Vous êtes une autorité administrative, vous ne pourrez plus légalement mettre en service un système non conforme au RGS après le 18 novembre 2010.
Quelles sont vos obligations légales?Forts de nombreuses expériences dans le domaine public, nos consultants ont mis en place une démarche didactique et pragmatique qui permettra d'intégrer en douceur le cadre du RGS.
Ils s'appuient sur les compétences juridiques du cabinet Feral Schuhl pour une lecture adaptée des textes de lois et une présentation des enjeux à votre Direction.
Au cours d'une prestation forfaitaire, Intrinsec vous assiste à la définition d'un plan d'actions RGS :
• Présentation des enjeux à la Direction
• Recensement des applications concernées par le RGS
• Appréciation du niveau de maturité au niveau du RGS (gestion du risque, autorité d'homologation…)
• Orientation pour l’intégration dans les projets en cours (gestion du projet, appel d'offres)
• Définition du plan d'actions de mise en conformité
Les systèmes mis en production après le 18 novembre 2010 doivent être en conformité avec le RGS. Au cours de cette prestation, Intrinsec vous accompagne sur les aspects RGS, de la définition du projet à la mise en production :
• Définition des objectifs de sécurité
• Préparation du dossier de sécurité
• Définition des mesures à mettre en œuvre
• Pilotage sécurité du projet
• Audit de contrôle préalable
• Accompagnement à l’homologation du système
Les systèmes mis en production entre le 18 mai 2010 et le 18 novembre 2010 doivent être mis en conformité avant le 18 mai 2011. Cette prestation vise à mettre en conformité de systèmes déjà en place :
• Définition des objectifs de sécurité
• Analyse de l’application et relevé des écarts
• Définition d’un plan d’action de mise en conformité
• Contrôle des actions menées
• Accompagnement à l’homologation du système
De manière plus ponctuelle, Intrinsec vous accompagne lors de projets liés au RGS :
• Mise en place d’une structure de gestion du risque
• Mise en place d’une structure d’homologation
• Intégration du RGS aux projets, de la définition à la mise en production
• Conduite d'analyse de risques EBIOS 2010
• Assistance en commission d'homologation
• Accompagnement à la revue des systèmes en exploitation
La publication de la v1.0 du RGS marque le début du droit public de la SSI
|
| Etienne Papin, Avocat – FERAL-SCHUHL / SAINTE-MARIE Le « référentiel général de sécurité » (RGS) a été institué par une ordonnance du 8 décembre 2005 mais il a fallu attendre la publication de sa version 1 par arrêté le 18 mai 2010 pour que celui-ci entre en vigueur. Si sa préparation a été longue, les administrations ne dispose que de peu de temps pour se mettre en conformité avec le RGS. |
Des délais stricts de mise en conformité |
|
L’article 14 de l’ordonnance de 2005 impose aux autorités administratives de mettre leurs systèmes d’information en conformité avec le RGS :
- dans un délai de 3 ans à compter du 18 mai 2010 pour les systèmes existants avant cette date ; - dans un délai de 12 mois à compter du 18 mai 2010 pour les systèmes créés dans les 6 mois suivants cette date. |
Ce qu’impose le RGS |
| Le RGS définit trois enjeux majeurs en matière de sécurité : la disponibilité, l’intégrité et la confidentialité des données et systèmes. S’il propose une démarche à laquelle toutes les autorités administratives doivent se conformer, l’objectif du RGS n’est pas d’imposer une technologie, une architecture ou une solution technique. En revanche, lorsqu’une autorité administrative juge nécessaire, à l’issue d’une analyse de risque, de mettre en œuvre des fonctions de sécurité de son système informatique, elle doit alors se référer et respecter les règles édictées. Pour favoriser la démarche interne d’analyse des risques, le RGS référence différents outils méthodologiques pour évaluer les risques qui pèsent sur un système d’information. Lorsqu’au terme de l’analyse des risques, la mise en œuvre de fonctions de sécurité s’impose, les règles fixées par RGS devront être appliquées. |
Précisions
• Administrations d'État,
• Collectivités territoriales,
• Établissements publics à caractère administratif,
• Organismes de gestion des régimes de protection sociale
• Organismes de gestion de services publics administratifs…
Obligation légale du 18 mai 2010 - Décret n°2010-112
Mise en conformité avec le Référentiel Général de Sécurité (RGS) des systèmes d’échanges électroniques :
• Entre les autorités administratives
• Entre les usagers et les autorités administratives
• Définir les exigences de sécurité non couvertes par le système à travers une analyse de risque,
• Les couvrir par la mise en œuvre des moyens financiers et humains nécessaires et suffisants,
• Désigner une autorité d’homologation qui atteste auprès des utilisateurs du système de sa mise en conformité,
• Désigner une commission d’homologation qui fournira les informations nécessaires à la prise de décision de l’autorité.
Modalités particulières :
• Système antérieur à l’arrêté RGS, échéance de mise en conformité : 18 mai 2013,
• Système postérieur à l’arrêté, échéance : 18 mai 2011.
Webographie :
• DECRET
• Présentation du Référentiel Général de Sécurité
En savoir plus |
| Le blog des experts de la sécurité informatique |