Projet 0-2 Referentiel General de Securite V2

Premier ministre
Agence nationale de la scurit des systmes dinformation
Rfrentiel Gnral de Scurit

Version 2.0 Projet 0.2 au 24 avril 2012
Synthse
Le Rfrentiel gnral de Scurit (RGS) traite de lensemble des thmatiques et des composantes qui rgissent la scurit des systmes dinformation et des changes lectroniques. Cest un texte rglementaire permettant la prise en compte de la scurit dans ladministration lectronique. Il est dapplication obligatoire pour les entits concernes : les autorits administratives et peut tre considr comme un recueil de bonnes pratiques pour tous les autres organismes. Pour couvrir la grande varit des types dautorits administratives soumises ce texte des ministres aux collectivits territoriales en passant par tablissements publics, autorits administratives indpendantes, etc. la criticit des informations quelles stockent, traitent et changent, et la complexit des services en ligne quelles mettent en uvre, la premire des rgles du RGS est dordre mthodologique. Il nest pas, a contrario, un recueil de mesures de scurit que les autorits administratives devraient obligatoirement et indiffremment respecter en totalit, linstar de recueils relatifs, par exemple, la protection dinformations classifies de dfense ([IGI1300] et [II920] pour le niveau Confidentiel Dfense) ou de donnes bancaires ([PCI-DSS]). Appel par lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives, le RGS traite, par essence, de la scurit des changes lectroniques. Il aborde la scurisation du patrimoine informationnel dun organisme travers une approche mthodique et globale dont les tapes incontournables sont fixes aux articles 3, 4 et 5 du dcret n 2010-112 du 2 fvrier 2010. Ainsi lautorit administrative doit, successivement, afin de protger un systme dinformation : - Identifier lensemble des risques pesant sur la scurit du systme dinformation ; - Fixer les objectifs de scurit pour rpondre de manire proportionne au besoin de protection du systme dinformation face aux risques identifis ; - En dduire les fonctions de scurit et leur niveau qui permettent datteindre ces objectifs ; - Recourir des produits de scurit et des prestataires de services de confiance ayant idalement fait lobjet dune qualification ; - Attester formellement auprs des utilisateurs de son systme dinformation que celui-ci est protg conformment aux objectifs de scurit fixs. Il est ainsi obligatoire pour une autorit administrative didentifier les risques conjugaison de limpact dun incident avec sa probabilit doccurrence , de les valuer et de les traiter au travers dune analyse des risques. Celle-ci permet de caractriser, dans un contexte et un primtre donn et propre lautorit administrative, les biens essentiels quil convient de protger selon les critres dont les principaux sont la confidentialit, la disponibilit, lintgrit ; de caractriser galement les menaces et les vulnrabilits du systme. Face ces risques lautorit administrative met en place des mesures techniques, organisationnelles ou procdurales afin de protger son systme dinformation et de rduire le risque un niveau acceptable. De telles mesures sont dcrites dans le RGS ainsi que dans dautres guides, normes ou rfrentiels (norme [ISO27002], [EBIOS]). Lorsquelles sont dordre technique, les mesures de scurit retenues peuvent tre assures par des produits de scurit ou par certains prestataires de services de confiance. Pour aider les autorits administratives dans leur choix, un label la qualification est dlivr aux produits et prestations de services qui atteste de leur conformit aux rgles du RGS et qui garantie galement leur qualit ainsi que la confiance quon peut leur accorder. Certaines mesures de scurit impliquent la mise en uvre de la cryptographie, technique gnralement considre comme la plus efficace pour protger une information objet dchanges lectroniques. La cryptographie asymtrique et lemploi des certificats lectroniques dlivrs par des
Version du RGS 2.0 Date du projet Version projet 0.2 Page 2/34
10
15
20
25
30
35
40
3 prestataires de services de confiance sont considrs, ce jour, comme les techniques les plus sres pour assurer les fonctions de scurit suivantes : confidentialit, authentification, signature lectronique, horodatage lectronique. Le RGS fixe les rgles et dcrit ltat de lart ce sujet. 5 En complment, les autorits administratives doivent prendre conscience que la dmarche de scurisation et de dfense de leurs systmes dinformation sinscrit, dune part, dans la dure et ncessite, dautres part, un suivi quotidien. En effet, bien que les mesures de scurit prventives permettent de se protger avec une certaine efficacit contre les attaques informatiques, seuls un suivi rgulier et une surveillance quotidienne du systme dinformation dans le cadre dune dfense active et dynamique permettent datteindre un niveau de protection optimal et une raction rapide en cas dattaque informatique avre ou souponne. La rgle dite du 80-19-1 peut tre mise en avant : 80% des attaques sont arrtes par les mesures de scurit prventives, 19% par des mesures de dtection et de surveillance et 1% des attaques passeront quelles que soient les lignes de dfense. Ces dernires ne peuvent tre traites que par des mesures gnralement peu techniques de rsilience, de redondance, de fonctionnement en mode dgrad et de remise en tat de marche et ces risques, rsiduels, doivent tre accepts. Laudit de la scurit du systme dinformation, quil soit technique ou organisationnel est lun des moyens dprouver et de sassurer du niveau de scurit de son systme dinformation. Il permet, en pratique, de mettre en vidence les forces mais surtout les faiblesses et vulnrabilits du systme dinformation. Ses conclusions permettent didentifier des axes damlioration et de contribuer ainsi llvation de son niveau de scurit. Les rsultats de lanalyse des risques, la dtermination et la mise en uvre des mesures de scurit appropries, le choix des produits de scurit et des prestations de services de confiance, les rsultats daudit et de surveillance ainsi que le choix des mcanismes cryptographiques sinscrivent dans un processus appel homologation de scurit. 25 La dcision dhomologuer un systme dinformation est prise au plus haut niveau hirarchique de lautorit administrative et atteste formellement que les questions de scurit ont bien t prises en compte. Cest un acte qui implique la responsabilit de lautorit administrative, motiv sur la base dun dossier de scurit labor par les spcialistes, techniciens, RSSI et autres acteurs qui ont identifis, mis en place et valus les mesures de protection et de dfense du systme dinformation ainsi que lorganisation au sein de lautorit administrative. Il est trs frquent que les autorits administratives sattachent les services de prestataires qui vont les assister dans leur dmarche de scurisation de leurs systmes dinformation. Ces services peuvent tre de nature intellectuelle (audit de la scurit du systme dinformation, traitement dincident de scurit, etc.) ou technique (cyberdfense du systme dinformation, externalisation, infogrance, mise dans le nuage de tout ou partie du systme dinformation, tierce maintenance applicative, etc.). Dans tous les cas, lautorit administrative doit veiller aux clauses relatives la scurit qui figurent dans les contrats quelle passe. Enfin, le facteur humain ne doit jamais tre nglig. La sensibilisation du personnel aux questions de scurit et la vigilance ne doit jamais tre sous-estime de mme que la formation du personnel intervenant plus spcifiquement dans la mise en uvre et dans lopration surveillance, dtection, prvention de la scurit du systme dinformation. Le RGS dtaille lensemble de ces lments.
10
15
20
30
35
40

Sommaire
1 Avant-propos ________________________________________________________________ 6
1.1 1.2 1.3 Le cyberespace _________________________________________________________________ 6 La dpendance aux technologies de linformation____________________________________ 6 La faiblesse des technologies de linformation _______________________________________ 6 Les risques et les menaces dans le cyberespace ______________________________________ 7 La dfense et la scurit des systmes dinformation _________________________________ 8 Ladministration lectronique et le RGS ___________________________________________ 8
1.4 1.5 1.6
2 10
Elments de contexte __________________________________________________________ 9

2.1 2.2 2.3 2.4 Cadre juridique ________________________________________________________________ 9 Structure du RGS ______________________________________________________________ 9 Acteurs concerns _____________________________________________________________ 10 Evolutions par rapport la premire version du RGS _______________________________ 10
3 15
Dmarche de mise en conformit avec le RGS : description des tapes respecter _______ 11
3.1
a b
Analyse des risques ____________________________________________________________ 11

Principes de lanalyse des risques __________________________________________________________ 11 Modalits de la dmarche danalyse des risques _______________________________________________ 12
3.2 3.3 3.4
Dfinition des objectifs de scurit _______________________________________________ 13 Choix et mise en uvre des mesures de scurit adaptes ____________________________ 13 Dcision dhomologation de scurit du systme dinformation _______________________ 14 Suivi oprationnel de la scurit du systme dinformation ___________________________ 14
20 4
3.5
Recommandations gnrales et bonnes pratiques __________________________________ 15

4.1
a b
Accs aux lments documentaires relatifs la SSI _________________________________ 15

Principes gnraux de la scurit des systmes dinformation _____________________________________ 15 Guides thmatiques _____________________________________________________________________ 15
25
4.2
Adopter une dmarche globale __________________________________________________ 16
4.3 Adapter leffort de protection des systmes dinformation aux enjeux de scurit et prendre en compte la SSI dans les projets _______________________________________________________ 16 4.4 4.5 Impliquer les instances dcisionnelles _____________________________________________ 17 Organiser la scurit des systmes dinformation ___________________________________ 17
Organiser les responsabilits lies la SSI ___________________________________________________ 17 Mettre en place un systme de management de la scurit des systmes dinformation _________________ 17 Elaborer une PSSI ______________________________________________________________________ 18
30
a b c
4.6 4.7
Sensibiliser le personnel ________________________________________________________ 18 Utiliser les produits et prestataires labelliss pour leur scurit _______________________ 18 Mettre en place des mcanismes de dfense des systmes dinformation ________________ 18 Procder des audits rguliers de la scurit du systme dinformation ________________ 19 Elaborer des plans de traitement dincidents ainsi que de continuit et de reprise dactivit 19
35
4.8 4.9 4.10
5
4.11 4.12 4.13 4.14 Prendre en compte la scurit dans les contrats et les achats _________________________ 19 Prendre en compte la scurit dans les projets dexternalisation et de cloud computing ___ 20 Raliser une veille sur les menaces et les vulnrabilits ______________________________ 20 Catalogues de mesures de scurit relatives la scurit des systmes dinformation _____ 20 Favoriser linteroprabilit _____________________________________________________ 21
5 5
4.15
Rgles et recommandations particulires relatives certaines fonctions de scurit ______ 21

5.1 5.2
a b c d
Rgles relatives la cryptographie _______________________________________________ 21 Rgles relatives la protection des changes lectroniques ___________________________ 21
Lauthentification dune entit par certificat lectronique ________________________________________ 22 La signature et le cachet lectroniques ______________________________________________________ 22 Confidentialit _________________________________________________________________________ 23 Horodatage lectronique _________________________________________________________________ 24
10
6 15
Qualification des produits de scurit et des prestataires de services de confiance ________ 24

6.1 6.2
a b c
Qualification des produits de scurit_____________________________________________ 25 Qualification des prestataires de services de confiance ______________________________ 25
Les prestataires de services de certification lectronique ________________________________________ 26 Les prestataires de services dhorodatage lectronique __________________________________________ 26 Les prestataires daudit de la scurit des systmes dinformation _________________________________ 26
7 20
Validation des certificats par lEtat : IGC/A et RGS ________________________________ 27

7.1 7.2
a b c
LIGC/A _____________________________________________________________________ 27 Procdure de validation des certificats par lEtat ___________________________________ 28

Rgles de scurit ______________________________________________________________________ 29 Procdure de validation __________________________________________________________________ 29 Liste des informations relatives la dlivrance et la validation __________________________________ 30
25
Liste des annexes du RGS _____________________________________________________ 30

8.1 8.2 8.3 8.4 Documents applicables concernant lutilisation de certificats lectroniques _____________ 31 Documents applicables concernant lutilisation de mcanismes cryptographiques ________ 31 Rfrentiel dexigences applicables aux prestataires daudit de la SSI __________________ 31 Rfrentiel dexigences relatif la scurit des sites de personnalisation ________________ 31
30
Rfrences documentaires ____________________________________________________ 31

9.1 9.2 Rfrences rglementaires ______________________________________________________ 31 Rfrences techniques__________________________________________________________ 32
10
Glossaire ________________________________________________________________ 33

