13 jui 2014 · 75700 Paris 07 SP Il est publié par l'arrêté du 13 juin 2014 portant approbation du Prendre en compte la sécurité dans les projets d'externalisation et d' informatique en nuage Réaliser une veille sur les menaces et les vulnérabilités un recueil de bonnes pratiques pour tous les autres organismes
Previous PDF | Next PDF |
[PDF] Cybermenaces/Gestion de crise/Continuité dactivité - Forum des
3 juil 2008 · La sensibilisation à la cyber-sécurité de l'information, de l'ensemble Le CLUSIF dans son édition 2014 du rapport 'Menaces informatiques et pratiques de sécurité en ont été définis par l'arrêté gouvernemental du 2 juin 2006, modifié Pour la France, le coût des cyberattaques atteint désormais 4,8M€
[PDF] Internet : du rêve du partage généralisé à la nécessaire sécurité
D'après le dernier rapport du CLUSIF (2014), intitulé Menaces informatiques et pratiques de sécurité en France, qui concerne les menaces pesant sur les J , Techniques de hacking, Montreuil, Pearson France, 2008, 2e édition 2012 des codes secrets, de l'Égypte des pharaons à l'ordinateur quantique, Paris, J C
OMC mensuel - Ministère des Armées
28 mai 2014 · CLUSIF "Menaces informatiques et pratiques de sécurité en France - Edition 2014" Paris 25 juin Nuit du hack Paris 28 – 29 juin Agenda
[PDF] Cybersécurité des systèmes industriels : par où commencer
et synthèse des bonnes pratiques juin 2014 CLUB DE LA SECURITE DE L' INFORMATION FRANÇAIS 11 rue de Mogador - 75009 Paris Phase 2 : Sensibiliser le comité de direction aux vulnérabilités informatiques Structure de la norme IEC – 62443 (décembre 2013 – source : ISA France) l'évolution de la menace
[PDF] État de la menace liée au numérique en 2017 - Vie publique
1 jan 2017 · Lutte contre les cybermenaces - État de la menace 2017, Page 2/65 à Paris d' où 400 000€ étaient virés vers la Chine 2 https://clusif fr/publications/menaces- informatiques-et-pratiques-de-securite-en-france-edition-2016/ GameOver Zeus (juin 2014), en même temps que CryptoLocker, dans le
[PDF] GUIDE DAUDIT DES SYSTEMES D - Economiegouvfr
3 juil 2015 · Version 1 0 – juin 2014 L'audit des L'audit des marchés spécifiques au domaine informatique p 19 p spécifiquement le domaine SI (audits d' application, de la sécurité et des risques (réévaluation de la menace, variation des en France, la loi de finances sur le contrôle des 75572 Paris Cedex 12
[PDF] Référentiel Général de Sécurité - ANSSI
13 jui 2014 · 75700 Paris 07 SP Il est publié par l'arrêté du 13 juin 2014 portant approbation du Prendre en compte la sécurité dans les projets d'externalisation et d' informatique en nuage Réaliser une veille sur les menaces et les vulnérabilités un recueil de bonnes pratiques pour tous les autres organismes
[PDF] Securite industrielleindd - Cigref
INHESJ – Décembre 2014 – Risques et sécurité de la connexion des systèmes industriels CHAPITRE 2 – Les risques et menaces des systèmes industriels
[PDF] Intégration monétaire et financière Bilan et perspectives. Samuel Guérineau Sylviane Guillaumont
[PDF] LA POLITIQUE AGRICOLE COMMUNE EN CHIFFRES
[PDF] Présentation du projet et de l offre de service billettique sur mobile «ABC/ABL» 28/04/2016
[PDF] ECOLE SUPERIEURE DE COMMERCE D ALGER
[PDF] En tant que locataire comment identifier si le logement que vous occupez est un logement décent?
[PDF] Enjeux juridiques de votre présence pro sur le web et les réseaux sociaux Le 8 novembre 2011
[PDF] Ideal pour resider et avoir une rente locative des studios! à vendre
[PDF] Toute personne est singulière et unique.
