Homologation RGS pour les autorités administratives

Les maîtrises d’ouvrage des administrations sont confrontées à la problématique de réaliser une homologation RGS d’un système d’information et des téléservices associés, préalable indispensable à l’autorisation d’emploi.

Marianne RGS - Fidens

 

Historique

Face aux cyberrisques pesant sur les différentes entités de l'administration, le gouvernement a estimé nécessaire de renforcer, par voie d’ordonnance, la sécurité des échanges électroniques. Ainsi, la loi n° 2004-1343 du 9 décembre 2004 de simplification du droit, en son article 3, a autorisé le gouvernement à prendre par ordonnance les mesures nécessaires pour assurer la sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives.

En application de cette loi, l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives a été prise. Cette ordonnance a été ratifiée par le parlement le 22 février 2006.

L'ordonnance prévoit, en son article 9.I, l'établissement d'un Référentiel Général de Sécurité (RGS), dans le but de fixer, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations.

 

Conformément à l’article 14.I, les autorités administratives et donc toutes les collectivités territoriales doivent mettre leurs systèmes d’information en conformité avec le RGS. Cette conformité est obligatoire depuis le 17 mai 2013 (3 ans après la publication du décret).

 

Date d'application

Les autorités administratives doivent être en conformité avec le RGS depuis le 17 mai 2013.

 

Qui est concerné

Les autorités administratives : 

  • Administrations d'état,
  • Collectivités territoriales,
  • Établissements publics à caractère administratif,

  • Organismes de gestion des régimes de protection sociale,

  • Organismes de gestion de services publics administratifs…

 

 

Principes

Les autorités administratives doivent mettre en place une démarche de gestion de la sécurité sur leur système d'information :

  • Mise en oeuvre d'un processus de gestion des cyber-risques et donc intégrer la sécurité dans le cycle de vie du système
  • Définition d'une politique de sécurité du système d'information (proportionnée aux risques)

Le tout piloté au sein d'un processus d'amélioration continu de type Système de Management de la Sécurité de l'Information (intégrant donc des phases d'arbitrage périodique par une direction)

Par ailleurs, chaque nouveau système doit s'inscrire dans ce processus de prise en compte de la sécurité. Cette démarche doit être sanctionnée par une autorisation formelle d'utilisation avant toute mise en service opérationnel : C'est le processus d'homologation.

La décision d’homologation, ou « attestation formelle », est l’engagement par lequel l’autorité d’homologation  (constituée au sein de l'autorité administrative) atteste que le projet a bien pris en compte les contraintes opérationnelles de sécurité établies au départ, que les exigences de sécurité sont bien déterminées et satisfaites, que les risques résiduels sont maîtrisés et acceptés, et que le système d’information est donc apte à entrer en service.

Afin que sa décision soit motivée et justifiée, il est recommandé que l’autorité d’homologation s’appuie sur un dossier de sécurité. Ce dossier est constitué sur la base d'une analyse de risques. A chaque type de téléservice, l'ANSSI/DFGME met à disposition des analyses types (FEROS Types) (ces documents ont d'ailleurs été formalisés par les équipe Fidens). Celles-ci sont généralement le point d'entrée de l'analyse de risques du téléservice.

Principe Homologation RGS - Fidens

 

L'outillage définit par l'administration pour aider les autorités administratives à converger vers les exigences RGS est disponible à l'adresse suivante : Outils pour la mise en oeuvre du RGSCe sont les experts Fidens qui ont défini cet outillage.

 

Accompagnement Fidens

Fidens accompagne les autorités administratives dans leur démarche de mise en conformité RGS

  • Mettre en œuvre la stratégie d’homologation : aider un ministère ou une collectivité à mettre en place sa stratégie globale d’homologation : typologie des systèmes cibles, logique d’homologation retenue en fonction de la sensibilité des cibles, organisation de l’homologation dans le ministère, définition des rôles et des responsabilités, logique projet et livrables types.

  • Réaliser le dossier technique en vu de l’homologation d’une application : aider à la mise en place du comité d’homologation, assister à l’analyse du système objet de l’homologation, à faciliter l’instruction du dossier d’homologation et la gestion de la relation avec la MOE, et enfin à élaborer le dossier d’homologation.

 

Fidens accompagne aussi les industriels et éditeurs fournissant des composants à l'adminsitration dans la qualification RGS de leurs produits

En effet, le RGS impose aussi que l'autorité administrative ait recourt à des produits de sécurité et à des prestataires de services de confiance ayant fait l’objet d’une qualification dans les conditions prévues au décret ou à tout autre produit ou prestataire pourlesquels elle s’est assurée de la conformité de leurs fonctions de sécurité au référentiel général de sécurité.`

 

Découvrez EGERIE Risk Manager, le logiciel de gestion des risques conforme au RGS