réglementaires _________________________________________________________ 24
10.2 Références techniques _____________________________________________________________ 24
5Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 5/25
Chapitre 1. Mise en conformité avec les exigences du " décret RGS »Le référentiel général de sécurité (RGS) vise à renforcer la confiance des usagers dans les services
électroniques proposés par les autorités administratives, notamment lorsque ceux-ci traitent des
données personnelles. applique aux autoritésadministratives dans leurs relations entre elles et avec les usagers. Il peut aussi être considéré comme
un recueil de bonnes pratiques pour tous les autres organismes. es autorités administratives doiventadopter une démarche en cinq étapes, prévue par le décret n° 2010-112 du 2 février 2010 (décret RGS) :
1. réalisation dune analyse des risques (art. 3 al. 1) ;
2. définition des objectifs de sécurité (art. 3 al. 2) ;
3. cappropriées de protection et de défense du SI (art. 3 al. 3) ;
4. homologation de sécurité du système dinformation (art. 5) ;
5. suivi opérationnel de la sécurité du SI.
le système dinformation serait déjà en service cettedémarche, ou bien a été modifié, la procédure simplifiée suivante peut être mise en oeuvre :
1. réalisation dun audit de la sécurité du système dinformation en interne ou externalisé auprès
2. réalisation dune analyse des risques simplifiée ;
4. décision dhomologation de sécurité du système dinformation ;
5. suivi opérationnel de la sécurité du SI.
Au-delà des mesures techniques et organisationnelles, les autorités administratives doivent veiller :
- aux clauses relatives à la sécurité des contrats quelles passent avec des prestataires chargés de
les assister dans leur démarche de sécurisation de leurs systèmes. Ces services peuvent être de
nature intellectuelle (audit de la sécusécurité, notamment) ou technique (mécanisme de détection, externalisation, infogérance, mise
dans le nuage de tout ou partie du système dinformation, tierce maintenance applicative, etc.) ;- au facteur humain : la sensibilisation du personnel aux questions de sécurité est primordiale,
ainsi que la formation de ceux qui interviennent plus spécifiquement daesuivi opérationnel de la sécurité du système d (surveillance, détection, prévention).
6Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 6/25
Chapitre 2. Description des étapes de la mise en conformité2.1 Analyse des risques
s précise les besoins de sécurité en fonction de la menace et des enjeux. consiste à identifier les évènements qui peuvent affecter la sécuritédu système, den estimer les conséquences et les impacts potentiels puis de décider des actions à
réaliser afin de réduire le risque à un niveau acceptable.Les menaces1 à prendre en compte sont celles qui pèsent réellement sur le système et sur les
e situe. des certificats électroniques ou deélectronique, analyse des risques doit permettre de décider des usages (signature, authentification,
confidentialité, etc.) et des niveaux de sécurité (*,27005, qui fixe un cadre théorique de la gestion des
proposés par la méthode Expression des besoins et indentification des objectifs de sécurité (EBIOS).
2.2 Définition des objectifs de sécurité
Une fois les risques appréciés, doit énoncer les objectifs de sécurité àsatisfaire. Aux trois grands domaines traditionnels (disponibilité et intégrité des données et du
système, confidentialité des données et des éléments critiques du système) peuvent sajouter deux
domaines complémentaires : lauthentification, afin de garantir que la personne ident prétend être ;la traçabilité, afin de pouvoir associer les actions sur les données et les processus aux
personnes effectivement connectées au système et ainsi permettre de déceler toute action ou tentative daction illégitime.Les objectifs de sécurité doivent être exprimés aussi bien en termes de protection que de défense des
systèmes dinformation. Les autorités administratives peuvent sappuyer sur le guide méthodologique
EBIOS 2010, afin de formuler précisément ces objectifs de sécurité.2.3 Choix et mise des mesures de sécurité adaptées
Lexpression des objectifs de sécurité permet dapprécier les fonctions de sécurité qui peuvent être
mises en indre (art. 3, al. 3 du décret RGS). Ces fonctions de sécurité sont matérialisées par le choix de moyens et de mesures de nature :technique : produits de sécurité (matériels ou logiciels), prestations de services de confiance
informatiques ou autres dispositifs de sécurité (blindage, détecteur dintrusion...) ; organisationnelle : organisation des responsabilités (habilitation du personnel, contrôle des accès, protection physique des éléments sensibles...), gestion des ressources humaines (affectation dagents responsables de la gestion du système dinformation, formation du personnel spécialisé, sensibilisation des utilisateurs).1 Une menace est considérée par le ISO/CEI Guide 73 : 2002 comme une " cause potentielle dun incident indésirable,
pouvant entrainer des dommages au sein dun système et dun organisme ». 7Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 7/25
Ces mesures de sécurité peuvent être sélectionnées au sein des référentiels et normes existants. Elles
peuvent également en être adaptées ou bien être créées ex nihilo.2.4 Homologation de sécurité du système dinformation
Lordonnance du 8 décembre 2005 doivent
, avant leur mise en service opérationnelleEgalement dénommée " attestation formelle » (art. 5, al. 1 du décret RGS), elle est prononcée par une