[PDF] Organisation d Evénements Médicaux et Accompagnement Associatif. www.tmsevents.fr
[PDF] Concurrence et marchés. Cours SEGF - ENPC 2004. Barrières à l entrée
[PDF] Conseiller financier diplômé IAF
[PDF] REPUBLIQUE FRANÇAISE 2014/... DCM N 14-01-30-17
[PDF] AFTEC. Générateur d avenirs. www.aftec.fr
[PDF] Superficie : environ 120m² Capacité d'utilisation : 80 personnes pour un repas
![[PDF] Référentiel Général de Sécurité - ANSSI [PDF] Référentiel Général de Sécurité - ANSSI](https://pdfprof.com/Listes/21/5649-21RGS_v-2-0_Corps_du_texte.pdf.pdf.jpg)
Premier ministre
Agence nationale de la sécurité
(ANSSI)Secrétariat général pour la
(SGMAP)RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ
version 2.0 2Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 2/25
HISTORIQUE DES VERSIONS
DATE VERSION ÉVOLUTION DU DOCUMENT
06/05/2010 1.0 Publication de la première version du Référentiel général de sécurité
13/06/2014 2.0 Publication de la deuxième version du Référentiel général de sécurité
Les commentaires sur le présent document sont à adresser à :Agence nationale de la sécurité
des systèmes dinformationSGDSN/ANSSI
Bureau de la maitrise des risques
et de la réglementation51 boulevard de La Tour-Maubourg
75700 Paris 07 SP
rgs [at] ssi.gouv.frLe présent référentiel ainsi que les annexes sont disponibles en ligne sur les sites suivants :
- le site institutionnel de lANSSI (www.ssi.gouv.fr) ; - le site institutionnel du SGMAP (www.references.modernisation.gouv.fr).Le présent référentiel est pris en application du décret n° 2010-112 du 2 février 2010, lui-même pris
9, 10 et 12 de de -1516 du 8 décembre 2005
relative aux échanges électroniques entre les usagers et les autorités administratives et entre les
autorités administrativesêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les mo certificats électroniques.Ce référentiel remplace la première version du référentiel général de sécurité publiée par arrêté du
Premier ministre le 6 mai 2010. Il complète les règles et les recommandations relatives aux certificats
version du référentiel sont décrits dans le chapitre 8 du présent document.Les termes entre " [ ] » renvoient aux références documentaires décrites dans le chapitre 10 du
présent document. 3Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 3/25
Sommaire
Chapitre 1. Mise en conformité avec les exigences du " décret RGS » .......................................... 5
Chapitre 2. Description des étapes de la mise en conformité ......................................................... 6
2.1 Analyse des risques ________________________________________________________________ 6
2.2 Définition des objectifs de sécurité ___________________________________________________ 6
2.3 __________________________________ 6
2.4 ______________________________________ 7
2.5 _________________________________ 7
Chapitre 3. Règles relatives à la cryptographie et à la protection des échanges électroniques ..... 8
3.1 Règles relatives à la cryptographie ____________________________________________________ 8
3.2 Règles relatives à la protection des échanges électroniques _________________________________ 8
Chapitre 4. ............ 12
Chapitre 5. Qualification des produits de sécurité et des prestataires de services de confiance . 13
5.1 Qualification des produits de sécurité_________________________________________________ 13
5.2 Qualification des prestataires de services de confiance (PSCO) ____________________________ 13
Chapitre 6. ............................................................................ 156.1 ______________________________________________________________ 15
6.2 Règles de sécurité ________________________________________________________________ 15
6.3 Procédure de validation ___________________________________________________________ 16
6.4 Liste des informations relatives à la délivrance et à la validation ___________________________ 16
4Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 4/25
Chapitre 7. ........................................ 177.1 Org _______________________________________ 17
7.2 Impliquer les instances décisionnelles ________________________________________________ 17
compte la SSI dans les projets ______________________________________________________ 187.4 Adopter une démarche globale ______________________________________________________ 18
7.5 Informer et sensibiliser le personnel __________________________________________________ 18
7.6 Prendre en compte la sécurité dans les contrats et les achats _______________________________ 18
7.7 Pr ______ 19
7.8 _____________________ 19
7.9 Utiliser les produits et prestataires labellisés pour leur sécurité ____________________________ 20
7.10 ______ 20
7.11 ______________________ 20
7.12 Réaliser une veille sur les menaces et les vulnérabilités __________________________________ 21
7.13 _________________________________________________________ 21
Chapitre 8. Transition entre la première et la deuxième version du RGS ................................... 22
Chapitre 9. Liste des annexes du RGS ........................................................................................... 23
9.1 ficats électroniques ___________________ 23
9.2 ______________ 23
Chapitre 10. Références documentaires ...................................................................................... 24
10.1 Références réglementaires _________________________________________________________ 24
10.2 Références techniques _____________________________________________________________ 24
5Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 5/25
Chapitre 1. Mise en conformité avec les exigences du " décret RGS »Le référentiel général de sécurité (RGS) vise à renforcer la confiance des usagers dans les services
électroniques proposés par les autorités administratives, notamment lorsque ceux-ci traitent des
données personnelles. applique aux autoritésadministratives dans leurs relations entre elles et avec les usagers. Il peut aussi être considéré comme
un recueil de bonnes pratiques pour tous les autres organismes. es autorités administratives doiventadopter une démarche en cinq étapes, prévue par le décret n° 2010-112 du 2 février 2010 (décret RGS) :
1. réalisation dune analyse des risques (art. 3 al. 1) ;
2. définition des objectifs de sécurité (art. 3 al. 2) ;
3. cappropriées de protection et de défense du SI (art. 3 al. 3) ;
4. homologation de sécurité du système dinformation (art. 5) ;
5. suivi opérationnel de la sécurité du SI.
