RGS (Référentiel Général de Sécurité)

Le Référentiel Général de Sécurité (RGS) est un cadre réglementaire français définissant les règles de sécurité applicables aux systèmes d'information des autorités administratives. Élaboré par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et publié dans sa version 1.0 par arrêté du 6 mai 2010, il impose aux administrations de l'État et aux collectivités territoriales de mettre en œuvre des mesures de cybersécurité proportionnées aux risques pesant sur leurs téléservices ouverts au public. Le RGS est pris en application de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives.

L'ordonnance du 8 décembre 2005, relative aux échanges électroniques entre usagers et autorités administratives, constitue le fondement légal du RGS. Elle prévoyait explicitement la fixation par arrêté d'un référentiel général de sécurité opposable à l'ensemble des autorités administratives dès lors qu'elles mettent en place des téléservices. C'est dans ce cadre que l'ANSSI a conduit les travaux d'élaboration du référentiel, en concertation avec les ministères et les acteurs du secteur.

Version	Arrêté de publication	Principaux apports
RGS v1.0	6 mai 2010	Publication initiale ; trois niveaux de sécurité (*, **, ***) ; catalogue de mécanismes cryptographiques
RGS v2.0	13 juin 2014	Restructuration documentaire ; séparation des règles et des recommandations ; mise à jour des exigences cryptographiques (abandon de SHA-1) ; harmonisation avec le règlement eIDAS

La version 2.0 a notamment supprimé SHA-1 comme algorithme de hachage autorisé et relevé les exigences minimales sur les tailles de clés RSA. Elle a également clarifié l'articulation avec le règlement européen eIDAS relatif à l'identification électronique et aux services de confiance pour les transactions électroniques au sein de l'Union européenne.

Le corps du RGS définit les obligations générales des autorités administratives. Il fixe :

• le périmètre d'application : les téléservices ouverts aux usagers et les systèmes d'information internes des administrations ;
• l'obligation d'homologation de sécurité avant toute mise en production d'un téléservice ;
• les responsabilités du responsable de la sécurité des systèmes d'information (RSSI) ;
• les trois niveaux de sécurité symbolisés par une, deux ou trois étoiles (*, **, ***), correspondant à des niveaux de risque faible, moyen et élevé.

Les annexes au RGS détaillent les règles par domaine :

• Annexe B1 — mécanismes cryptographiques : algorithmes autorisés, tailles de clés minimales et durées de validité des certificats ;
• Annexe B2 — authentification des utilisateurs : niveaux d'assurance et mécanismes acceptables par niveau d'étoile ;
• Annexe B3 — signature électronique qualifiée : exigences sur les certificats et les dispositifs de création de signature sécurisés ;
• Annexe B4 — horodatage électronique : exigences sur les autorités d'horodatage qualifiées ;
• Annexe B5 — confidentialité : protocoles et mécanismes de chiffrement pour les échanges.

Deux référentiels complémentaires publiés par l'ANSSI sont indissociables du RGS :

• la Politique de Référencement Intersectoriel de Sécurité (PRIS) : profils de protection définissant les cibles de sécurité pour des catégories de produits ;
• le référentiel de qualification : conditions permettant à un produit ou à un prestataire d'obtenir la qualification ANSSI, gage de conformité aux exigences du RGS.

L'homologation de sécurité constitue la procédure centrale du RGS. Elle consiste à obtenir, avant la mise en production d'un téléservice, une décision formelle d'une autorité d'homologation — généralement un directeur général ou un préfet — attestant que les risques résiduels pesant sur le système sont acceptables au regard des enjeux.

Le processus comprend les étapes suivantes :

1. Délimitation du périmètre du système d'information concerné.
2. Réalisation d'une analyse des risques selon la méthode EBIOS Risk Manager ou équivalente.
3. Sélection et mise en œuvre de mesures de sécurité proportionnées au niveau d'étoile retenu.
4. Réalisation d'un audit de sécurité ou d'un test d'intrusion par un prestataire qualifié PASSI.
5. Constitution et instruction du dossier d'homologation.
6. Décision formelle de l'autorité d'homologation : homologation, homologation avec réserves ou refus.

L'homologation est limitée dans le temps : elle doit être renouvelée lors de changements majeurs du système ou, au plus tard, tous les 3 ans. Un audit intermédiaire peut être exigé entre deux renouvellements.

La qualification ANSSI est le mécanisme par lequel l'ANSSI certifie qu'un produit de sécurité ou qu'un prestataire répond aux exigences du RGS. Elle s'appuie sur une évaluation menée par un laboratoire agréé (CESTI — Centre d'Évaluation de la Sécurité des Technologies de l'Information).