6 1 1.1 Avant-propos Le cyberespace
Les technologies de linformation et de la communication pntrent chaque jour un peu plus dans notre socit, apportant autant de services nouveaux, de croissance, de progrs, de simplification et defficacit. Cette rvolution du numrique touche tous les domaines commerce, sant, ducation, industrie, culture, etc. et le dploiement des infrastructures informatiques est inluctable. Ces infrastructures traitent, stockent et changent un volume exponentiel de donnes sensibles dont la valeur na de cesse daugmenter. Les innovations et progrs apports par la recherche continueront de modifier nos comportements et nos usages, dans nos vies professionnelle et personnelle, en rendant le cyberespace toujours plus accessible : lon peut penser en particulier lessor des smartphones, du nomadisme, ou encore du cloud computing. Le cyberespace, espace de communication constitu par linterconnexion mondiale dquipements de traitement automatis de donnes numriques, est dfinitivement diffrent du monde physique car il obit des lois dune autre nature : les rseaux numriques nont pas de frontire, sont extensibles linfini et sont de nature abstraite et virtuelle. Le temps et lespace y sont comprims, les identits sont difficiles discerner et les actions sont difficilement imputables leurs vritables auteurs. En outre, dtruire une donne numrique est un oxymore toute donne pouvant tre duplique linfini et le droit loubli face la mmoire de lInternet devient une proccupation toute aussi importante que la crainte de perdre de linformation. 1.2 La dpendance aux technologies de linformation
10
15
20
25
L homo numericus que nous sommes devenus ne saurait plus se passer aujourdhui dInternet et des services qui y sont proposs. De mme, les organismes, quils soient publics ou privs, ne sauraient se priver des avantages quelles tirent actuellement des technologies de linformation et de communication. En effet, les donnes numrises et les systmes informatiques reprsentent un rel patrimoine stratgique, parfois mme vital, qui a gnr une situation de dpendance lgard de la technologie. Linterruption du service assur par un systme dinformation, ou la destruction ou laltration dinformations, peuvent conduire une paralysie de lorganisme ou de certaines de ses activits. Les informations prsentent souvent un caractre de confidentialit lev, dont lenjeu peut tre lautonomie de dcisions politiques, la protection de secrets comme ceux de linstruction judiciaire ou des enqutes de police, la prservation du patrimoine intellectuel ou technologique, ou encore lgalit des chances des candidats devant les marchs publics. Dans certains cas, pour les donnes caractre personnel par exemple, la divulgation dinformations des personnes nayant pas en connatre peut conduire des sanctions pnales. Enfin, une perte de contrle des processus internes, de plus en plus souvent assurs par des moyens informatiques, peut tre dangereuse pour lorganisme, voire, quand ils concernent des industries ou des secteurs dactivit dimportance vitale, dramatique pour la nation ou pour la scurit des populations. 1.3 La faiblesse des technologies de linformation
30
35
40
La scurit des technologies de linformation na pas suivi lextraordinaire dveloppement de linformatique et de ses usages. Le protocole Internet lIP , les systmes dexploitation et les applications ont lorigine t conus pour tre efficaces, dans des rseaux peu tendus, sans relle prise en compte de la scurit. Ceux qui sont aujourdhui en service utilisent souvent des briques de base des premiers rseaux, alors que leur contexte demploi a radicalement chang.
7 Les logiciels, de plus en plus complexes et dvelopps toujours plus rapidement pour rpondre aux contraintes du march, prsentent trs souvent des failles de scurit erreurs de conception ou de programmation par exemple qui obligent les diteurs les corriger en permanence et les organismes appliquer sans dlai ces correctifs. 5 1.4 Les risques et les menaces dans le cyberespace
Le patrimoine informationnel des administrations et des entreprises est soumis des risques et des menaces quil convient de connatre pour mieux sen prmunir et sen protger. La cybercriminalit1 se dveloppe un rythme soutenu, sous des formes trs diverses et de plus en plus sophistiques. Lusurpation didentit est dores et dj largement rpandue sur Internet et se pratique par des mthodes telles que le filoutage qui permet au fraudeur de rcuprer des renseignements personnels sur la victime, de lui voler de largent, de lui pirater sa carte bancaire ou son compte bancaire. Cette cybercriminalit bnficie de la relative simplicit des attaques, de limpunit que peut procurer la distance et dune rentabilit leve. Lhacktivisme, mouvement de contestation politique et sociale, rassemble un nombre grandissant dorganisations (Wikileaks, Anonymous ou encore LulzSec). Leurs actions dans le cyberespace peuvent consister en la dfiguration de sites Internet, la saturation par dni de service de systmes dinformation, mais plus grave encore, leurs actions peuvent consister en la publication massive, sur Internet, dinformations sensibles aprs stre introduit dans les systmes dinformation dorganisations. Lespionnage, des fins politiques ou conomiques, organis par des Etats ou des quipes de techniciens comptentes, structures et aux moyens toujours plus consquents, est une ralit. La mdiatisation de certaines affaires ayant conduit la fuite dinformations sensibles de gouvernements, dinformations relatives au patrimoine scientifique, technologique et industriel dentreprises prives a fait prendre conscience de la gravit de cette menace. Lexploitation de failles logicielles ou matrielles, pour lesquelles il existe un correctif ou non (0-day), permettent aux attaquants de compromettre des postes dutilisateurs et prendre ainsi le contrle distance de ce dernier et, par rebond, de rechercher de linformation sur le systme dinformation de lorganisme. Les programmes malveillants (virus, vers, chevaux de Troie, portes drobes, etc.), sans cesse renouvels et amliors par leurs auteurs, exploitent le faible niveau de protection des outils informatiques, les mauvais rflexes des citoyens (ouverture trop rapide de pices jointes de mails dont ils ne connaissent pas lmetteur par exemple). Le manque dtanchit entre les outils informatiques utiliss dans la sphre personnelle et ceux utiliss dans la sphre personnelle (cls USB, smartphones, PC portables, tablettes digitales) permet galement une propagation accrue des virus. Stuxnet et conficker sont devenus de ce point de vue des cas dcole. La contrefaon et plus gnralement les atteintes aux donnes traites, mises disposition ou possdes par une administration ou une entreprise est galement au cur des proccupations des administrations et des entreprises. En effet, elles ont de plus en plus la charge de donnes qui ne leur appartiennent pas en propre et pour lesquelles il convient den assurer la prennit et la confidentialit. De plus, elles gnrent un patrimoine informationnel et conomique (inventions, uvres, marques, donnes commerciales ou stratgiques, etc.) susceptibles daiguiser les apptits de nombreux prdateurs informationnels dont les actions peuvent aller rduire la valeur de ce patrimoine (exploitation duvres lidentique, inscurit juridique, etc.) la disparition de lorganisme luimme (perte de lgitimit, sanction pnale, prjudice conomique majeur, etc.).
1
10
15
20
25
30
35
40
Actes contrevenants aux traits internationaux ou aux lois nationales, utilisant des rseaux ou les systmes dinformation comme moyen de ralisation dun dlit ou dun crime, ou les ayant pour cible.
8 La menace nmane pas toujours de lextrieur dun organisme : elle peut tre le fait de personnel interne indlicat ou malveillant, dun stagiaire un peu trop regardant, ou encore dune panne, dune catastrophe naturelle. Les consquences et les impacts peuvent tre dsastreux pour lorganisme. 1.5 5 La dfense et la scurit des systmes dinformation
En matire de protection des systmes dinformation, la dissymtrie entre le glaive et le bouclier est flagrante : le dfenseur doit veiller verrouiller toutes les portes alors quil suffit aux attaquants de pntrer travers la cloison la plus fragile. En outre, lvolution constante de la menace et des moyens dattaque ne permet pas de disposer dune protection et dune scurit absolues dun systme dinformation. En consquence, leffort de scurisation dun systme dinformation ne doit pas tre ponctuel mais doit procder au contraire dune dmarche permanente et rgulirement rvalue, suivant une mthode pertinente et adapte lorganisme qui impliquera les instances dirigeantes de celui-ci tout autant que les quipes informatiques. La protection dun systme dinformation est effectivement loin de ntre quune affaire de spcialistes. De mme, elle ne consiste pas construire une ligne Maginot : elle est au contraire un processus inscrit dans la dure qui voit la mise en place dune architecture la Vauban, sur le principe de dfense en profondeur (mise en place de lignes de dfense autonomes et cohrentes, qui allient mesures techniques, organisationnelles et comportementales). En effet, face un ennemi dtermin, la protection ne suffit pas : il faut tre en mesure de dtecter les intrusions et, le cas chant, de ragir. 1.6 Ladministration lectronique et le RGS
10
15
20
25
Ltat franais, dans sa volont de dmatrialiser le plus grand nombre possible de ses processus et de ses changes avec les autres acteurs conomiques, met en uvre des tlservices pour simplifier et acclrer le traitement de lensemble des procdures au profit des usagers et des autorits administratives. Cette volont nationale est loin dtre isole : de nombreux Etats organisent leur eGouvernement et des institutions supranationales coordonnent et rgulent ces initiatives : la directive 2006/123/CE Services de la Commission europenne est un exemple parmi dautres. Pour rpondre aux enjeux et aux besoins lgitimes de scurit de ladministration lectronique, et afin demporter la confiance des acteurs qui changent par voie lectronique avec les autorits, le rgulateur national a ordonn, le 8 dcembre 2005, la mise en place dun Rfrentiel Gnral de Scurit. La stratgie de la France en matire de dfense et de scurit des systmes dinformation consacre encore davantage ce texte rglementaire : les administrations doivent montrer lexemple en protgeant le cyberespace public. Les usagers doivent utiliser en confiance les services lectroniques proposs par les autorits publiques, notamment au regard de la protection de leur donnes personnelles. Le RGS offre un cadre rglementaire susceptible de renforcer cette scurit. Son respect et sa mise en uvre par les autorits publiques sont prioritaires. [] En ce qui concerne les autorits publiques, la mise en uvre du RGS et son volution permettront de relever significativement le niveau de protection de leurs SI, notamment dans leurs relations avec les usagers. La premire version de ce rfrentiel est entre en vigueur par arrt du Premier ministre le 6 mai 2010. La seconde version, objet du prsent document, en est une volution qui prend en compte de nouvelles menaces, les nouveaux guides et recommandations produits par lANSSI depuis cette date ainsi que les retours dexprience sur lapplication de la premire version.
30
35
40

