Référentiel français
RGS : Référentiel Général de Sécurité
Le Référentiel Général de Sécurité (RGS) vise à instaurer la confiance numérique dans les échanges électroniques au sein de l'administration française et avec les citoyens. Défini par un ensemble de règles qui s'imposent aux autorités administratives dans la sécurisation de leurs systèmes d'information, il encadre les fonctions de sécurité telles que la signature électronique, l'authentification, la confidentialité ou l'horodatage. Le RGS s'applique aux autorités administratives et aux organismes publics et privés qui fournissent des produits ou des services de confiance.
Origine et périmètre
Issu de l'ordonnance n° 2005-1516 du 8 décembre 2005, le RGS a été adopté en 2010 dans le cadre de la modernisation de l'administration publique. Sa version 2.0, publiée en 2014, a permis une mise à jour face à l'évolution des menaces et des technologies. Élaboré par l'ANSSI en collaboration avec la Direction interministérielle du numérique, le référentiel couvre les certificats électroniques, les algorithmes cryptographiques autorisés, la protection des clés privées et la journalisation des événements de sécurité. Le RGS définit trois niveaux de sécurité : 1, 2 et 3 étoiles, selon la sensibilité des données traitées et les risques associés. L'homologation de sécurité, acte par lequel une autorité administrative atteste de la protection conforme de son SI, constitue l'aboutissement de cette démarche.
Lien avec NIS2
NIS2 ajoute des exigences de résilience pour les administrations désignées comme entités essentielles ; ces trois référentiels (RGS, RGPD, NIS2) sont complémentaires et s'appliquent simultanément aux systèmes d'information administratifs. Une administration déjà conforme au RGS disposera d'une base solide pour répondre aux exigences de NIS2, car les deux cadres partagent des fondamentaux : gestion des risques, documentation des mesures techniques, traçabilité, homologation. Pour les entités concernées par NIS2 (Article 21 §2), le RGS facilite la couverture de la gestion des certificats, de la cryptographie et de l'authentification. Les administrations doivent désormais articuler leur conformité RGS avec les nouvelles obligations NIS2 (notification d'incidents sous 24 h, résilience, gouvernance cyber).