Trois niveaux de qualification sont définis pour les produits :

• Standard : évaluation fonctionnelle sans test de résistance aux attaques ; adapté aux systèmes de niveau * ;
• Renforcé : inclut une évaluation de la résistance aux attaques ; adapté aux systèmes de niveau ** ;
• Élevé : niveau le plus exigeant, avec évaluation approfondie de la résistance ; adapté aux systèmes de niveau ***.

Les produits et services soumis au processus de qualification comprennent notamment :

• les solutions de chiffrement (logiciels et matériels) ;
• les autorités de certification et les services de signature électronique qualifiée ;
• les dispositifs d'authentification forte (jetons OTP, cartes à puce, clés FIDO2) ;
• les solutions de VPN utilisées pour sécuriser les accès distants ;
• les équipements pare-feu pour la protection des réseaux administratifs ;
• les solutions de SIEM déployées dans des contextes sensibles.

Les prestataires d'audit — désignés sous l'acronyme PASSI (Prestataires d'Audit de la Sécurité des Systèmes d'Information) — sont qualifiés séparément par l'ANSSI. Seuls les PASSI qualifiés sont habilités à produire des rapports d'audit reconnus dans le cadre d'une homologation RGS. En 2024, une cinquantaine de sociétés disposaient de la qualification PASSI en France.

L'annexe B1 du RGS fixe la liste des algorithmes cryptographiques autorisés ainsi que leurs paramètres minimaux. Les principales exigences de la version 2.0 sont les suivantes :

• Chiffrement asymétrique : RSA avec un module d'au moins 2 048 bits (3 072 bits recommandés pour les systèmes à durée de vie supérieure à 10 ans) ; courbes elliptiques NIST P-256 ou équivalent ;
• Chiffrement symétrique : AES avec une clé d'au moins 128 bits ;
• Fonctions de hachage : SHA-256 minimum ; SHA-1 proscrit depuis la version 2.0 ;
• Échange de clés : Diffie-Hellman avec des paramètres d'au moins 2 048 bits.

Pour les téléservices de niveau *** (risques élevés), l'authentification à plusieurs facteurs est obligatoire. Le RGS recommande l'usage de certificats qualifiés délivrés par une autorité de certification qualifiée par l'ANSSI. Les mécanismes d'authentification doivent être cohérents avec les niveaux d'assurance définis dans le règlement eIDAS : faible, substantiel ou élevé.

La signature électronique qualifiée au sens du RGS désigne une signature réalisée avec un dispositif de création de signature sécurisé (SSCD ou QSCD), appuyée sur un certificat qualifié émis par un prestataire de services de certification électronique lui-même qualifié par l'ANSSI. Elle produit, en droit français, des effets juridiques équivalents à la signature manuscrite, conformément à l'article 1367 du Code civil.

L'horodatage électronique qualifié garantit l'antériorité d'un document ou d'une opération en associant une donnée à un instant précis via un jeton d'horodatage signé par une autorité d'horodatage qualifiée. Il est requis dans les systèmes d'archivage électronique à vocation probatoire ainsi que dans les journaux d'audit des systèmes de niveau **.

La démarche du RGS est conceptuellement alignée avec ISO/IEC 27001, norme internationale de management de la sécurité de l'information. Une administration certifiée ISO 27001 peut s'appuyer sur son système de management pour faciliter la constitution du dossier d'homologation RGS, sans pour autant que les deux démarches soient interchangeables. La gestion des risques et la réponse aux incidents s'appuient également sur les recommandations de ISO/IEC 27035.

Le règlement européen n° 910/2014 (eIDAS) harmonise les services de confiance au sein de l'Union européenne : signature électronique, cachet électronique, horodatage, authentification de site web et envoi recommandé électronique. Le RGS v2.0 reconnaît les prestataires de services de confiance qualifiés au sens d'eIDAS comme pouvant satisfaire aux exigences correspondantes du référentiel. La révision eIDAS 2, publiée en 2024, introduit le portefeuille d'identité numérique européen (EUDIW) et devrait influencer les prochaines mises à jour du RGS.

La Directive NIS de 2016 et sa révision Directive NIS2, transposée en droit français à partir de 2024, étendent les obligations de cybersécurité aux entités essentielles et importantes des secteurs privé et public. Alors que le RGS cible les autorités administratives, NIS2 vise notamment les opérateurs de services essentiels. Les deux textes sont complémentaires : le RGS régit les téléservices publics, NIS2 impose des obligations de gestion des risques et de notification d'incidents.