9 2 2.1 Elments de contexte Cadre juridique
La loi n 2004-1343 du 9 dcembre 2004 de simplification du droit, en son article 3, a autoris le gouvernement prendre par ordonnance les mesures ncessaires pour assurer la scurit des informations changes par voie lectronique entre les usagers et les autorits administratives (AA), ainsi quentre les autorits administratives. En application de cette loi, lordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives (ci-aprs dsigne l[Ordonnance]) a t prise. Cette [Ordonnance] a t ratifie par la loi n 2009526 du 12 mai 2009 de simplification et de clarification du droit et dallgement des procdures. Elle sinscrit dans une dmarche globale du gouvernement en matire de rforme de ltat, plus prcisment dans ses aspects de simplification des dmarches des usagers et de facilitation de laccs de ces derniers aux services publics. Cette [Ordonnance] sapplique aux systmes dinformation destins changer des informations entre les usagers et les autorits administratives, ainsi quentre les diffrentes autorits administratives. L'[Ordonnance] prvoit, en son article 9.I, l'tablissement d'un Rfrentiel Gnral de Scurit (RGS), dans le but de fixer, selon le niveau de scurit requis, les rgles que doivent respecter certaines fonctions contribuant la scurit des informations.
10
15
20
Conformment larticle 14.I, les autorits administratives doivent mettre leurs systmes dinformation (SI) existants la date de publication de la premire version du RGS, le 18 mai 2010, en conformit avec ce rfrentiel dans un dlai de trois ans. Les systmes crs depuis le 18 mai 2010 doivent tre mis sans dlai en conformit. Conformment larticle 15, les systmes dinformation traitant dinformations relevant du secret de la dfense nationale nentrent pas dans le champ dapplication de l[Ordonnance], la diffrence de ceux traitant d informations non classifies de dfense de niveau Diffusion Restreinte [DR]. L[Ordonnance] renvoie des dcrets les conditions dapplication des mesures quelle prvoit. En particulier, le dcret n 2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de l[Ordonnance], ci-aprs dsign [DcretRGS], prcise les dispositions de l[Ordonnance] relatives la scurit des systmes dinformation des autorits administratives.
25
30
Le [DcretRGS] fixe notamment les conditions dlaboration et de mise jour du RGS : les versions successives de ce rfrentiel entrent en vigueur par arrt du Premier ministre. La premire version a t approuve le 6 mai 2010 et la seconde version, objet du prsent document, le xx/xx/2012. 2.2 Structure du RGS
35
40
La suite du document est dcompose en cinq parties. La premire prsente la dmarche ncessaire la mise en conformit dun systme dinformation avec le RGS. La seconde dcrit des recommandations gnrales et bonnes pratiques applicables dans le contexte dune mise en conformit avec le RGS. La troisime prcise les rgles et recommandations dordre technique. La quatrime partie prsente les schmas de qualification des produits de scurit et des prestataires de services de confiance. Enfin, la dernire partie traite des deux mcanismes de validation des certificats par ltat : les rgles affrentes linfrastructure de gestion cl de ladministration (dite IGC/A) et la procdure ad hoc de validation des certificats lectroniques par lEtat au titre du RGS. Le RGS annexe galement : les rgles relatives lutilisation des mcanismes cryptographiques (annexes B) ;
10 5 2.3 les rfrentiels dexigences applicables aux diffrentes catgories de prestataires de services de confiance traites dans le RGS (annexes A et C) ; une annexe (D) dcrivant lensemble des exigences en matire de scurit des technologies de linformation pour les activits de personnalisation des dispositifs dauthentification, de signature et de chiffrement2. Acteurs concerns
10
Conformment larticle 2 du [dcretRGS] et larticle 4 du dcret n 2011-193 du 21 fvrier 2011 portant cration dune direction interministrielle des systmes dinformation et de communication de lEtat (DISIC), le RGS est labor par lAgence nationale de la scurit des systmes dinformation (ANSSI) en liaison et en concertation avec la Direction interministrielle des systmes dinformation et de communication et la Direction gnrale de la modernisation de ltat (DGME). Les rgles du RGS simposent aux autorits administratives. L[Ordonnance] prcise que celles-ci sont les administrations de l'tat, les collectivits territoriales, les tablissements publics caractre administratif, les organismes grant des rgimes de protection sociale relevant du code de la scurit sociale et du code rural ou mentionns aux articles L. 223-16 et L. 351-21 du code du travail et les autres organismes chargs de la gestion d'un service public administratif. Ces autorits administratives sont particulirement concernes par le corps mme du Rfrentiel gnral de scurit quils sagissent de leurs instances dirigeantes, des responsables de la scurit des systmes dinformation la direction des systmes dinformation ainsi que toutes les autres entits qui grent des systmes3 mais galement les agents eux-mmes. Ils pourront y trouver les rgles qui les concernent ainsi que des bonnes pratiques lies la gestion de la scurit de leurs systmes dinformation. Les diteurs de produits de scurit et les prestataires de services de confiance sont galement viss par le prsent document dans la mesure o ils doivent proposer aux autorits administratives des produits et des prestations conformes aux exigences du RGS. Le RGS dcrit ainsi le processus de qualification qui permet dattester de la conformit dun produit ou dune prestation au RGS. Ils sont de plus, particulirement concerns par les annexes du RGS qui ont vocation de servir de base la qualification quils peuvent demander. Les organismes de qualification sont galement concerns par le RGS dans la mesure o le processus de qualification quils mettent en uvres est effectue sur la base de ses annexes. Enfin, bien que son application ne leur soit pas impose, les organismes privs au premier rang desquels les oprateurs dimportance vitale et les organismes participant la commande publique sont fortement incits prendre en compte le RGS afin, notamment de pouvoir communiquer, de manire scurise et rciproque avec les autorits administratives.
15
20
25
30
35
2.4
Evolutions par rapport la premire version du RGS
La publication de la seconde version du RGS rpond un triple objectif. Tout dabord, les vnements du cyberespace (nouvelles menaces, nouveaux risques, etc.), les innovations et usages se succdant une vitesse spectaculaire, il est essentiel den tenir compte et que le RGS soit le reflet au plus proche du contexte actuel.
Ce document est issu du recueil dexigences relatif aux exigences de scurit des sites de personnalisation, version 1.0, cr conjointement par lAssociation des fabricants et personnalisateurs de cartes, la socit LSTI, la DGME et la DCSSI et disponible sur le site de lANSSI. 3 Systmes de contrles daccs physiques, logiques, systmes de gestion des droits et des habilitations, etc.
11 Par ailleurs,, depuis lentre en vigueur de la premire version du RGS en mai 2010, lANSSI a produit un grand nombre de guides, bonnes pratiques en SSI et rfrentiels dexigences lintention de nouvelles catgories de prestataires de services de confiance qui trouvent entirement et naturellement leur place le prsent rfrentiel, pierre angulaire de laction de lANSSI lintention des autorits administratives. Enfin, le retour dexprience sur la mise en uvre de la premire version du RGS a montr la ncessit de prciser certains points. Les volutions sont les suivantes : - clarification des rgles et recommandations du RGS ; - refonte des annexes A relatives aux prestataires de service de certification lectronique et aux prestataires de service dhorodatage lectronique ; - ajout dune annexe relative aux prestataires daudit de la scurit des systmes dinformation ; - redfinition de la stratgie relative lIGC/A ; - modification de la procdure de validation des certificats lectroniques par lEtat ; - introduction de nouveaux concepts de dfense et de scurit des SI. 3 Dmarche de mise en conformit avec le RGS : description des tapes respecter
10
15
20
25
Les autorits administratives qui mettent leurs systmes dinformation en conformit avec le RGS doivent imprativement respecter une dmarche globale de gestion des risques informationnels matrialises par six actions fondamentales issues du [dcret RGS] : 1. Ralisation dune analyse des risques (art. 3 al. 1) ; 2. Dfinition des objectifs de scurit (art. 3 al. 2) ; 3. Choix et mise en uvre des mesures appropries de protection du SI (art. 3 al. 3) ; 4. Choix et mise en uvre des mesures appropries de dfense du SI (art. 3 al. 3); 5. Homologation de scurit du systme dinformation (art. 4); 6. Suivi oprationnel de la scurit du SI. Il est recommand daccomplir ces tapes dans lordre prcis ci-dessus. Dans le cas o le systme dinformation est dj en service et na pas suivi cette dmarche, il est ncessaire de sassurer de son degr de scurisation par la dmarche simplifie suivante : 1. Ralisation dun audit de la scurit du systme dinformation ; 2. Ralisation dune analyse des risques simplifie ; 3. Mise en uvre des mesures correctives fixes dans le rapport daudit en cohrence avec les objectifs de scurit issus de lanalyse des risques ; 4. Dcision dhomologation de scurit du systme dinformation ; 5. Suivi oprationnel de la scurit du SI. 3.1 a Analyse des risques Principes de lanalyse des risques
30
35
40
La scurit des systmes dinformation (SSI) recouvre lensemble des moyens techniques, organisationnels et humains qui doivent tre mis en place dans le but de garantir, au juste niveau requis, la scurit des informations dun organisme et des systmes qui en assurent llaboration, le traitement, la transmission ou le stockage.
12 Il est ainsi, en premier lieu, ncessaire didentifier les vnements qui peuvent impacter la scurit du systme dinformation, den estimer les consquences et les impacts potentiels sils devaient se produire, puis de dcider des actions raliser afin de rduire le risque un niveau acceptable. Cette action est ralise travers la dmarche danalyse dont la vocation est de dterminer, prcisment et formellement, le besoin de scurit du systme dinformation. Les autorits administratives doivent conduire cette dmarche, en utilisant une mthode danalyse de risque, qui seule, leur permettra didentifier les risques de manire factuelle et exhaustive. En effet, la scurit dun systme dinformation ne peut tre correctement assure quen explicitant clairement les risques auxquels le systme est rellement expos. 10 Le degr dapprofondissement de cette dmarche doit tre proportionnel la complexit des systmes dinformation viss et limportance des enjeux identifis. Une dmarche allge peut ainsi tre envisage dans le cas de systmes simples ou sans enjeux importants de scurit, ou au contraire renforce si le systme d'information est complexe et les enjeux levs. cet effet, il est recommand de sappuyer sur la norme [ISO27005], qui fixe un cadre thorique de la gestion des risques, et de sappuyer sur la mthode [EBIOS] pour sa mise en uvre pratique grce notamment aux explications et aux outils notamment logiciels quelle propose. b Modalits de la dmarche danalyse des risques
15
Le besoin de scurit du systme dinformation, est dtermin en fonction de la menace et des enjeux. Il vise la prise en compte des risques associs la mise en uvre du systme dinformation. 20 Les menaces4 prendre en compte sont celles qui psent rellement sur le systme dinformation et sur les informations quil traite, transmet et stocke, dans lenvironnement dans lequel il se situe. Afin didentifier les menaces tant externes quinternes, les autorits administratives peuvent, en particulier, rpondre aux questions suivantes : 25 30 le systme dinformation, et donc les informations quil contient, est-il isol, ou est-il accessible depuis Internet ? les postes de travail, les serveurs, les rseaux utiliss sont-ils dans une enceinte protge, ou dans un lieu public ? le systme est-il dans une zone inondable, une zone sismique ? le personnel est-il habilit dans sa totalit connatre les donnes, piloter les processus ou administrer le systme ?
laccs de certaines personnes aux donnes, aux processus ou au systme est-il critique pour lautorit administrative ? Les enjeux se mesurent laune de la gravit des impacts que provoquerait, pour lorganisme, une perte de disponibilit, dintgrit ou de confidentialit des informations. 35 Afin didentifier ces enjeux, les autorits administratives peuvent, en particulier, rpondre aux questions suivantes : - quel est limpact de limpossibilit daccs aux donnes ou dutilisation du systme dinformation ? - quel est limpact de la modification non dsire de donnes ou de composants du systme dinformation ?
4
40
Une menace est considre par le ISO/CEI Guide 73 :2002 comme une cause potentielle dun incident indsirable, pouvant entrainer des dommages au sein dun systme et dun organisme .
13 quel est limpact en cas daccs par une personne non autorise des donnes de nature confidentielle ?
10
15
3.2 Dfinition des objectifs de scurit Les risques ainsi apprcis, le responsable du systme dinformation peut noncer, en toute connaissance de cause, les objectifs de scurit satisfaire. Ces objectifs se rapportent aux trois grands domaines de la scurit : - la disponibilit des donnes et du systme dinformation ; - lintgrit des donnes et du systme dinformation ; - la confidentialit des donnes, et celle des lments critiques du systme dinformation ; A ces trois domaines traditionnels peuvent sajouter deux domaines complmentaires : - lauthentification, pour garantir que seules les personnes autorises peuvent accder aux donnes et aux processus ; - la traabilit, pour pouvoir vrifier que les actions sur les donnes et sur les processus ont t effectues par des personnes autorises, et permettre de dceler toute action ou tentative daction illgitime. Les objectifs de scurit doivent tre dtermins au regard des rsultats de lanalyse des risques mene prcdemment (cf. 3.1). Les objectifs de scurit doivent tre exprims aussi bien en termes de protection que de dfense des systmes dinformation.
20
25
30
3.3 Choix et mise en uvre des mesures de scurit adaptes Lexpression des objectifs de scurit permet dapprcier les fonctions de scurit qui peuvent tre mises en uvre pour les atteindre. Ces fonctions de scurit vises par le (dcret RGS] larticle 3 al. 3 sont matrialises par le choix de moyens et de mesures aptes assurer les fonctions retenues et adaptes aux enjeux du systme dinformation. Ces moyens et mesures peuvent tre dorigine : - technique : produits de scurit (matriels ou logiciels) ou prestations de services de confiance informatiques, ou autres dispositifs de scurit (blindage, dtecteur dintrusion...) ; - organisationnelle : organisation des responsabilits, habilitation du personnel, contrle des accs, protection physique des lments sensibles... ; - humaine : affectation dagents responsables de la gestion du systme dinformation (administrateur du systme dinformation, responsable de scurit du systme dinformation, responsable de la protection physique du systme), formation du personnel spcialis, sensibilisation des utilisateurs. Ces mesures de scurit sont slectionnes dans des rfrentiels de mesures (normes, mthodes, bases de connaissances). Elles peuvent galement en tre adaptes ou tre cres de toute pice. Le chapitre 5 du RGS liste les principaux rfrentiels de mesures de scurit afin daider les autorits administratives dans leur choix. Ce chapitre fixe galement les rgles respecter pour scuriser plus particulirement les changes lectroniques laide de mcanismes cryptographiques et des fonctions de chiffrement, de signature, dauthentification et dhorodatage lectroniques.
35
40
Lorsquelles sont dordre technique, les mesures de scurit retenues sont gnralement assures par des produits de scurit, voire des prestations de services de confiance (telles que la fourniture de prestations de certification lectronique ou dhorodatage lectronique). Ces produits et prestations
14 peuvent tre qualifies selon les schmas dcrits aux chapitres III et IV du dcret n 2010-112 du 2 fvrier 2010 et tre ainsi attests conformes aux exigences du RGS qui leur sont applicables. Le chapitre 5 dcrit ces schmas, prsente les catgories de produits de scurit et de prestataires de services de confiance qualifis et dtaille les modalits dacquisition et de recours par les autorits administratives ces derniers. 3.4 Dcision dhomologation de scurit du systme dinformation Lhomologation de scurit du systme dinformation est la dmarche qui permet didentifier, datteindre puis de maintenir un niveau de risque de scurit acceptable pour le systme dinformation considr, compte tenu dun besoin de scurit exprim pralablement. Cette dmarche sappuie sur une gestion globale des risques concernant le systme dinformation tout au long de son cycle de vie. Elle aboutit une dcision dhomologation de scurit ou attestation formelle, vise par larticle 5 du [dcret RGS]. La dcision dhomologation est lengagement par lequel une autorit dhomologation atteste, au nom de lautorit administrative, que le projet a bien pris en compte les contraintes oprationnelles de scurit tablies au dpart, que les exigences de scurit sont bien dtermines et satisfaites, que les risques rsiduels sont matriss et accepts, et que le systme dinformation est donc apte entrer en service. Elle permet de sassurer et, le cas chant, dinformer les usagers, que les objectifs de scurit sont bien atteints, que les risques rsiduels sont accepts en toute responsabilit, que les fonctions de scurit mises en place sont ncessaires et suffisantes et quelles ne gnrent pas de nouveaux risques. Lhomologation de scurit est obligatoire pour tous les systmes dinformation entrant dans le champ de l[Ordonnance] et pralable la mise en service oprationnelle de ces systmes dinformation. Elle est prononce par lautorit dite dhomologation sur la base dun dossier de scurit labor par une commission dhomologation. Selon les rsultats de lanalyse effectue lors de la dmarche dhomologation, lautorit dhomologation pourra prononcer : - une homologation provisoire, assortie de rserves et dun dlai de mise en conformit des dfauts de scurit rencontrs ; - une homologation, assortie le cas chant de conditions, pour une dure dtermine (recommande entre 3 et 5 ans) ; - un refus d'homologation, si les rsultats de l'audit font apparatre des risques rsiduels jugs inacceptables. Lautorit dhomologation est dsigne par lautorit administrative en charge du systme dinformation. Elle est gnralement dsigne au sein mme de cette autorit administrative. Lorsque le systme dinformation est sous la responsabilit de plusieurs autorits administratives, lautorit dhomologation est dsigne conjointement par les autorits administratives concernes. Afin que sa dcision soit motive et justifie, il est recommand que lautorit dhomologation sappuie sur un dossier de scurit conforme au modle dcrit dans le guide [GISSIP].
10
15
20
25
30
35
40
3.5
Suivi oprationnel de la scurit du systme dinformation
Les mesures prventives de protection dun systme dinformation ne sont pas suffisantes et doivent tre accompagnes dun suivi oprationnel quotidien du systme ainsi que de mesures de surveillance et de dtection afin de ragir au plus vite et grer au mieux les incidents de scurit.