le système dinformation serait déjà en service cettedémarche, ou bien a été modifié, la procédure simplifiée suivante peut être mise en oeuvre :
1. réalisation dun audit de la sécurité du système dinformation en interne ou externalisé auprès
2. réalisation dune analyse des risques simplifiée ;
4. décision dhomologation de sécurité du système dinformation ;
5. suivi opérationnel de la sécurité du SI.
Au-delà des mesures techniques et organisationnelles, les autorités administratives doivent veiller :
- aux clauses relatives à la sécurité des contrats quelles passent avec des prestataires chargés de
les assister dans leur démarche de sécurisation de leurs systèmes. Ces services peuvent être de
nature intellectuelle (audit de la sécusécurité, notamment) ou technique (mécanisme de détection, externalisation, infogérance, mise
dans le nuage de tout ou partie du système dinformation, tierce maintenance applicative, etc.) ;- au facteur humain : la sensibilisation du personnel aux questions de sécurité est primordiale,
ainsi que la formation de ceux qui interviennent plus spécifiquement daesuivi opérationnel de la sécurité du système d (surveillance, détection, prévention).
6Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 6/25
Chapitre 2. Description des étapes de la mise en conformité2.1 Analyse des risques
s précise les besoins de sécurité en fonction de la menace et des enjeux. consiste à identifier les évènements qui peuvent affecter la sécuritédu système, den estimer les conséquences et les impacts potentiels puis de décider des actions à
réaliser afin de réduire le risque à un niveau acceptable.Les menaces1 à prendre en compte sont celles qui pèsent réellement sur le système et sur les
e situe. des certificats électroniques ou deélectronique, analyse des risques doit permettre de décider des usages (signature, authentification,
confidentialité, etc.) et des niveaux de sécurité (*,27005, qui fixe un cadre théorique de la gestion des
proposés par la méthode Expression des besoins et indentification des objectifs de sécurité (EBIOS).
2.2 Définition des objectifs de sécurité
Une fois les risques appréciés, doit énoncer les objectifs de sécurité àsatisfaire. Aux trois grands domaines traditionnels (disponibilité et intégrité des données et du
système, confidentialité des données et des éléments critiques du système) peuvent sajouter deux
domaines complémentaires : lauthentification, afin de garantir que la personne ident prétend être ;la traçabilité, afin de pouvoir associer les actions sur les données et les processus aux
personnes effectivement connectées au système et ainsi permettre de déceler toute action ou tentative daction illégitime.Les objectifs de sécurité doivent être exprimés aussi bien en termes de protection que de défense des
systèmes dinformation. Les autorités administratives peuvent sappuyer sur le guide méthodologique
EBIOS 2010, afin de formuler précisément ces objectifs de sécurité.2.3 Choix et mise des mesures de sécurité adaptées
Lexpression des objectifs de sécurité permet dapprécier les fonctions de sécurité qui peuvent être
mises en indre (art. 3, al. 3 du décret RGS). Ces fonctions de sécurité sont matérialisées par le choix de moyens et de mesures de nature :technique : produits de sécurité (matériels ou logiciels), prestations de services de confiance
informatiques ou autres dispositifs de sécurité (blindage, détecteur dintrusion...) ; organisationnelle : organisation des responsabilités (habilitation du personnel, contrôle des accès, protection physique des éléments sensibles...), gestion des ressources humaines (affectation dagents responsables de la gestion du système dinformation, formation du personnel spécialisé, sensibilisation des utilisateurs).1 Une menace est considérée par le ISO/CEI Guide 73 : 2002 comme une " cause potentielle dun incident indésirable,
pouvant entrainer des dommages au sein dun système et dun organisme ». 7Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 7/25
Ces mesures de sécurité peuvent être sélectionnées au sein des référentiels et normes existants. Elles
peuvent également en être adaptées ou bien être créées ex nihilo.2.4 Homologation de sécurité du système dinformation
Lordonnance du 8 décembre 2005 doivent
, avant leur mise en service opérationnelleEgalement dénommée " attestation formelle » (art. 5, al. 1 du décret RGS), elle est prononcée par une
