ACTES et le Référentiel Général de Sécurité (RGS)

Mis à jour le 19/01/2021

Depuis le 19 mai 2013, le décret dit « décret RGS » pris en application de l'ordonnance n° 2005-1516 du 8 décembre 2005, dite « ordonnance téléservices », s'applique à la totalité des systèmes d'information mettant en œuvre des échanges par voie électronique, entre autorités administratives (telles que les collectivités territoriales et l’Etat). C’est ainsi qu’en vertu de ce texte, aucun certificat du type PRIS ne peut plus être déployé depuis le 19 mai 2013.

Les exigences du référentiel général de sécurité (RGS) s’imposent au système d’information ACTES.

Aussi, la direction de programme ACTES demande-t-elle à tous les émetteurs raccordés au système d'information (SI) ACTES _ collectivités territoriales, établissements publics locaux, groupements, personnes privées soumises à un contrôle sui generis, toutes ces catégories désignées par le terme générique de « collectivités » ou « collectivités émettrices » _ de bien vouloir s’équiper dans les meilleurs délais de certificats d'authentification[[A titre dérogatoire, les établissements publics locaux (notamment les CCAS) rattachés à des communes de moins de 3 500 habitants seront autorisés à émettre avec le certificat d’authentification RGS** utilisé pour télétransmettre les actes de la commune.]] RGS** (RGS 2 étoiles), cela afin de garantir leur propre sécurité[[ Un certificat d’authentification RGS offre à la collectivité la meilleure garantie que les clés cryptographiques (une clé privée qui doit rester confinée et une clé publique largement diffusée) utilisées pour authentifier l'envoi de ses documents restent bien en sa seule possession, et qu’aucun acteur malveillant ne puisse utiliser la clé privée à l’insu de la « collectivité ». Le certificat RGS ** est délivré par un prestataire de service de certification électronique (PSCE) sous la forme d’un support physique (carte à puce ou clé USB sécurisée dites « token ») sur lequel sont installées les clés cryptographiques de la collectivité. Ce support physique protège plus efficacement la clé privée qu’un certificat RGS *si l'on veille à ne pas l'oublier sur le poste informatique.]] en assurant la traçabilité des envois de la « collectivité émettrice », personne morale. Si leur certificat d’authentification PRIS arrive à expiration, il leur est fortement recommandé de le remplacer sans tarder par un certificat RGS** qui sera prochainement exigé pour émettre sur ACTES.

Pour les serveurs des « collectivités émettrices », il devra être fait usage d’un certificat serveur RGS* (RGS une étoile), dans l’attente que le marché des certificats serveurs de niveau RGS** ait atteint sa maturité. Compte tenu du caractère transitoire de cette situation, la direction de programme ACTES attire l’attention des « collectivités émettrices » sur le niveau de sécurité qu’il leur appartient de mettre en place au sein de leurs services, afin de ne pas courir le risque d’altérer le niveau de sécurité du système d’information ACTES.

La liste des fournisseurs de certificats qualifiés au sens du RGS est publiée sur le site de l’organisme de qualification habilité par l’ANSSI, la société LSTI, à l’adresse : http://www.lsti-certification.fr/images/liste_entreprise/RGS.pdf

Les certificats d'authentification RGS** et les certificats serveur RGS* dont l’acquisition est demandée par la direction de programme ACTES pourront servir aux « collectivités émettrices » pour s’authentifier auprès d'autres systèmes d'information nécessitant l'acquisition d'un certificat de même catégorie et de même niveau[[Il en est ainsi de téléservices ministériels tels que SYLAE, INERIS ainsi que des plateformes de dématérialisation des marchés publics.]] ; l'investissement consenti pour leur acquisition est donc facile à amortir.

Contrairement à ce qui avait été indiqué dans le précédent message, l’obligation d’utilisation de certificats d’authentification RGS** et de certificats serveurs RGS* interviendra après la parution du futur cahier des charges de la télétransmission dans ACTES et de l’arrêté modifiant celui de 2005 en portant approbation. Cet arrêté sera opposable aux différents acteurs, dont les opérateurs[[ Le terme d’ « opérateur » est désormais préféré à celui de « tiers ». Nous parlerons désormais d’ « opérateur de télétransmission » ou d’ « opérateur de mutualisation ».]] de télétransmission, à compter du 18 mai 2014, c’est-à-dire après les élections municipales. Cette obligation sera assortie de sanctions effectives. L’utilisation des certificats PRIS sera donc tolérée jusqu'à la date indiquée.

Il est rappelé que l'actuel cahier des charges ACTES fait déjà obligation aux opérateurs de télétransmission de s’assurer de la production d’un certificat électronique lors de l’émission d’un acte par une « collectivité émettrice » raccordée au SI ACTES ; cela signifie que les opérateurs de télétransmission qui ne respecteraient pas cette obligation doivent se mettre en conformité très rapidement, sans attendre la date du 18 mai 2014 car leurs émetteurs ne sont pas protégés.

Dispositions spécifiques relatives aux opérateurs de mutualisation :


En ce qui concerne les opérateurs de mutualisation, c'est-à-dire les prestataires de « collectivités émettrices » qui sont susceptibles d’intervenir sur la chaine de télétransmission en amont des opérateurs de télétransmission agréés, ils auront pour obligation conformément aux prescriptions contenues dans le futur cahier des charges ACTES dont la publication est prévue au début de l’année 2014 – de transmettre aux opérateurs de télétransmission les coordonnées d’authentification contenues dans les certificats d’authentification RGS** et dans les certificats serveurs RGS*. Les opérateurs de mutualisation devront pouvoir fournir aux opérateurs de télétransmission les informations et les objets techniques qui sont indispensables au bon respect du cahier des charges.

Sans préjuger des développements qui ne pourront être spécifiés dans le détail que lors de la parution du cahier des charges, il est demandé aux opérateurs de mutualisation de ne rendre accessibles aux collectivités les fonctions de télétransmission qu’après authentification d’un émetteur / personne physique au moyen d’un certificat RGS**, ou qu’après authentification des serveurs des émetteurs au moyen de certificats serveurs RGS* (notamment quand l’acte est envoyé directement par un logiciel métier, par exemple un logiciel de confection de délibérations ou de marchés publics).

Dans tous les cas, il est demandé que les serveurs de ces opérateurs de mutualisation se connectent aux plates-formes des opérateurs de télétransmission à l’aide d'un certificat serveur RGS*.

Durant toute la période qui précède la publication du futur cahier des charges et de l’arrêté modifiant celui de 2005 en portant approbation, la direction de programme ACTES attire l’attention de ces opérateurs sur le niveau de sécurité qu’il leur appartient de mettre en place, afin que ne soit pas altéré le niveau de sécurité global du système d’information ACTES.

Cas des émetteurs de très grande taille :


En ce qui concerne les collectivités de très grande taille qui ne souhaiteraient pas doter de certificats d’authentification la cinquantaine d’agents susceptibles d’émettre sur ACTES, il leur est demandé de solliciter une dérogation à l’emploi de certificats d’authentification RGS**, et comme les opérateurs de mutualisation, elles devront pouvoir fournir aux opérateurs de télétransmission les informations et les objets techniques qui sont indispensables au bon respect du cahier des charges et au niveau de sécurité requis par le SI ACTES.

L’atelier :


Un atelier réunissant des experts des services de l’Etat, des représentants des émetteurs de toutes tailles, des représentants des opérateurs de mutualisation et des représentants des opérateurs de télétransmission sera réuni prochainement par la direction de programme ACTES pour affiner la rédaction du futur cahier des charges, notamment sur les sujets sus-évoqués.