15 Ces mesures sont notamment les suivantes : collecte et analyse des journaux dvnements et des alarmes, application des mesures correctives aprs un audit du systme dinformation ou un incident, mise en place dune chane dalerte en cas dintrusion suppose ou avre sur le systme dinformation, gestion de crise, gestion des droits daccs des utilisateurs, veille sur les menaces et les vulnrabilits, laboration de plans de continuit et de reprise dactivit et sensibilisation du personnel. Les chapitres 4 et 5 dtaillent cette thmatique essentielle. 4 10 Recommandations gnrales et bonnes pratiques
Dun point de vue rglementaire, les seules rgles imposes par le [dcretRGS] portent sur lanalyse des risques et lhomologation de scurit des systmes dinformation. Nanmoins, au-del de ces deux rgles fondamentales, lANSSI recommande ladoption dun certain nombre de bonnes pratiques relatives la mthodologie, aux procdures et lorganisation et quelle considre comme ncessaire la mise en place dune gestion efficace et efficiente de la SSI.
15
En effet, la SSI ne peut sapprhender dans lurgence que de faon ponctuelle, pisodique ou isole. Il sagit dune dmarche globale et structure qui se planifie et qui demande la participation de ressources et comptences multiples et un engagement fort au plus au niveau de la hirarchie. Ce chapitre donne des recommandations, regroupes autour de principes gnraux, que les autorits administratives sont encourages respecter afin de protger au mieux leurs systmes dinformation. 4.1 Accs aux lments documentaires relatifs la SSI
20
25
a Principes gnraux de la scurit des systmes dinformation LANSSI publie, sur son site Internet, des principes gnraux et des principes de base en matire de scurit et de dfense des systmes dinformation : http://www.ssi.gouv.fr/fr/bonnespratiques/principes-generaux/. Ils portent notamment sur : - les fondamentaux en matire de SSI ; - les 10 commandements de la scurit sur linternet ; - la protection minimale dun poste de travail ; - les bonnes pratiques de navigation sur linternet. b Guides thmatiques LANSSI publie galement, sur son site Internet, des guides thmatiques relatifs la scurit et la dfense des systmes dinformation. Les autorits administratives sont encourages les respecter et demander leur respect dans les contrats et prestations quelles commanditent. Ces guides sont publis et rgulirement mis jour sur la page http://www.ssi.gouv.fr/fr/bonnespratiques/recommandations-et-guides/. Ils portent notamment sur : - les mcanismes cryptographiques ; - la scurit du poste de travail, de la messagerie, des mdias amovibles, des liaisons sans fil, des copieurs ou imprimantes multifonctions, des solutions de mobilit, des rseaux, des applications web, de lexternalisation ; - la raction en cas dincident.
30
35
40
16 4.2 Adopter une dmarche globale
Lensemble de la dmarche de scurisation des systmes dinformation doit faire lobjet dune volont cohrente et globale afin de noublier aucun lment pertinent, pour viter toute faille qui rduirait le niveau global de scurit du SI mais galement la dispersion des efforts des quipes en charge de la SSI et le saupoudrage, inefficace, de mesures de scurit parcellaires. Il est galement ncessaire que chacune des dcisions relatives la scurit soit prise au juste niveau hirarchique. Il est ainsi recommand : - de considrer tous les aspects qui peuvent avoir une influence sur la scurit des systmes dinformation, techniques (matriels, logiciels, rseaux...) et non techniques (organisations, infrastructure, personnel...) ; - de considrer tous les risques et menaces, dorigine humaine ou naturelle, accidentelle ou dlibre ; - de prendre en compte la SSI au juste niveau hirarchique, car comme tous les autres domaines de la scurit, la SSI repose sur une vision stratgique, et ncessite des choix dautorit (les enjeux, les moyens humains et financiers, les risques rsiduels accepts), et un contrle des actions et de leur lgitimit ; - de responsabiliser tous les acteurs (dcideurs, matrise d'ouvrage, matrise d'uvre, utilisateurs) ; - dintgrer la SSI tout au long du cycle de vie des systmes d'information (depuis ltude dopportunit jusqu' la fin de vie du systme). Dune manire similaire, il est recommand que la scurit soit prise en compte ds la phase de dfinition des objectifs fonctionnels des systmes dinformation afin de : - rduire les cots ultrieurs inhrents lapplication des mesures de scurit ncessaires la mise en uvre dun SI conforme au RGS et la maintenance du SI ; - garantir une efficience des mesures de scurits mises en uvre ; - favoriser lappropriation de la scurit par les quipes en charge du SI. 4.3 Adapter leffort de protection des systmes dinformation aux enjeux de scurit et prendre en compte la SSI dans les projets
10
15
20
25
30
Il est galement recommand que la scurit dun systme dinformation soit adapte aux enjeux du systme dinformation et aux besoins de scurit de lautorit administrative, afin dy consacrer les moyens financiers et humains juste ncessaires et suffisants (un manque de scurisation pouvant conduire des situations dramatiques et une sur scurisation pouvant nuire lergonomie et lefficience du SI). Dans ce but, il est recommand dutiliser les guides [MaturitSSI] et [GISSIP]. Ces guides permettent de dterminer rapidement les enjeux relatifs la scurit dun systme d'information en fonction du besoin de scurit et didentifier lensemble des livrables relatifs la SSI dans le cadre du dveloppement dun projet de systme dinformation, et en particulier : - lors de la conception gnrale, pour identifier les objectifs gnraux de scurit ; - lors de la conception dtaille, pour affiner les objectifs de scurit et identifier le niveau de risque maximum que lautorit responsable se dclare prte accepter ; - lors de la ralisation du systme, pour dcrire concrtement les mesures de scurit et la manire de les appliquer dans lenvironnement effectif dutilisation ; - la fin de la phase de dveloppement et au plus tard avant la phase dexploitation, pour prononcer la dcision dhomologation ;
35
40
17 4.4 tout au long de la vie du systme, jusquau retrait du service, pour maintenir la scurit. Impliquer les instances dcisionnelles
Les systmes dinformation sont aujourdhui considrs dans bons nombres dorganisation comme des lments vitaux et des centres nvralgiques dont latteinte en disponibilit, intgrit ou confidentialit peut avoir des consquences dsastreuses. Pour cette raison, et afin de donner les orientations adquates en terme dinvestissement humain et financier notamment et valider les objectifs de scurit et les orientations stratgiques, les instances dcisionnelles et hirarchiques des autorits administratives doivent simpliquer dans la scurisation des systmes dinformation dont ils ont, in fine, la responsabilit. La norme [ISO27001] fournit, titre indicatif, une liste de sujets qui devraient tre traits au niveau de la direction dune autorit administrative. Ces sujets concernent en particulier le management des ressources (disposer des ressources ncessaires pour assurer les tches lies la SSI, former, sensibiliser et faire monter en comptence ces ressources). 4.5 Organiser la scurit des systmes dinformation
10
15
La prise en compte de la SSI impose la mise en place dune organisation ddie, qui peut tre mutualise avec celle requise pour la protection des informations classifies de dfense (telle que dfinie dans l[IGI1300]). a Organiser les responsabilits lies la SSI
20
Au sein des autorits administratives, lautorit dsigne par lorgane dirigeant lautorit qualifie pour la SSI (AQSSI) dans le cas des administrations centrales assure la responsabilit SSI et sappuie sur un responsable de la scurit des systmes dinformation (RSSI) charg de lassister dans le pilotage et la gestion de la SSI. Le RSSI coordonne par exemple les actions permettant l'intgration des clauses lies la scurit des systmes d'information dans tout contrat ou convention impliquant un accs par des tiers des informations ou des ressources informatiques. Il formalise une note dorganisation interne valide par lautorit assurant la responsabilit SSI, qui dcrit la rpartition au sein de lautorit administrative les responsabilits en matire de SSI. Il tablit les relations ncessaires avec les autorits externes de dfense des systmes dinformation, notamment pour la gestion des intrusions et attaques sur les systmes dinformation de lautorit administrative. Le RSSI peut sappuyer sur des correspondants SSI, chargs de la gestion et du suivi des moyens de scurit des systmes d'information en fonction de leurs primtres responsabilits. Pour l'exercice de ses attributions, un correspondant peut lui-mme disposer d'une quipe ddie la scurit dont l'effectif dpend de la dimension de lautorit administrative, et de la nature des systmes protger. b Mettre en place un systme de management de la scurit des systmes dinformation
25
30
35
40
Il est recommand de chercher une amlioration constante de la SSI, par exemple en mettant en place un systme de management de la scurit de l'information, tel qu'il est dfini dans la norme [ISO27001]. La mise en place dun tel systme permettra non seulement de planifier et mettre en uvre les mesures de protection du systme dinformation mais galement den vrifier la pertinence et la conformit objectifs tablis afin dagir pour leur amlioration.
18 c Elaborer une PSSI
Il est recommand dlaborer et de formaliser une politique SSI. Selon les besoins, cette politique SSI pourra tre dcline et complte notamment pour un domaine particulier, ou pour un systme d'information prcis. 5 Le guide [PSSI] fournit une aide pour laborer une politique SSI. 4.6 Sensibiliser le personnel
10
Il est souvent dit que lhumain est le maillon faible en matire de scurit des systmes dinformation. Afin de rduire au maximum les risques lis la mconnaissance des principes de base et des rgles lmentaires de bonne utilisation de loutil informatique, lensemble des salaris dune autorit administrative et, le cas chant, les contractants et utilisateurs tiers, devraient suivre une formation adapte sur la sensibilisation et recevoir rgulirement les mises jour des politiques et procdures de lautorit administrative, pertinentes pour leurs fonctions. Parmi les exemples les plus usuels, figurent lemploi des supports amovibles et des smartphones qui peuvent introduire dans le systme dinformation des virus et des vulnrabilits.
15
La sensibilisation du personnel doit tre rgulire car les risques voluent en permanence. A cet effet, lANSSI publie des bonnes pratiques pour lapplication de principes de base en matire de scurit des systmes dinformation : http://www.ssi.gouv.fr/fr/bonnes-pratiques/principesgeneraux. 4.7 Utiliser les produits et prestataires labelliss pour leur scurit
20
La qualification est un label cr par l[Ordonnance], qui permet dattester de la confiance que lon peut accorder des produits de scurit et des PSCO ainsi que de leur conformit aux rgles du RGS qui leurs sont applicables. Dautres labels existent pour attester de la comptence des professionnels, notamment en matire de SSI. Il est ainsi recommand : - dutiliser chaque fois que possible des produits de scurit qualifis ( 6.1) par lANSSI (le catalogue de ces produits est disponible sur le site www.ssi.gouv.fr), aprs stre assur que le produit rpond bien au besoin et au contexte dutilisation prvu ; - de recourir chaque fois que possible des PSCO qualifis ( 6.2) ; - de prendre en considration, dans le choix des prestataires, en plus de leur qualification, leur ventuelle certification selon la norme [ISO27001] ou dautres normes quivalentes ; - de prendre en considration, dans le choix de prestataires, la certification de leurs personnels lorsque des comptences particulires sont requises pour une fonction. Les deux premiers points de cette liste ont t largement renforcs par la communication du Premier ministre relative la protection des systmes dinformation lors du Conseil des ministres du 25 mai 2011 (http://www.ssi.gouv.fr/IMG/pdf/2011-05-25_principales_mesures.pdf) dont lune des mesures concerne le recours par les administrations des produits et services labelliss et dont lobjectif est d augmenter le niveau de scurit des systmes d'information des administrations par l'utilisation de produits et de services ayant fait l'objet d'une valuation positive et d'une labellisation par l'tat . 4.8 A venir.
25
30
35
40
Mettre en place des mcanismes de dfense des systmes dinformation
19 4.9 Procder des audits rguliers de la scurit du systme dinformation
Laudit est lun des moyens disposition de tout organisme pour prouver et sassurer du niveau de scurit de son systme dinformation. Il permet, en pratique, de mettre en vidence les forces mais surtout les faiblesses et vulnrabilits du systme dinformation. Ses conclusions permettent didentifier des axes damlioration et de contribuer ainsi llvation de son niveau de scurit, en vue, par exemple, de son homologation de scurit. Cest pourquoi les autorits administratives sont encourages raliser, ou faire raliser, des audits rguliers de leurs systmes dinformation.
10
A cet effet, lannexe C du RGS fixe les rgles que doivent respecter les prestataires tiers qui ralisent des audits de la scurit des systmes dinformation des autorits administratives. Ces prestataires peuvent obtenir la qualification selon le schma dcrit au chapitre 6. 4.10 Elaborer des plans de traitement dincidents ainsi que de continuit et de reprise dactivit La scurit absolue nexistant pas, il convient de se prparer faire face des incidents de scurit pour lesquels toutes les mesures prventives auront chou afin den minimiser les impacts et permettre de redmarrer lactivit le plus rapidement possible. A cet effet, les autorits administratives devraient rdiger un plan de continuit dactivit et un plan de reprise dactivit qui identifient les moyens et procdures ncessaires pour revenir une situation nominale le plus rapidement possible, en cas dincident grave. Ces documents devraient tre rgulirement mis jour.
15
20
Le site du CERT-FR dcrit les bons rflexes en cas dintrusion sur un systme dinformation. 4.11 Prendre en compte la scurit dans les contrats et les achats Les exigences de scurit relatives aux produits ou prestations achetes doivent faire l'objet d'une tude et tre clairement formalises et intgres dans les dossiers d'appels d'offre au mme titre que les exigences fonctionnelles, de performance, de qualit, ou encore rglementaires.
25
Elles concernent le systme faisant l'objet de la consultation mais aussi la gestion du projet lui-mme (formation voire habilitation des personnels), en incluant les phases oprationnelles et de maintenance. Lorsquelles sont applicables et appropries au contexte, il convient notamment de : intgrer aux rglements de consultation ou cahier des charges les rfrentiels de lANSSI applicables ; - prciser les clauses relatives la maintenance des produits acquis ; - prciser les clauses concernant les conditions dintervention des sous-traitants : - prciser les clauses garantissant la qualit et la scurit des prestations et produits fournis ; - prciser les conditions de proprit des codes sources ; - prvoir, le cas chant, la rversibilit des prestations ; - vrifier dans les rponses appel d'offre la couverture des exigences scurit inscrites dans la consultation ; .Une attention particulire devra tre porte aux mcanismes de validation et de recette des composants mettant en uvre les exigences de scurit. -
30
35