, désignée par la ou les autorités administratives chargées du système 2. La décision dhomologation atteste, au nom de lautorité administrative, que leest protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. La
cette décision est rendue accessible aux usagers. recommandation2.5 Suivi opérationnel de la sécurité du système dinformation
Les mesures de protection dun système dinformation doivent être accompagnées dun suivi
opérationnel quotidien ainsi que de mesures de surveillance et de détection, afin de réagir au plus vite
aux incidents de sécurité et de les traiter au mieux.Le suivi opérationnel consiste à collecter et à analyser les journaux dévènements et les alarmes, à
mener des audits réguliers, à appliquer des mesures correctives après un audit ou un incident, à mettre
une chaîne dalerte en cas dintrusion supposée ou avérée sur le système, à gérer les droits
daccès des utilisateurs, à assurer une veille sur les menaces et les vulnérabilités, à entretenir des
plans de continuité et de reprise dactivité, à sensibiliser le personnel et à gérer les crise
surviennent. 2 informations classifiées de défense. 8Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 8/25
Chapitre 3. Règles relatives à la cryptographie et à la protection des échanges électroniques
Les règles techniques imposées par le RGS portent uniquement sur la sécurisation des infrastructures
utilisées pour procéder aux échanges électroniques entre les autorités administratives et les usagers ainsi
les autorités administratives elles-mêmes. Le RGS une technologie particulière et laisse aux autorités administratives le choix des . Il fixe cependant des exigences relatives à certaines fonctions de sécurité, notamment la certification, lhorodatage et laudit. En fonction de leur besoin de sécurité, il appartient aux autoritésadministratives de déterminer les fonctions de sécurité ainsi que les niveaux de sécurité associés, en
chapitres 2 et 7. s choisissenchapitre,les autorités administratives choisissent le niveau de sécurité adapté à leur besoin et appliquent les
règles correspondantes décrites dans ce référentiel. Dans tous les cas, le Premier ministre
recommande lusage de produits qualifiés quand ils existent.3.1 Règles relatives à la cryptographie
Lorsquelles mettent en place des mesures de sécurité comprenant des mécanismes cryptographiques,
les autorités administratives doivent respecter les règles, et si possible les recommandations,
indiquées dans les annexes [RGS_B1] et [RGS_B2], communs à tous les mécanismes cryptographiques, ainsi que l [RGS_B3], dédié aux mécanismes dauthentification.3.2 Règles relatives à la protection des échanges électroniques
Les règles de sécurité à respecter pour les fonctions de sécurité dauthentification, de signature
électronique, de confidentialité et dhorodatage, reposent sur lemploi de contremarques de temps dans
le cas de lhorodatage électronique et de certificats électroniques pour toutes les autres fonctions.
a Règles relatives aux certificats électroniquesLes exigences concernant le composant " certificat électronique » sont décrites dans deux annexes du
RGS appelées respectivement " Politique de certification type - Personne physique » ([RGS_A2]) et
" Politique de certification type - Services applicatifs » ([RGS_A3]). Elles portent sur le contenu des
certificats et sur les conditions dans lesquelles il est émis par un prestataire de services de
certification électronique (PSCE), ainsi que sur le dispositif de stockage de la clé privée.
Le RGS offre la possibilité de disposer :
des certificats mono-ique ou de serveur, designature, de cachet et de confidentialité pour des niveaux une étoile (*), deux étoiles (**) et
trois étoiles (***) (cf. [RGS_A2] et [RGS_A3]) ;à double usage », pour les fonctions
ntification de personne physique et de signature électronique. Ce certificat ne peut être [RGS_A2]). 9Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 9/25
a.1 Lauthentification dune entité par certificat électroniqueLauthentification3 a pour but de vérifier lidentité dont se réclame une personne ou une machine. La
autorité administrative des fonctions de sécurité " Authentification » ou" Authentification serveur » peut se faire selon trois niveaux de sécurité aux exigences croissantes :
(*), (**) et (***).Ces exigences, décrites dans les annexes [RGS_A1], couvrent, pour les trois niveaux de sécurité,
lHQVHPEOHGHVFRPSRVDQWVQpFHVVDLUHVjODPLVHHQquotesdbs_dbs43.pdfusesText_43[PDF] MANUEL UTILISATEUR SOMMAIRE. - Recherche par numéro de facture 12. - Recherche par matricule 13. - fonction consultation d archives 17
[PDF] MISE EN PARALLELE PROGRAMMES DE MATHS C3 et 6ème ORGANISATION ET GESTION DES DONNEES
[PDF] Kit de communication à destination des fournisseurs du Ministère de l'intérieur 1
[PDF] Conditions Générales de Ventes
[PDF] Tarif commun Hb 2012-2017
[PDF] Une ultime cotisation REER à 71 ans
[PDF] Cameroun. Faits marquants. Environnement opérationnel. Personnes relevant de la compétence du HCR
[PDF] Journée d échanges sur les Certificats d économies d énergie
[PDF] Au cours des prochaines années, plusieurs PME instaureront un régime d épargneretraite pour leurs employés.
[PDF] La présente convention collective de travail entre en vigueur le 1er janvier 2011 et est conclue pour une durée indéterminée.
[PDF] Politique de service à la clientèle Services aux personnes handicapées
[PDF] Hélios - Dématérialisation
[PDF] Cycle 3 : Les compétences à répartir
[PDF] RÈGLEMENT DU CONCOURS «Gagnez chaque jour des prix SMEG grâce à Philadelphia»