À l'échelle internationale, le NIST Cybersecurity Framework (CSF) joue un rôle analogue pour les agences fédérales américaines. Structuré autour de cinq fonctions (Identifier, Protéger, Détecter, Répondre, Recouvrer), il partage avec le RGS l'approche par les risques, sans être réglementairement contraignant hors du secteur public américain.

La mise en conformité au RGS et la conformité au RGPD sont complémentaires : les mesures techniques imposées par le RGS — chiffrement, authentification forte, traçabilité — contribuent directement à satisfaire les exigences de l'article 32 du RGPD relatif à la sécurité des traitements de données à caractère personnel.

Le RGS s'applique à l'ensemble des autorités administratives au sens de l'article 1er de la loi n° 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations :

• l'État, ses ministères et établissements publics (hôpitaux, universités, organismes de recherche) ;
• les collectivités territoriales (régions, départements, communes de toutes tailles) et leurs groupements (intercommunalités, syndicats mixtes) ;
• les organismes de sécurité sociale.

Les prestataires privés développant ou opérant des téléservices pour le compte d'administrations sont soumis contractuellement au RGS, sans en être les destinataires légaux directs. Cette situation peut créer des décalages entre les obligations formelles et les pratiques effectives de sécurité chez les prestataires.

La mise en œuvre du RGS a structuré un marché de compétences spécialisées dans le secteur public et chez les prestataires de services numériques à l'administration.

Le RSSI est le pivot de la démarche RGS : il conduit l'analyse de risques selon la méthode EBIOS Risk Manager, coordonne la rédaction des politiques de sécurité, organise les audits de sécurité et instruit les dossiers d'homologation en vue de la décision de l'autorité d'homologation. Dans les petites administrations, ce rôle est souvent assumé par un responsable informatique sans dédication exclusive à la sécurité.

Les chefs de projet sécurité pilotent les phases d'implémentation des mesures techniques, assurent le suivi des prestataires qualifiés et maintiennent la documentation exigée pour le renouvellement de l'homologation de sécurité.

Les auditeurs PASSI réalisent les audits de sécurité et tests d'intrusion dans le cadre des homologations. Ils doivent maintenir leur qualification ANSSI et se soumettre à des audits de suivi périodiques pour conserver leur accréditation.

Les ingénieurs PKI conçoivent et exploitent les infrastructures à clés publiques nécessaires à l'émission de certificats qualifiés pour l'authentification et la signature électronique qualifiée.

Les architectes sécurité dimensionnent les solutions conformes aux niveaux d'étoiles requis et sélectionnent les produits portant la qualification ANSSI adaptée. Les certifications professionnelles reconnues dans ce domaine incluent le CISSP (Certified Information Systems Security Professional), le CISM (Certified Information Security Manager), ainsi que les formations labellisées SecNumedu de l'ANSSI.

Plusieurs limites du dispositif ont été identifiées par les acteurs du secteur :

• Lourdeur procédurale : le processus d'homologation de sécurité est estimé entre 6 et 18 mois pour un système de niveau **, ce qui représente une charge significative pour les petites collectivités ou les établissements à faibles ressources en ingénierie sécurité.
• Rythme de révision : avec seulement deux versions en quinze ans (2010 et 2014), certaines prescriptions techniques ont pu devenir obsolètes avant la publication d'une mise à jour officielle, notamment dans le domaine de la cryptographie post-quantique.
• Couverture limitée au secteur public : le RGS ne s'applique pas au secteur privé, ce qui peut créer des asymétries de niveau de sécurité dans les échanges entre administrations et partenaires privés.
• Empilement réglementaire : la coexistence du RGS avec NIS2, le RGPD et des référentiels sectoriels (HDS pour la santé, SecNumCloud pour l'hébergement cloud) peut générer une charge de conformité difficile à articuler pour les entités soumises à plusieurs textes simultanément.

L'ANSSI a engagé des travaux de modernisation dans le cadre de la stratégie nationale de cybersécurité 2021-2025, dotée d'un budget de 1 milliard d'euros sur cinq ans. Une prochaine version du référentiel devra intégrer les évolutions liées à eIDAS 2, aux enjeux de la cryptographie post-quantique et à la montée en puissance du modèle Zero Trust dans l'architecture des systèmes d'information de l'État.

• ANSSI
• Cybersécurité
• ISO/IEC 27001
• Directive NIS2
• Responsable de la sécurité des systèmes d'information
• Gestion des risques informatiques
• Audit de cybersécurité
• Infrastructure à clés publiques
• Authentification multifacteur
• Conformité RGPD
• Test d'intrusion