20 4.12 Prendre en compte la scurit dans les projets dexternalisation et de cloud computing Dans le domaine des systmes d'information, le recours lexternalisation est devenu une pratique courante qui prsente un certain nombre davantages, mais aussi de risques quil convient dvaluer avant de prendre cette dcision. 5 A fortiori, le cloud computing, tendance lourde pour les annes venir, permet de pallier l'absence ou l'insuffisance de moyens internes, de limiter au maximum les investissements dans le domaine des technologies de linformation et de communication et aux organismes qui y recourent de se focaliser sur leurs problmatiques mtiers. Les risques en matire de scurit des systmes dinformation peuvent tre lis au contexte de lopration dexternalisation mais aussi des spcifications contractuelles dficientes ou incompltes. LANSSI a rdig un guide, [GuideExternalisation], dont les objectifs sont les suivants : - faire prendre conscience aux dcideurs informatiques des risques en matire de scurit des systmes dinformation lis toute opration dexternalisation ; - fournir une dmarche cohrente de prise en compte des aspects SSI lors de la rdaction du cahier des charges dune opration dexternalisation ; - fournir un ensemble de clauses types ainsi quune base dexigences de scurit, adapter et personnaliser en fonction du contexte particulier de chaque projet dexternalisation. Les autorits administratives sont invites respecter les recommandations qui y figurent. 4.13 Raliser une veille sur les menaces et les vulnrabilits 20 La SSI est une action continue ncessitant des efforts permanents. Se tenir inform sur lvolution des menaces, des vulnrabilits en identifiant les incidents qu'elles favorisent, ainsi que leurs impacts potentiels constituent une mesure fondamentale de dfense. Les sites institutionnels comme celui du CERT-FR (http://www.certa.ssi.gouv.fr) ou les sites des diteurs de logiciels et matriels sont des sources dinformation importantes sur les vulnrabilits identifies, les ventuels correctifs existants ou les contre-mesures quil est possible de mettre en place. Les mises jour des logiciels et autres quipements, correctifs des systmes dexploitation et des applications font lobjet dalertes et davis quil est trs important de suivre. 4.14 Catalogues de mesures de scurit relatives la scurit des systmes dinformation 30 Afin daider au mieux les autorits administratives dans leur dmarche de scurisation de leurs systmes dinformation et dans la slection des mesures de scurit appropries leur contexte, plusieurs catalogues et recueils peuvent tre exploits : - la norme [ISO27002] ; - la mthode [EBIOS] ; - le recueil dexigences sur le traitement dinformations de niveau Diffusion Restreinte [DR] ; - la norme [PCI-DSS] dans le cas spcifiques des donnes bancaires ; - les rfrentiels de la Commission nationale de linformatique et des liberts dans le cas spcifique de la protection des donnes caractre personnel ; - le guide sur la scurisation des SI industriels [SI-industriels]; - la norme [ISO27035] pour ce qui concerne la gestion des incidents.
10
15
25
35
40

21 4.15 Favoriser linteroprabilit La scurit des systmes dinformation est une des conditions ncessaires la mise en uvre dune administration lectronique efficace et prenne. Cependant cette condition nest pas suffisante et ladministration lectronique ne saurait voluer sans que soit pris galement en compte les rgles relatives linteroprabilit et la mise en cohrence des diffrents systmes dinformation des autorits administratives et de leurs partenaires (usagers, acteurs industriels, etc.). LANSSI intervient la marge dans ces domaines mais dautres organismes y animent dautres rfrentiels et processus de labellisation. Cest notamment le cas de la Direction interministrielle des systmes dinformation et de communication (DISIC) et de la Direction gnrale de la modernisation de lEtat du Ministre des Finances qui rgulent respectivement les domaines lis linteroprabilit avec le Rfrentiel gnral dinteroprabilit et au rfrencement travers larrt du 18 janvier 2012 relatif au rfrencement de produits de scurit ou doffres de prestataires de services de confiance.
10
15
Rgles et recommandations particulires relatives certaines fonctions de scurit
20
L[Ordonnance] traite des changes lectroniques entre les autorits administratives et les usagers ainsi quentre autorits administratives. Dun point de vue rglementaire, les seules rgles techniques imposes par le RGS portent donc sur la scurisation de ces changes lectroniques par lintermdiaire de la scurisation des infrastructures qui les mettent en uvre. Ces rgles sont dcrites dans les chapitres 5.1 et 5.2 ci-dessous. Pour autant, la dmarche de scurisation dun systme dinformation na de sens et de pertinence que si elle concerne la globalit du systme dinformation et pas seulement les changes lectroniques entre ce systme et lextrieur. 5.1 Rgles relatives la cryptographie
25
Lorsquelles mettent en place des mesures de scurit bases sur des mcanismes cryptographiques, les autorits administratives doivent respecter les rgles, et si possible les recommandations, indiques dans les rfrentiels [RGS_B1] et [RGS_B2], communs tous les mcanismes cryptographiques, et le rfrentiel [RGS_B3], ddi aux mcanismes dauthentification. 5.2 Rgles relatives la protection des changes lectroniques
30
35
40
Le prsent chapitre et les annexes auxquelles il renvoie contiennent les rgles de scurit respecter pour les fonctions de scurit dauthentification ( 5.2.a), de signature lectronique ( 5.2.b), de confidentialit ( 5.2.c) et dhorodatage ( 5.2.d). Ces rgles, diffrenties selon des niveaux de scurit dfinis dans ces mmes annexes, reposent sur lemploi de contremarques de temps dans le cas de lhorodatage lectronique et de certificats lectroniques pour toutes les autres fonctions. En fonction de leur besoin de scurit, il appartient aux autorits administratives de dterminer les fonctions de scurit ainsi que leurs niveaux de scurit associs, en sappuyant sur les mthodes, les outils et les bonnes pratiques proposs aux chapitres 3 et 4 du prsent document. Lorsque de telles fonctions sont traites dans le prsent chapitre, lautorit administrative respecte les rgles correspondantes aux niveaux de scurit requis parmi ceux prvus dans ce rfrentiel. Remarques : Les annexes A du RGS version 1.0 du 6 mai 2010 ont t fusionnes afin den rduire les redondances. Elles sont dsormais au nombre de cinq dans cette seconde version du RGS.
22 L annexe A1 dcrit plus prcisment les fonctions de scurits qui sont exposes cidessous et les rgles qui leurs sont spcifiquement associes. Lannexe A2 dcrit une politique de certification type applicable aux certificats de personne. Lannexe A3 dcrit une politique de certification type applicable aux certificats de services applicatifs. Lannexe A4 dcrit les profils de certificats associs aux diffrentes fonctions de scurit. Lannexe A5 dcrit une politique dhorodatage type. a Lauthentification dune entit par certificat lectronique
10
15
Lauthentification a pour but de vrifier lidentit dont se rclame une personne ou une machine (ciaprs dsigne entit ). Gnralement, lauthentification est prcde dune identification, qui permet cette entit de se faire reconnatre du systme au moyen dun lment dont on la dot. En dautres termes, sidentifier consiste communiquer une identit pralablement enregistre, sauthentifier consiste apporter la preuve de cette identit. La suite de ce chapitre ne traite que de la fonction dauthentification. La mise en uvre par une autorit administrative des fonctions de scurit Authentification ou Authentification serveur peut se faire selon trois niveaux de scurit aux exigences croissantes : une toile (*), deux toiles (**) et trois toiles (***).
20
25
Ces exigences, dcrites dans les annexes [RGS_A1], couvrent lensemble des composants ncessaires la mise en uvre de cette fonction de scurit, pour les trois niveaux de scurit, savoir : - la bi-cl et le certificat lectronique dont lusage est lauthentification ; - le dispositif dauthentification ; - le module de vrification dauthentification ; - lapplication dauthentification. Les exigences concernant le composant certificat lectronique portent non seulement sur son contenu, mais galement sur les conditions dans lesquelles il est mis par un prestataire de service de certification lectronique (PSCE) ainsi que sur le dispositif de stockage de la cl prive. Ces exigences font lobjet de deux autres annexes du RGS, [RGS_A2] et [RGS_A3], appeles respectivement Politique de Certification Type Personne physique et Politique de Certification Type Services applicatifs . Le RGS offre galement la possibilit davoir un certificat lectronique unique, dit double usage , pour les fonctions dauthentification de personne physique et de signature lectronique. Dans ce cas, le certificat doit respecter les exigences spcifiques fixes dans lannexe [RGS_A2], et ne peut tre prvu quaux niveaux (*) et (**). b La signature et le cachet lectroniques
30
35
La signature lectronique dune personne permet de garantir lidentit du signataire, lintgrit du document sign et le lien entre le document sign et la signature. Elle traduit ainsi la manifestation du consentement du signataire quant au contenu des informations signes. 40 Dans le cas des changes dmatrialiss faisant intervenir des services applicatifs, la fonction de Cachet permet de garantir lintgrit des informations changes et lidentification du service ayant cachete ces informations. Cette fonction de Cachet est pour une machine lquivalent de la fonction signature pour une personne.

