Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

De nouvelles règles d'hygiène informatique pour les administrations

RGS v2.0

Info PC INpact. La France veut dépoussiérer ses mesures d’hygiène informatique. Paris a notifié à Bruxelles son projet d’arrêté approuvant la nouvelle version du référentiel général de sécurité (RGS). Le document précise également les modalités de mise en œuvre de la procédure de validation des certificats électroniques.

RGS

 

« En matière de protection des systèmes d’information, la dissymétrie entre le glaive et le bouclier est flagrante : le défenseur doit veiller à verrouiller toutes les portes alors qu’il suffit aux attaquants de pénétrer à travers la cloison la plus fragile » annonce ce RGS remanié (le document Word notifié aux autorités européennes).

 

Le RGS 2.0 a été élaboré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) en liaison avec la Direction interministérielle des systèmes d’information et de communication et la Direction générale de la modernisation de l’État (DGME). Depuis la loi du 9 décembre 2004, le gouvernement peut en effet prendre par ordonnance « les mesures nécessaires pour assurer la sécurité des informations échangées par voie électronique » entre les citoyens et les administrations, même indépendantes (comme la Hadopi). Ce nouveau RGS vient ainsi abroger la version de mai 2010. Il s’appuie sur le retour d’expérience et les nombreux guides publiés par l’Agence depuis lors.

 

Le document est ambitieux puisqu’il fixe les règles que les administrations doivent respecter lorsqu’elles recourent à des produits de sécurité et à des prestataires de services de confiance. Autant dire un document fondamental. L’objectif « est d’augmenter le niveau de sécurité des échanges électroniques des autorités administratives lorsqu’elles traitent de données sensibles, notamment les données personnelles des usagers ». La mise à jour de ce référentiel général, ajoute le document, « permettra de continuer d’harmoniser les niveaux de sécurité des autorités administratives et facilitera ainsi les échanges sécurisés entre ces autorités. De plus, un tel référentiel contribuera à faire émerger une offre de produits de sécurité et de services de confiance. »

 

RGS CBC

Patrimoine informationnel des administrations

Ce RGS veut avant tout protéger le patrimoine informationnel des administrations en dressant les mesures d’hygiène informatique à suivre au regard d’un contexte international mouvant. Depuis la première version du RGS, les administrations doivent faire face à de nouveaux risques d'espionnage à des fins politiques ou économiques, des malwares comme Stuxnet ou Conficker, mais aussi des mouvements comme l’hacktivisme (Wikileaks, Anonymous, LulzSec).

 

Les détails des mesures se retrouvent dans les annexes qui traitent techniquement des certificats électroniques, de la question des algorithmes cryptographiques, des exigences de base ou encore les règles et recommandations concernant la gestion des clés utilisées dans les mécanismes cryptographiques. Le RGS 2.0 propose à cette fin une « refonte des annexes (…) relatives aux prestataires de services de certification électronique et aux prestataires de services d’horodatage électronique ». S'ajoute notamment « une annexe relative aux prestataires d’audit de la sécurité des systèmes d’information » tout en introduisant notamment « de nouveaux concepts de défense et de sécurité des SI. »


Alors que des failles ont été confirmées voilà peu dans plusieurs sites gouvernementaux, les auteurs de ce RGS 2.0 répètent que la sécurité absolue n’existe pas. « La règle dite du « 80-19-1 » peut être mise en avant » indiquent-t-ils, « 80% des attaques sont arrêtées par les mesures de sécurité préventives, 19% par des mesures de détection et de surveillance … et 1% des attaques passeront quelles que soient les lignes de défense. »

52 commentaires
Avatar de null INpactien
Avatar de null- 10/09/12 à 15:03:39

Ouch, avant de penser à se défendre des attaques venant de l'extérieur, il faudrait qu'ils finissent par admettre que le dépoussiérage devrait se faire à "l'intérieur"... :oops:

Avatar de ngcubeur INpactien
Avatar de ngcubeurngcubeur- 10/09/12 à 15:03:50

Ca montre quand même que des gens compétents sont payés pour faire un boulot INtelligent... Mais j'ai moins d'espoir quant au fait que leurs travaux seront suivis :craint:

Avatar de null INpactien
Avatar de null- 10/09/12 à 15:16:28

ngcubeur a écrit :

Ca montre quand même que des gens compétents sont payés pour faire un boulot INtelligent... Mais j'ai moins d'espoir quant au fait que leurs travaux seront suivis :craint:

Le problème c'est que c'est par là (en gras) que ça pèche la plupart du temps surtout quand on connait le système des promotions transversales ou des bonds hiérarchiques par copinage politique... :fumer:

Avatar de kamuisuki INpactien
Avatar de kamuisukikamuisuki- 10/09/12 à 15:19:04

Le titre m'a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. :transpi:
(ce qui serait d'ailleur bien, quand je vois l'état de certains clavier surtout chez les garçons berk...)

Avatar de tAran INpactien
Avatar de tArantAran- 10/09/12 à 15:19:19

De nouvelles règles d'hygiène informatique pour les administrations

A un moment, j'ai cru qu'on voulait interdire la barbe aux vieux administrateurs Unix :mdr:

Avatar de corsebou Abonné
Avatar de corseboucorsebou- 10/09/12 à 15:19:35

arobase40 a écrit :

Ouch, avant de penser à se défendre des attaques venant de l'extérieur, il faudrait qu'ils finissent par admettre que le dépoussiérage devrait se faire à "l'intérieur"... :oops:

:phiphi: Ils sont blindés....
Leur Pare-Feu open office est activé a block.

*sniff nostalgie*...

C'est sur que c'est amusant de voir ces dindons recevoir de nouvelles instructions... Encore faudrait-il qu'ils puissent/veuillent les comprendrent...

Tiens ca me rappele la conseillère du pôle emploi qui allait me chercher un job avec compétences majeures: lynux....

Vive l'administration francaise, vive leur domination sans partage! :fr:

Avatar de jmanici INpactien
Avatar de jmanicijmanici- 10/09/12 à 15:20:45

est ce qu'ils vont rendre obligatoire l'application des maj de sécurité (dans un délai raisonnable) sous peine de sanction?

il y a quelques années c'était vraiment pas beau à voir (un grand nombre d'administrations n'appliquaient que les patchs nécessaires pour se protéger d'une attaque précise genre la faille RPC qu'exploitait Sasser). Les éventuels serveurs *nix n'étant eux jamais patchés.

Avatar de XalG INpactien
Avatar de XalGXalG- 10/09/12 à 15:23:24

kamuisuki a écrit :

Le titre m'a mise en erreur.. je pensai que les informaticiens seraient désormais chargés de la propreté de leur clavier et de la souris . .. :transpi:
(ce qui serait d'ailleur bien, quand je vois l'état de certains clavier surtout chez les garçons berk...)

Bah faut juste en prendre soin de son clavier :D

Édité par xalg le 10/09/2012 à 15:23
Avatar de Aloyse57 Abonné
Avatar de Aloyse57Aloyse57- 10/09/12 à 15:23:38

Tant qu'on pourra échanger un clavier sur un terminal/PC sans que ça gueule de partout, la sécurité : bof (keygrabber).

Avatar de Arcy Abonné
Avatar de ArcyArcy- 10/09/12 à 15:34:56

De nouvelles règles d'hygiènes ? J'approuve carrément, certains ne savent pas les dangers qu'encours les ordinateurs !

Il n'est plus possible de commenter cette actualité.
Page 1 / 6