Info PC INpact. La France veut dépoussiérer ses mesures d’hygiène informatique. Paris a notifié à Bruxelles son projet d’arrêté approuvant la nouvelle version du référentiel général de sécurité (RGS). Le document précise également les modalités de mise en œuvre de la procédure de validation des certificats électroniques.
« En matière de protection des systèmes d’information, la dissymétrie entre le glaive et le bouclier est flagrante : le défenseur doit veiller à verrouiller toutes les portes alors qu’il suffit aux attaquants de pénétrer à travers la cloison la plus fragile » annonce ce RGS remanié (le document Word notifié aux autorités européennes).
Le RGS 2.0 a été élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en liaison avec la Direction interministérielle des systèmes d’information et de communication et la Direction générale de la modernisation de l’État (DGME). Depuis la loi du 9 décembre 2004, le gouvernement peut en effet prendre par ordonnance « les mesures nécessaires pour assurer la sécurité des informations échangées par voie électronique » entre les citoyens et les administrations, même indépendantes (comme la Hadopi). Ce nouveau RGS vient ainsi abroger la version de mai 2010. Il s’appuie sur le retour d’expérience et les nombreux guides publiés par l’Agence depuis lors.
Le document est ambitieux puisqu’il fixe les règles que les administrations doivent respecter lorsqu’elles recourent à des produits de sécurité et à des prestataires de services de confiance. Autant dire un document fondamental. L’objectif « est d’augmenter le niveau de sécurité des échanges électroniques des autorités administratives lorsqu’elles traitent de données sensibles, notamment les données personnelles des usagers ». La mise à jour de ce référentiel général, ajoute le document, « permettra de continuer d’harmoniser les niveaux de sécurité des autorités administratives et facilitera ainsi les échanges sécurisés entre ces autorités. De plus, un tel référentiel contribuera à faire émerger une offre de produits de sécurité et de services de confiance. »
Patrimoine informationnel des administrations
Ce RGS veut avant tout protéger le patrimoine informationnel des administrations en dressant les mesures d’hygiène informatique à suivre au regard d’un contexte international mouvant. Depuis la première version du RGS, les administrations doivent faire face à de nouveaux risques d'espionnage à des fins politiques ou économiques, des malwares comme Stuxnet ou Conficker, mais aussi des mouvements comme l’hacktivisme (Wikileaks, Anonymous, LulzSec).
Les détails des mesures se retrouvent dans les annexes qui traitent techniquement des certificats électroniques, de la question des algorithmes cryptographiques, des exigences de base ou encore les règles et recommandations concernant la gestion des clés utilisées dans les mécanismes cryptographiques. Le RGS 2.0 propose à cette fin une « refonte des annexes (…) relatives aux prestataires de services de certification électronique et aux prestataires de services d’horodatage électronique ». S'ajoute notamment « une annexe relative aux prestataires d’audit de la sécurité des systèmes d’information » tout en introduisant notamment « de nouveaux concepts de défense et de sécurité des SI. »
Alors que des failles ont été confirmées voilà peu dans plusieurs sites gouvernementaux, les auteurs de ce RGS 2.0 répètent que la sécurité absolue n’existe pas. « La règle dite du « 80-19-1 » peut être mise en avant » indiquent-t-ils, « 80% des attaques sont arrêtées par les mesures de sécurité préventives, 19% par des mesures de détection et de surveillance … et 1% des attaques passeront quelles que soient les lignes de défense. »