23 La mise en uvre par une autorit administrative des fonctions de scurit Signature lectronique ou Cachet peut se faire selon trois niveaux de scurit aux exigences croissantes : une toile (*), deux toiles (**) et trois toiles (***). 5 Ces exigences, dcrites dans lannexe [RGS_A1], couvrent lensemble des composants ncessaires la mise en uvre de cette fonction de scurit, pour les trois niveaux de scurit, savoir : - la bi-cl et le certificat lectronique dont lusage est la signature lectronique ou le cachet ; - le dispositif de cration de signature lectronique ou de cachet ; - le module de vrification de signature lectronique ou de cachet ; - lapplication de cration de signature lectronique ou de cachet. Les exigences concernant le composant certificat lectronique portent non seulement sur son contenu, mais galement sur les conditions dans lesquelles il est mis par un prestataire de service de certification lectronique (PSCE) ainsi que sur le dispositif de stockage de la cl prive. Ces exigences font lobjet de deux autres annexes du RGS, [RGS_A2] et [RGS_A3], appeles respectivement Politique de Certification Type Personne physique et Politique de Certification Type Services applicatifs . Le RGS offre galement la possibilit davoir un certificat lectronique unique, dit double usage , pour les fonctions dauthentification de personne physique et de signature lectronique. Dans ce cas, le certificat doit respecter les exigences spcifiques fixes dans lannexe [RGS_A2], et ne peut tre prvu quaux niveaux (*) et (**). Cas particulier de la signature des actes administratifs au sens de l[Ordonnance] : 20 Lautorit administrative dtermine le niveau de scurit, de une toile (*) trois toiles (***), requis pour lusage de la signature lectronique des actes administratifs quelle met, et respecte les rgles dfinies au prsent chapitre. Cas particulier de la signature prsume fiable au sens de larticle 1316-4 du code civil : 25 Les exigences techniques, dfinies en annexe de l[Arrt260704] et portant sur la dlivrance de certificats lectroniques dits qualifis au sens du [Dcret2001-272], sont requises pour la gnration de signatures lectroniques prsumes fiables au sens du [Dcret2001-272]. Ces exigences constituent un sous-ensemble de celles contenues dans le document [RGS_A2] pour le niveau de scurit (***) de la fonction signature lectronique, qui prvoit des exigences supplmentaires essentiellement en matire de format et de variables de temps. 30 De ce fait, une signature lectronique scurise au sens de larticle 1er du [Dcret2001-272], tablie avec un dispositif scuris de cration de signature certifi conforme dans les conditions de larticle 3 du [Dcret2001-272] et mettant en uvre des certificats de signature lectronique conformes au niveau de scurit (***) de [RGS_A2] est de facto prsume fiable selon le [Dcret2001-272] et donc au sens de larticle 1316-4 du code civil. c Confidentialit
10
15
35
La confidentialit est le caractre rserv dune information dont laccs est limit aux seules personnes autorises la connatre. Le chiffrement est un procd cryptographique garantissant la confidentialit des donnes chiffres contre toute personne ne possdant pas la cl de dchiffrement. Il sagit du mcanisme essentiel de protection de la confidentialit. 40 Par ailleurs, la confidentialit des informations peut aussi tre protge par des mesures complmentaires de gestion des droits d'accs de chacun, en lecture, en criture ou en modification, aux donnes contenues dans le systme d'information. Ces droits daccs sont dtermins, en fonction du strict besoin den connatre des usagers et de celui des agents dans le cadre de leurs missions.
24 cet effet, il est recommand que des mcanismes techniques soient mis en place pour sassurer que seules les personnes autorises puissent accder aux donnes en fonction de leur besoin den connatre. Il est recommand galement que ces mcanismes soient robustes et implments au plus prs du lieu de stockage des donnes. 5 La mise en uvre par une autorit administrative de la fonction de scurit Confidentialit peut se faire selon trois niveaux de scurit aux exigences croissantes : une toile (*), deux toiles (**) et trois toiles (***). Ces exigences, dcrites dans lannexe [RGS_A1], couvrent lensemble des composants ncessaires la mise en uvre de cette fonction de scurit, pour les trois niveaux de scurit, savoir : - la bi-cl et le certificat lectronique dont lusage est le chiffrement ; - le dispositif de chiffrement ; - le module de chiffrement ; - le module de dchiffrement. Les exigences concernant le composant certificat lectronique portent non seulement sur son contenu, mais galement sur les conditions dans lesquelles il est mis par un prestataire de service de certification lectronique (PSCE) ainsi que sur le dispositif de stockage de la cl prive. Ces exigences font lobjet dune autre annexe du RGS, [RGS_A2], appele Politique de Certification Type Personne physique . d 20 Horodatage lectronique
10
15
Une fonction dhorodatage permet dattester quune donne sous forme lectronique existe un instant donn. Cette fonction met en uvre une contremarque de temps gnre laide dun mcanisme cryptographique respectant les rgles, et si possible les recommandations, indiques dans les rfrentiels [RGS_B1] et [RGS_B2]. Cette contremarque doit galement tre dlivre par un prestataire de service dhorodatage lectronique (PSHE) qui devra respecter les exigences de lannexe [RGS_A5], appele Politique dHorodatage Type . Cette annexe ne distingue quun unique niveau de scurit auquel les autorits administratives doivent se conformer ds lors quelles dsirent mettre en uvre la fonction dhorodatage lectronique au sein de leur systme dinformation. Cas particulier de lhorodatage prsum fiable au sens de larticle 1316-4 du code civil Le prestataire qui dsire proposer un service dhorodatage bnficiant de la prsomption de fiabilit de larticle 1316-4 du code civil doit respecter : les exigences techniques dfinies dans larticle 3 du [Dcret 2011-434] ; son module dhorodatage doit avoir t certifi dans les conditions prvues dans le [Dcret2002-535] ; le prestataire doit avoir t qualifi selon les formes dcrites dans l[Arrt200411].
25
30
35 -
Qualification des produits de scurit et des prestataires de services de confiance
Lobjet de ce chapitre est de dcrire les schmas de qualification des produits de scurit et des prestataires de services de confiance et de prciser les domaines couverts par ceux-ci.

