FERAL-SCHUHL / SAINTE-MARIE | Evaluer les risques d’un SI du secteur public

Archives des publications2010 2009 2008 2007 2006 2001-2005
Bilans annuels

Evaluer les risques d’un SI du secteur public

Juin 2010

Le fait : La version 1.0 du référentiel général de sécurité (RGS) a été publiée le 18 mai. Elle concerne toutes administrations susceptibles d'échanger des données avec les usagers ou entre elles.

La sécurité des systèmes informations est une préoccupation pour toute entité, quels que soient son statut, sa taille et son secteur. Dans la sphère publique, où les échanges dématérialisés entre les administrés et l'administration se multiplient, cette problématique a pris une acuité particulière et le législateur a souhaité intervenir.

Une ordonnance de 2005 a créé un « référentiel général de sécurité » (RGS) auquel doivent se conformer les administrations dont la version 1.0 a été publiée par arrêté le 18 mai 2010.

Recourir à des prestataires « qualifiés »

Le RGS définit trois enjeux majeurs en matière de sécurité : la disponibilité, l'intégrité et la confidentialité des données et systèmes. S'il propose une démarche à laquelle toutes les autorités administratives doivent se conformer, l'objectif du RGS n'est pas d'imposer une technologie, une architecture ou une solution technique. En revanche, lorsqu'une autorité administrative juge nécessaire, à l'issue d'une analyse de risque, de mettre en œuvre des fonctions de sécurité de son système informatique, elle doit alors se référer et respecter les règles édictées.

Pour favoriser la démarche interne d'analyse des risques, le RGS référence différents outils méthodologiques pour évaluer les risques qui pèsent sur un système d'information. Lorsqu'au terme de l'analyse des risques, la mise en œuvre de fonctions de sécurité s'impose, le RGS requiert de recourir à des prestataires ou produits « qualifiés », c'est-à-dire qui ont été soumis à des procédures d'évaluation définies par un décret du 2 février 2010. Un élément important pour les SSII et éditeurs. Ces procédures, qui font intervenir l'ANSSI et un centre d'évaluation, permettent d'attester de la conformité des produits ou prestations au RGS.

Trois ans pour se mettre en conformité

L'article 14 de l'ordonnance de 2005 impose une mise en conformité au RGS dans un délai de 3 ans à compter de sa publication pour les systèmes existants avant cette publication et de 12 mois pour les systèmes créés dans les 6 mois suivants celle-ci. Ceci est susceptible de constituer une contrainte importante pour les administrations concernées car le délai a déjà commencé à courir.

Ce qu'il faut retenir : L'objectif du RGS n'est pas d'imposer une technologie, une architecture ou une solution technique. En revanche, une administration doit s'y référer et respecter les règles édictées lorsqu'elle juge nécessaire de mettre en œuvre des fonctions de sécurité prévues dans le RGS.