, désignée par la ou les autorités administratives chargées du système 2. La décision dhomologation atteste, au nom de lautorité administrative, que leest protégé conformément aux objectifs de sécurité fixés et que les risques résiduels sont acceptés. La
cette décision est rendue accessible aux usagers. recommandation2.5 Suivi opérationnel de la sécurité du système dinformation
Les mesures de protection dun système dinformation doivent être accompagnées dun suivi
opérationnel quotidien ainsi que de mesures de surveillance et de détection, afin de réagir au plus vite
aux incidents de sécurité et de les traiter au mieux.Le suivi opérationnel consiste à collecter et à analyser les journaux dévènements et les alarmes, à
mener des audits réguliers, à appliquer des mesures correctives après un audit ou un incident, à mettre
une chaîne dalerte en cas dintrusion supposée ou avérée sur le système, à gérer les droits
daccès des utilisateurs, à assurer une veille sur les menaces et les vulnérabilités, à entretenir des
plans de continuité et de reprise dactivité, à sensibiliser le personnel et à gérer les crise
surviennent. 2 informations classifiées de défense. 8Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 8/25
Chapitre 3. Règles relatives à la cryptographie et à la protection des échanges électroniques
Les règles techniques imposées par le RGS portent uniquement sur la sécurisation des infrastructures
utilisées pour procéder aux échanges électroniques entre les autorités administratives et les usagers ainsi
les autorités administratives elles-mêmes. Le RGS une technologie particulière et laisse aux autorités administratives le choix des . Il fixe cependant des exigences relatives à certaines fonctions de sécurité, notamment la certification, lhorodatage et laudit. En fonction de leur besoin de sécurité, il appartient aux autoritésadministratives de déterminer les fonctions de sécurité ainsi que les niveaux de sécurité associés, en
chapitres 2 et 7. s choisissenchapitre,les autorités administratives choisissent le niveau de sécurité adapté à leur besoin et appliquent les
règles correspondantes décrites dans ce référentiel. Dans tous les cas, le Premier ministre
recommande lusage de produits qualifiés quand ils existent.3.1 Règles relatives à la cryptographie
Lorsquelles mettent en place des mesures de sécurité comprenant des mécanismes cryptographiques,
les autorités administratives doivent respecter les règles, et si possible les recommandations,
indiquées dans les annexes [RGS_B1] et [RGS_B2], communs à tous les mécanismes cryptographiques, ainsi que l [RGS_B3], dédié aux mécanismes dauthentification.3.2 Règles relatives à la protection des échanges électroniques
Les règles de sécurité à respecter pour les fonctions de sécurité dauthentification, de signature
électronique, de confidentialité et dhorodatage, reposent sur lemploi de contremarques de temps dans
le cas de lhorodatage électronique et de certificats électroniques pour toutes les autres fonctions.
a Règles relatives aux certificats électroniquesLes exigences concernant le composant " certificat électronique » sont décrites dans deux annexes du
RGS appelées respectivement " Politique de certification type - Personne physique » ([RGS_A2]) et
" Politique de certification type - Services applicatifs » ([RGS_A3]). Elles portent sur le contenu des
certificats et sur les conditions dans lesquelles il est émis par un prestataire de services de
certification électronique (PSCE), ainsi que sur le dispositif de stockage de la clé privée.
Le RGS offre la possibilité de disposer :
des certificats mono-ique ou de serveur, designature, de cachet et de confidentialité pour des niveaux une étoile (*), deux étoiles (**) et
trois étoiles (***) (cf. [RGS_A2] et [RGS_A3]) ;à double usage », pour les fonctions
ntification de personne physique et de signature électronique. Ce certificat ne peut être [RGS_A2]). 9Référentiel général de sécurité
Version du RGS Date Critère de diffusion Page
2.0 13 juin 2014 PUBLIC 9/25
a.1 Lauthentification dune entité par certificat électroniqueLauthentification3 a pour but de vérifier lidentité dont se réclame une personne ou une machine. La
autorité administrative des fonctions de sécurité " Authentification » ou" Authentification serveur » peut se faire selon trois niveaux de sécurité aux exigences croissantes :
(*), (**) et (***).Ces exigences, décrites dans les annexes [RGS_A1], couvrent, pour les trois niveaux de sécurité,
lHQVHPEOHGHVFRPSRVDQWVQpFHVVDLUHVjODPLVHHQquotesdbs_dbs32.pdfusesText_38