25 6.1 Qualification des produits de scurit
La qualification de produits de scurit fait lobjet du chapitre III du [DcretRGS] et permet dattester de la conformit dun produit de scurit au RGS. 5 Elle prvoit trois niveaux de qualification : - qualification lmentaire (dcrite dans le document [QE]) ; - qualification standard (dcrite dans le document [QS]) ; - qualification renforce (dcrite dans le document [QR]). LANSSI instruit les demandes et dlivre les attestations de qualification. La procdure sappuie principalement sur la procdure de certification prvue par le [Dcret2002-535] du 18 avril 2002 et sur linstruction n 1414/ANSSI/SR relatif la certification de scurit de premier niveau des produits des technologies de linformation (CSPN). Le niveau lmentaire est accord sur la base dune CSPN, les niveaux standard et renforcs sur la base dune certification Critres Communs. Cependant, sagissant dun label spcifique pour ladministration, lANSSI procde des contrles complmentaires. Elle valide ainsi la cible de scurit au regard des besoins de ladministration et ralise ou fait raliser des tests relatifs la cryptologie et son implmentation, sur la base des annexes B du RGS. Pour garantir une bonne cohrence des objectifs et des exigences de scurit, il est recommand que la cible de scurit soit, autant que possible, conforme un profil de protection propos par lANSSI sur son site Internet (http://www.ssi.gouv.fr/fr/certification-qualification/cc/profils-de-protection/). 20 LANSSI publie sur son site Internet le catalogue des produits de scurit qualifis : http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/ Les gammes de produits de scurit qualifis sont les suivantes : - Pare-feu ; - Cartes puces ; - Modules cryptographiques ; - Protection du poste de travail (outil de chiffrement de donnes, effacement de donnes, etc.) ; - Outils de signature lectronique ; - Logiciel dIGC ; - Passeports biomtriques ; - Chiffrement IP. 6.2 Qualification des prestataires de services de confiance
10
15
25
30
35
Le schma de qualification des prestataires de services de confiance (PSCO) est dcrit au chapitre IV du dcret n 2010-112 du 2 fvrier 2010. Il prvoit que les prestataires de services de confiance peuvent recevoir une qualification qui atteste de la conformit des services qu'il propose aux rgles du RGS qui lui sont applicables. L'valuation qui conduit la qualification est ralise par un organisme de qualification, accrdit par le COFRAC et habilit par l'ANSSI, lissue dune valuation conformment linstruction [HabilitationOQ]. L'organisme de qualification dlivre lui mme l'attestation de qualification, l'issue d'une valuation favorable du PSCO. L'valuation consiste en un audit de conformit aux exigences du RGS applicables au PSCO. Ces exigences sont prsentes sous forme de rfrentiels annexs au RGS (annexes A et annexe C).
40
26 Lorsque le PSCO est une administration de l'Etat, l'ANSSI peut procder elle mme son valuation et sa qualification. Toutefois, la rgle gnrale est de recourir aux organismes de qualification habilits. La qualification est accorde pour une dure de trois ans. 5 Les autorits administratives qui dcident de recourir des prestations de services vises par le RGS doivent, de prfrence, faire appel des PSCO qualifis. Les exceptions cette rgle doivent tre justifies. Les catgories de PSCO vises dans la prsente version du RGS sont les suivantes : - les prestataires de services de certification lectronique (PSCE) ; - les prestataires de services d'horodatage lectronique (PSHE) ; - les prestataires daudit de la scurit des systmes dinformations (PASSI). La liste des organismes de qualification habilits et des PSCO qualifis est publie sur le site Internet de lANSSI : http://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiancequalifies/ a Les prestataires de services de certification lectronique
10
15
Les rfrentiels dexigences applicables aux PSCE sont les annexes A2 et A3, respectivement appels politique de certification type certificats lectroniques de personnes et politique de certification type certificats lectroniques de services applicatifs . 20 Ils distinguent trois niveaux de scurit, aux exigences croissantes : une toile (*), deux toiles (**) et trois toiles (***) et visent distinctement les usages de chiffrement, dauthentification de personne, de signature lectronique, dauthentification de machine, de cachet et le double usage authentification et signature lectronique. b 25 Les prestataires de services dhorodatage lectronique
Le rfrentiel dexigence applicable aux PSHE est lannexe A5, appele politique dhorodatage type . Celui-ci ne prvoit quun unique niveau de scurit. c Les prestataires daudit de la scurit des systmes dinformation
Les activits daudit couvertes par le rfrentiel dexigences, annexe C du RGS, sont les audits de code source, de configuration, darchitecture et organisationnel ainsi que les tests dintrusion. 30 Les exigences du rfrentiel sont regroupes en trois domaines : - le prestataire daudit ; - les auditeurs quil emploie ; - le droulement des audits. En ce qui concerne le prestataire daudit, les exigences portent notamment sur ladoption dune charte dthique, sur la gestion des ressources et des comptences, sur la protection de son systme dinformation et sur son impartialit. Les dispositions concernant les auditeurs employs par le prestataire daudit portent sur leurs aptitudes : formation, exprience et connaissances spcifiques de laudit. Enfin, celles relatives au droulement de laudit imposent un certain formalisme, depuis ltablissement dune convention entre le commanditaire de laudit et le prestataire daudit, jusqu la livraison du rapport daudit qui prsente les rsultats de laudit et en particulier les vulnrabilits dcouvertes ainsi que les mesures correctives proposes.
35
40
27 7 7.1 Validation des certificats par lEtat : IGC/A et RGS LIGC/A
LANSSI met en uvre une infrastructure de gestion de cls cryptographiques de ladministration, appele IGC/A , qui offre un service de certification lectronique actuellement limit aux seuls administrations de ltat et organismes rgaliens. Ce service consiste signer lautorit de certification (AC) racine dune AA par lAC de lIGC/A. Les utilisateurs devant se fier des certificats dlivrs cette AA ou ses agents peuvent ainsi avoir la garantie que ces certificats ont t valids par ltat en vrifiant la chane de certification jusqu lun des certificats racines de lAC IGC/A .
10
Les certificats racines de lAC IGC/A ont fait lobjet dun avis [AvisCertsIGC/A] publi au Journal Officiel de la Rpublique franaise. Lorsque ces certificats sont intgrs dans les logiciels installs sur les ordinateurs des utilisateurs, la vrification de la chane de certification est alors automatique (sous rserve de la bonne configuration du logiciel). Pour obtenir la signature de leur AC racine par lIGC/A, les administrations centrales de ltat doivent adresser lANSSI une demande mentionnant les informations requises dans les formulaires de demande mis en ligne sur le site de lANSSI. Il est requis lappui de cette demande, lattestation dun organisme habilit procder la qualification, du respect des exigences de la politique de certification de lIGC/A [PC_IGC/A], vrifi lors de la qualification des AC devant tre conformes au RGS, ou ultrieurement.
15
20
LANSSI peut choisir de procder elle-mme la vrification du respect de ces rgles, et en informe lAA en rponse sa demande de certification par lIGC/A. Il est rappel en particulier que : lAA doit publier auprs des utilisateurs une PC fixant les exigences de lAC racine pour ellemme et les AC subordonnes, suivant le plan de la RFC 3647. lAA doit indiquer les accords de certification croise quelle a pass avec dautres AC.
25
Les cls de lAC racine (ACR) ne doivent tre utilises quafin de : signer le certificat racine ; signer les certificats dAC subordonnes ; signer des certificats doprateurs de lIGC.
30
Les certificats dlivrs par les AC subordonnes lAC racine, doivent : Une condition pour la dlivrance dun certificat par lIGC/A et son maintien est que toutes les AC subordonnes lAC racine soient des administrations de lEtat au sens de l[Ordonnance]. En consquence, une AC nappartenant pas une Administration dEtat ne peut pas faire partie dune chane de confiance certifie par lIGC/A.
35
Toute drogation ces rgles ne peut tre prononce que par lACR de lIGC/A. Nota : LACR de lIGC/A se rserve le droit de limiter la longueur du chemin de confiance entre lACR et les certificats des usagers, cest--dire le nombre dAC constituant la chane de certification sous le certificat de lACR de lIGC/A.
40
La PC des ACR gouvernementales et les PC des AC subordonnes doivent limiter la dlivrance de leurs certificats :
28 5 des AC sous la responsabilit dune ou plusieurs administrations de lEtat ; des personnes physiques, en lien ou sous la responsabilit de lAC ; des services applicatifs sous la responsabilit de lAC.
Les AC sengagent mentionner lANSSI dans les meilleurs dlais les incident de scurit qui peuvent porter atteinte la scurit du domaine de confiance IGC/A. Le certificat de lAC racine doit respecter les gabarits de certificats mentionns en annexe de la [PC_IGC/A], qui ont t modifis en 2012 pour rpondre aux volutions des standards internationaux. 7.2 Procdure de validation des certificats par lEtat
Larticle 10 de l[Ordonnance] prvoit que les certificats lectroniques dlivrs aux autorits administratives et leurs agents sont valids par ltat5. Le chapitre V du [DcretRGS] fixe les conditions de cette validation et renvoie la prcision des modalits de sa mise en uvre un arrt6. En consquence, larrt du 6 mai 2010, par le biais du RGS, apporte ces prcisions. Les certificats lectroniques viss par les prsentes dispositions sont ceux qui sont mis en uvre dans le but dassurer les fonctions de scurit exposes au chapitre 3 : 10 authentification dune personne et dun serveur ; signature lectronique et cachet ; confidentialit.
Conformment aux Politiques de Certification Types (PC-Types) mentionnes au chapitre 3, la procdure de dlivrance de certificats est notamment constitue des fonctions suivantes :
5
lidentification et la vrification de lidentit des agents qui seront dlivrs des certificats ; la fabrication technique des certificats ; la remise des certificats aux porteurs ;
Article 10 : Les certificats lectroniques dlivrs aux autorits administratives et leurs agents en vue dassurer leur identification dans le cadre dun systme dinformation font lobjet dune validation par ltat dans des conditions prcises par dcret . 6 Article 20 : Au sens du prsent chapitre, on entend par : 1 Certificat lectronique : des donnes sous forme lectronique attestant du lien entre une autorit administrative ou un agent dune autorit administrative et des lments cryptographiques qui lui sont propres et qui sont utiliss par une fonction de scurit assurant lidentification de cette autorit ou de cet agent dans un systme dinformation ; 2 Validation dun certificat lectronique : la procdure mise en place par ltat pour garantir que le certificat lectronique dun agent ou dune autorit administrative a t dlivr par une autorit administrative . Article 21 : En application de larticle 10 de lordonnance du 8 dcembre 2005 susvise, lAgence nationale de la scurit des systmes dinformation met en place une procdure de validation des certificats lectroniques dlivrs aux autorits administratives ou leurs agents . Article 22 : La validation des certificats lectroniques dune autorit administrative ou de ses agents est subordonne au respect par cette autorit des rgles du rfrentiel gnral de scurit relatives la dlivrance de ces certificats. LAgence nationale de la scurit des systmes dinformation peut vrifier sur place les conditions de dlivrance de ces certificats. Dans le cas dun tlservice, les autorits administratives mettent la disposition de leurs usagers les informations, dont la liste est fixe par un arrt du Premier ministre, relatives la dlivrance et la validation de leurs certificats lectroniques . Article 23 : Un arrt du Premier ministre prcise les modalits de mise en uvre de la procdure de validation. Les autorits administratives doivent obtenir la validation de leurs certificats lectroniques et de ceux de leurs agents au plus tard dans les trois ans compter de la publication de cet arrt
29 la publication ou mise disposition des certificats, de leur statut ainsi que de la politique de certification ; la rvocation et le renouvellement des certificats.
Lautorit charge de la mise en uvre de cette procdure est appele autorit de certification (AC). Lorsquelle met en place une procdure de dlivrance de certificats, une autorit administrative sappuie sur une AC interne ou une AC externe (publique ou prive). Une AC peut elle-mme recourir des prestataires externes pour la mise en uvre de certaines des fonctions mentionnes lalina prcdent. Dans tous les cas, lAA reste seule responsable du processus global de dlivrance. Lobjectif de la validation est de garantir ceux qui doivent se fier ces certificats lectroniques que leurs porteurs sont bien les autorits administratives ou les agents identifis dans ces certificats. Cette validation de certificats ne doit pas tre confondue avec la validation du statut dun certificat, qui consiste vrifier notamment que celui-ci nest pas rvoqu ou expir. La procdure de validation est dcrite au 7.2.b. Elle consiste vrifier le respect des rgles de scurit prcises au 7.2.a qui simposent une AC et destines garantir la fiabilit des informations relatives lidentification des porteurs contenues dans les certificats. En application de larticle 22 du [DcretRGS], le 7.2.c fixe la liste des informations relatives la dlivrance et la validation des certificats que les AA doivent mettre la disposition de leurs usagers. a Rgles de scurit
LAC doit : rdiger une Politique de Certification (PC) conforme aux modles des PC-Types (annexes [RGS_A_2] [RGS_A_3]) ; mettre en uvre des cls cryptographiques dAC spcifiquement restreintes et ddies la gnration de certificats destins aux AA ou leurs agents et mentionner cette exigence dans la PC ; gnrer des certificats destination exclusive des AA ou de leurs agents et mentionner explicitement cette exigence dans la PC ; lorsquelle recourt des prestataires externes pour certaines fonctions, tablir des procdures avec ces prestataires permettant de garantir le respect par ces prestataires de la PC pour ce qui les concerne ; faire approuver cette PC par lAA et en respecter les rgles.
Lorsquelle recourt une AC externe, lAA doit tablir des procdures avec cette AC lui permettant de sassurer du respect par lAC des rgles du prsent 7.2.a. b Procdure de validation
Conformment larticle 21 du [DcretRGS], lANSSI est charge de mettre en place la procdure de validation. Cette procdure consiste vrifier que la procdure de dlivrance de certificats est conforme aux rgles fixes au 7.2.a. Conformment larticle 23 du [DcretRGS], les autorits administratives disposent dun dlai de trois ans compter de la publication du prsent rfrentiel pour obtenir la validation de leurs certificats. Pour les certificats dlivrs aprs ce dlai de trois ans, la demande de validation devra tre faite dans un dlai de trois mois compter de la dlivrance de ces certificats.
30 cet effet, lautorit administrative adresse un dossier de demande de validation lANSSI qui comporte les pices suivantes : lidentification prcise de lAA et de lAC concerne par la demande ; la PC de lAC ainsi que, le cas chant, une description de la chane de certification ; le cas chant, les procdures mentionnes au 7.2.a tablies entre lAA et lAC et entre lAC et ses prestataires externes ; les rsultats dun audit de conformit de lAC sa PC, qui doit tre ralis par lAC conformment aux rgles des PC-Types ; le cas chant, lattestation de qualification de lAC au sens du [DcretRGS] ; le certificat de lAC et, le cas chant, une demande de publication de ce certificat sur le site internet de lANSSI.
En cas dimpossibilit ou de difficults importante de transmission dun de ces documents, lautorit les fait transmettre lANSSI par le biais de lorganisme comptent. lissue dun dlai de deux mois compter de la rception du dossier complet, et sous rserve que lANSSI na pas fait part lautorit administrative de non-conformit au regard des rgles du 7.2.a, l autorit administrative est rpute avoir obtenu la validation des certificats. Conformment larticle 22 du [DcretRGS], lANSSI peut demander tout moment vrifier sur place les conditions de dlivrance des certificats afin de sassurer que les procdures mises en place par lAC sont conformes au prsent rfrentiel. En cas de non-conformit signale par lANSSI, l autorit administrative dispose dun dlai de trois mois pour faire corriger les procdures de lAC. dfaut, les certificats ne sont plus valides au sens du [DcretRGS] lissue de ce dlai. LAA doit faire une demande de renouvellement de la validation chaque modification substantielle des conditions de dlivrance des certificats, notamment lorsque le certificat de lAC est expir. Ds que la validation a t obtenue, le certificat de lAC est, sur demande de l autorit administrative, mis disposition du public par voie lectronique par lANSSI sur son site Internet www.ssi.gouv.fr. c Liste des informations relatives la dlivrance et la validation
En application de larticle 22 du [DcretRGS], les informations relatives la dlivrance et la validation des certificats lectroniques qui doivent tre mises la disposition des usagers sont les suivantes : 8 la PC de lAC ; le certificat de lAC ; la mention de lobtention de la validation des certificats au sens des prsentes dispositions. Liste des annexes du RGS
Les annexes listes dans le prsent chapitre contiennent les rgles relatives aux mcanismes cryptographiques mis en uvre dans les fonctions de scurit traites au chapitre 6 ainsi que celles applicables aux diffrentes catgories de prestataires de services de confiance traites dans la seconde version du RGS.

