Le référentiel général de sécurité (RGS) définit les règles et les bonnes pratiques de sécurité des systèmes d'information. Il s’est imposé pour les échange dématérialisés entre les autorités administratives et leurs usagers. gedly, intégrateur de GED pour les TPE-PME et les collectivités, propose des solutions qui garantissent, voire dépassent, les exigences de sécurité en vigueur.
Les bases de la réglementation en matière de sécurité des échanges entre les usagers et l'administration remontent à près deux décennies. La confiance des acteurs a toujours été un élément central pour la dématérialisation des démarches. Les certificats RGS ont été mis en place pour répondre au besoin de sécurité et de confiance envers les systèmes d'information.
Dès 2005, l'ordonnance du 8 décembre jette les bases du référentiel général de sécurité (RGS) français. Ce cadre doit sécuriser les échanges entre l'autorité administrative et les usagers. Les échanges entre différentes entités administratives sont aussi concernés.
L'article 9 prévoit « un référentiel général de sécurité [qui] fixe les règles que doivent respecter les fonctions des systèmes d'information contribuant à la sécurité des informations échangées par voie électronique ». Cela concerne : « les fonctions d'identification, de signature électronique, de confidentialité et d'horodatage ».
Le texte précise que l'autorité administrative doit retenir le niveau de sécurité nécessaire. Une certification atteste de l'application dudit niveau de sécurité du RGS. Un organisme privé peut être habilité à délivrer la qualification.
Le décret du 2 février 2010 fixe les conditions d’élaboration, de validation et modification du RGS. Depuis le 1er juillet 2014, le RGS s'applique dans sa seconde version publiée par arrêté du Premier ministre le 13 juin 2014.
Il s’agit de la dernière version encore en vigueur, même si celle-ci a été pensée comme une solution de transition entre la V1 et la V3. La troisième mouture du RGS devrait, à terme, permettre au référentiel français de se fonder sur la réglementation européenne en cours d'évolution.
Il n’y a pas à proprement parler d'équivalence entre les niveaux RGS et eIDAS (Electronic Identification, Authentication and Trust Services), le cadre juridique européen en vigueur pour la sécurité et l'efficacité des transactions électroniques au sein de l'Union européenne. Autrement dit, le respect du RGS ne vaut pas conformité au eIDAS.
Le RGS fixe ses propres exigences qui sont reconnues par l’ANSSI (Agence nationale de la sécurité des systèmes d'information). On peut néanmoins mettre en miroir les niveaux des deux référentiels en matière de sécurité pour mieux se situer à l'échelle européenne.
Chaque niveau de sécurité correspond à un référentiel établi pour répondre à différents besoins en matière de sécurisation des échanges.
Le RGS * est le premier niveau d'authentification. L'authentification est l’opération qui permet au système d'information de vérifier l'identité de l'usager. Il est recommandé pour les documents courants ne nécessitant qu'un besoin de sécurité limité, comme la signature électronique d’une facture.
Le degré de fiabilité du niveau 1 au RGS peut être comparé à celui d’une signature électronique avancée qui permet l’identification formelle du signataire.
Les niveaux RGS** et RGS*** peuvent être rapprochés de la signature électronique qualifiée telle que définie par eIDAS. Il s’agit du niveau le plus élevé de signature électronique avec la valeur juridique d'une signature manuscrite. Il permet de sécuriser des démarches et des transactions très encadrées comme un acte notarié ou certains échanges sensibles avec l’administration publique.
L'obtention du certificat RGS intéresse directement les autorités administratives, mais aussi les prestataires de service, ou encore les industriels qui mettent au point des produits de sécurité. Les certificats RGS 1, 2 et 3 étoiles répondent à leurs différents besoins.
Pour accompagner les actions simples et à risque limité, les démarches d'obtention d’un certificat RGS 1 étoile sont les moins contraignantes du dispositif. La présence physique n’est pas nécessaire.
L’accès à certaines plateformes publiques demande une vérification plus poussée. Pour qu’un certificat électronique RGS 2 étoiles soit accordé, il faut procéder à une vérification physique confirmant l'identité du demandeur.
Avec un certificat RGS 3 étoiles, la sécurité est optimale. À la vérification physique du demandeur, s’ajoutent des exigences renforcées à chaque étape, depuis l'authentification jusqu'au transfert et au stockage du document signé.
geldy intègre plusieurs solutions de gestion électronique de document (GED) pour ses clients TPE, PME, PMI et du service public.
Ces solutions ont obtenu toutes les qualifications et certifications requises pour traiter les informations courantes et les données sensibles en toute sécurité. Les clients de gedly sont ainsi assurés de travailler avec des outils qui ont obtenu un certificat de signature électronique conforme au niveau RGS requis.
La solution Zeendoc intégrée par gedly garantit par exemple un certificat RGS 2 étoiles pour la signature électronique des factures clients, mais aussi une conformité eIDAS pour l'identification électronique.
Plus généralement, toutes les solutions intégrées par gedly ont été sélectionnées pour leurs conformités et leur capacité d'adaptation aux futures réglementations. Avec l'évolution rapide de l'environnement réglementaire, la confiance des acteurs est renforcée par les offres flexibles capables d’accompagner les utilisateurs professionnels dans le développement de leurs activités.