31 8.1 [RGS_A1] [RGS_A2] 5 [RGS_A3] [RGS_A4] [RGS_A5] Documents applicables concernant lutilisation de certificats lectroniques Rgles relatives la mise en uvre des fonctions de scurit bases sur l'emploi de certificats lectroniques, version 3.0 Politique de Certification Type certificats lectroniques de personne , version 3.0 Politique de Certification Type services applicatifs , version 3.0 Profils de certificats, CRL, OCSP et algorithmes cryptographiques, version 3.0 Politique dHorodatage Type, version 3.0
Tous ces documents sont consultables ladresse http://www.ssi.gouv.fr/rgs. 8.2 10 [RGS_B1] [RGS_B2] [RGS_B3] 15 Documents applicables concernant lutilisation de mcanismes cryptographiques Rgles et recommandations concernant le choix et le dimensionnement des mcanismes cryptographiques, version 1.20 Rgles et recommandations concernant la gestion des cls utilises dans des mcanismes cryptographiques, version 1.1 Rgles et recommandations concernant les mcanismes dauthentification, version 1.0
Ces documents sont consultables ladresse http://www.ssi.gouv.fr/rgs. 8.3 [RGS_C] 8.4 Rfrentiel dexigences applicables aux prestataires daudit de la SSI Rfrentiel dexigences applicables aux prestataires daudit de la SSI, version 1.0 Rfrentiel dexigences relatif la scurit des sites de personnalisation
[RGS_D] Rfrentiel dexigences relatif la scurit des sites de personnalisation, version 2.0 20 9 9.1 Rfrences documentaires Rfrences rglementaires Loi n 2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations. Ordonnance n 2005-1516 du 8 dcembre 2005 relative aux changes lectroniques entre les usagers et les autorits administratives et entre les autorits administratives. Dcret n 2010-112 du 2 fvrier 2010 pris pour lapplication des articles 9, 10 et 12 de l[Ordonnance]. Dcret n 2001-272 du 30 mars 2001 pris pour lapplication de larticle 1316-4 du code civil et relatif la signature lectronique. Dcret n 2002-535 du 18 avril 2002 relatif lvaluation et la certification de la scurit offerte par les produits et les systmes des technologies de linformation Dcret n 2011-434 du 20 avril 2011 relatif lhorodatage des courriers expdis ou reus par voie lectronique pour la conclusion ou lexcution dun contrat
[loi120400] [Ordonnance] 25 [DcretRGS] [Dcret2001-272] 30 [Dcret2002-535]
[Dcret2011-434] 35
32 [Arrt260704] Arrt du 26 juillet 2004 relatif la reconnaissance de la qualification des prestataires de services de certification lectronique et l'accrditation des organismes qui procdent leur valuation. Arrt du 20 avril 2011 relatif la reconnaissance de la qualification des prestataires de services dhorodatage lectronique et laccrditation des organismes qui procdent leur valuation. Instruction Gnrale Interministrielle sur la protection du secret de la dfense nationale, approuve par arrt du Premier Ministre du 30 novembre 2011.
[Arrt200411] 5 [IGI1300] 9.2 10
Rfrences techniques ISO/IEC 27001:2005, Technologies de linformation Systmes de management de la scurit de linformation - Exigences. ISO/IEC 27002:2005, Technologies de linformation Techniques de scurit Code de bonne pratique pour le management de la scurit de linformation. ISO/IEC 27005:2011, Technologies de linformation Techniques de scurit Gestion des risques lis la scurit de linformation. ISO/IEC 27002:2011, Technologies de linformation Techniques de scurit Gestion des incidents de scurit de linformation. PCI (Payment Card Industry) Data Security Standard Conditions et procdures dvaluation de scurit, version 2.0 doctobre 2010. Guide Politique SSI de lANSSI. Disponible en ligne : http://www.ssi.gouv.fr/site_article46.html Guide maturit SSI de lANSSI. Disponible en ligne : http://www.ssi.gouv.fr/site_article85.html Mthode danalyse de risque de lANSSI. Disponible en ligne : http://www.ssi.gouv.fr/site_article45.html Guide Gestion et Intgration de la SSI dans les Projets de lANSSI : http://www.ssi.gouv.fr/site_article86.html dinformation. Disponible en ligne : http://www.ssi.gouv.fr/IMG/pdf/2010-12-03_Guide_externalisation.pdf
[ISO27001] [ISO27002] [ISO27005]
15 [ISO27035] [PCI-DSS] 20 [PSSI] [MaturitSSI] [EBIOS] 25 [GISSIP]
[GuideExternalisation] Maitriser les risques de linfogrance Externalisation des systmes
30 [AvisCertsIGC/A]
Avis du Journal officiel de la Rpublique franaise du 6 avril 2012 - NOR : PRMD1208117V relatif aux certificats de lIGC/A en cours de validit. A venir. Recueil de mesures de protection des systmes dinformation traitant dinformations sensibles non classifies de dfense de niveau Diffusion Restreinte. En attente de publication. Common Criteria for Information Technology Security Evaluation. Processus de qualification dun produit de scurit Niveau Elmentaire, version 1.0.
[SI-industriels] 35 [DR]
[CC] [QE] 40
Version du RGS 2.0
Date du projet Version projet 0.2
Page 32/34
33 [QS] [QR] 5 [PC_IGC/A] 10 Glossaire Agent Personne physique agissant pour le compte dune autorit administrative. Autorit de certification (AC) Au sein d'un prestataire de services de certification lectronique (PSCE), une AC a en charge, au nom de et sous la responsabilit de ce PSCE, l'application d'au moins une politique de certification (PC). Elle est identifie en tant qu'metteur dans les certificats mis selon cette PC. Autorit d'horodatage (AH) Au sein d'un prestataire de services dhorodatage lectronique (PSHE), une AH a en charge, au nom de et sous la responsabilit de ce PSHE, l'application d'au moins une politique d'horodatage (PH). 15 Autorit d'homologation Personne qui, au sein de lAA responsable du systme dinformation, est dsigne pour prononcer la dcision dhomologation de scurit du systme dinformation. Chane de certification Ensemble dAC o chaque AC est certifie par une AC dchelon suprieur. titre dillustration, une AC dlivrant des certificats des utilisateurs peut elle-mme tre certifie par une AC, dite AC intermdiaire , qui son tour peut tre certifie par une autre AC intermdiaire, ainsi de suite jusqu lAC de plus haut niveau, auto-signe, dite AC racine . Certificat lectronique Fichier lectronique attestant quune bi-cl appartient une personne physique, une personne morale, un lment matriel ou un logiciel identifi, directement ou indirectement (pseudonyme). Il est dlivr par un PSCE. En signant le certificat, lAC valide le lien entre l'identit de la personne ou de llment considr avec la cl publique. Le certificat est valide pendant une dure limite prcise dans celui-ci. Contremarque de temps Donne qui lie une reprsentation d'une information un temps particulier, exprim en heure UTC, tablissant ainsi la preuve que linformation existait cet instant. Fonction de scurit Fonction mise en uvre au sein dun systme dinformation et contribuant la scurit des informations changes par voie lectronique. 30 Infrastructure de gestion de cls (IGC) Ensemble de composants, fonctions et procdures ddis la gestion de cls cryptographiques asymtriques et des certificats associs. Une IGC peut tre compose d'un service de gnration de certificats, d'un service denregistrement, dun service de publication, Politique d'horodatage (PH) Document, identifi par un nom unique (appel OID pour Object IDentifier ), qui dcrit les exigences de scurit et les procdures mises en uvre par une AH et qui prcise l'applicabilit dune contremarque de temps dlivre selon ladite PH. Politique de certification (PC) Document, identifi par un nom unique (appel OID pour Object IDentifier ), qui dcrit les exigences de scurit et les procdures mises en uvre par une AC et qui prcise l'applicabilit dun certificat lectronique dlivr selon ladite PC. 40 Prestataire de services de certification lectronique (PSCE) Toute personne ou entit qui est responsable de la gestion de certificats lectroniques tout au long de leur cycle de vie, vis--vis des porteurs et utilisateurs de ces certificats. Un PSCE peut fournir diffrents types de certificats
Processus de qualification dun produit de scurit Niveau Standard, version 1.0. Processus de qualification dun produit de scurit Niveau Renforc, version 1.0. Politique de Certification de lIGC/A.
10
20
25
35
34 correspondant des usages et/ou des niveaux de scurit diffrents. Un PSCE comporte au moins une AC mais peut en comporter plusieurs en fonction de son organisation. Les diffrentes AC d'un PSCE peuvent tre indpendantes les unes des autres ou lies (AC Racines / AC Filles). Un PSCE est identifi, dans un certificat dont il a la responsabilit, au travers de lAC qui a mis ce certificat. 5 Prestataire de service de confiance (PSCO) Toute personne ou entit offrant des services consistant en la mise en uvre de fonctions qui contribuent la scurit des informations changes par voie lectronique. Prestataire de services d'horodatage lectronique (PSHE) Toute personne ou entit responsable de la gnration et de la gestion de contremarques de temps, vis--vis de ses abonns et des utilisateurs de ces contremarques de temps. Un PSHE comporte au moins une AH. Profil de protection Document public qui dfinit, pour une catgorie de produits, un ensemble dexigences et dobjectifs de scurit, indpendants de leur technologie et de leur implmentation, qui satisfont les besoins de scurit communs un groupe dutilisateurs. 15 Qualification d'un PSCO Acte par lequel un organisme de certification atteste de la conformit de tout ou partie de l'offre de services dun PSCO aux exigences du RGS, pour un niveau de scurit donn. Qualification d'un produit de scurit Acte par lequel lANSSI atteste de la capacit dun produit assurer les services de scurit objet de la qualification. Lattestation de qualification indique laptitude du produit participer la ralisation, un niveau de scurit donn, dune ou plusieurs fonctions traites dans le RGS. Systme dinformation Tout ensemble de moyens destin laborer, traiter, stocker ou transmettre des informations faisant lobjet dchanges par voie lectronique entre autorits administratives et usagers ainsi quentre autorits administratives. 25 Scurit des systmes dinformation (SSI) Discipline dont lobjectif est dassurer la satisfaction des besoins de scurit relatifs un systme dinformation. Ces besoins sont exprims a minima pour les caractristiques de disponibilit, dintgrit et de confidentialit de linformation et du systme dinformation. Ils peuvent tre complts par des besoins relatifs limputabilit et la traabilit. Tlservice Tout systme dinformation permettant aux usagers de procder par voie lectronique des dmarches ou formalits administratives. 30 Usager Personne physique agissant pour son propre compte ou pour le compte dune personne morale et procdant des changes lectroniques avec des autorits administratives.
10
20


Projet 0-2 Referentiel General de Securite V2

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Projet 0-2 Referentiel General de Securite V2

Enviado por

Direitos autorais:

Formatos disponíveis

Premier ministre

Agence nationale de la scurit des systmes dinformation

Rfrentiel Gnral de Scurit

Rfrentiel Gnral de Scurit

1.4 1.5 1.6

Elments de contexte __________________________________________________________ 9

Analyse des risques ____________________________________________________________ 11

3.2 3.3 3.4

Recommandations gnrales et bonnes pratiques __________________________________ 15

Accs aux lments documentaires relatifs la SSI _________________________________ 15

Adopter une dmarche globale __________________________________________________ 16

4.8 4.9 4.10

Rgles et recommandations particulires relatives certaines fonctions de scurit ______ 21

Qualification des produits de scurit et des prestataires de services de confiance ________ 24

Validation des certificats par lEtat : IGC/A et RGS ________________________________ 27

LIGC/A _____________________________________________________________________ 27 Procdure de validation des certificats par lEtat ___________________________________ 28

Liste des annexes du RGS _____________________________________________________ 30

Rfrences documentaires ____________________________________________________ 31

Rfrentiel Gnral de Scurit

6 1 1.1 Avant-propos Le cyberespace

Rfrentiel Gnral de Scurit

9 2 2.1 Elments de contexte Cadre juridique

Evolutions par rapport la premire version du RGS

Suivi oprationnel de la scurit du systme dinformation

Rfrentiel Gnral de Scurit

16 4.2 Adopter une dmarche globale

18 c Elaborer une PSSI

Mettre en place des mcanismes de dfense des systmes dinformation

19 4.9 Procder des audits rguliers de la scurit du systme dinformation

Rfrentiel Gnral de Scurit

Rfrentiel Gnral de Scurit

Rgles et recommandations particulires relatives certaines fonctions de scurit

Rfrentiel Gnral de Scurit

Qualification des produits de scurit et des prestataires de services de confiance

Rfrentiel Gnral de Scurit

25 6.1 Qualification des produits de scurit

27 7 7.1 Validation des certificats par lEtat : IGC/A et RGS LIGC/A

Rfrentiel Gnral de Scurit

[loi120400] [Ordonnance] 25 [DcretRGS] [Dcret2001-272] 30 [Dcret2002-535]

[Arrt200411] 5 [IGI1300] 9.2 10

[ISO27001] [ISO27002] [ISO27005]

15 [ISO27035] [PCI-DSS] 20 [PSSI] [MaturitSSI] [EBIOS] 25 [GISSIP]

[GuideExternalisation] Maitriser les risques de linfogrance Externalisation des systmes

Version du RGS 2.0

Date du projet Version projet 0.2

Rfrentiel Gnral de Scurit

Você também pode gostar

LIGC/A ___________________________________ 27 Procdure de validation des certificats par lEtat _ 28