Référentiel Général de Sécurité

Le Référentiel Général de Sécurité (RGS) est un cadre de référence qui définit les exigences de sécurité applicables aux systèmes d'information des autorités administratives. Il a été publié par l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2006 et a été mis à jour en 2013 et 2022.

Réaliser un audit de sécurité

Les cinq grands principes du RGS

Le RGS s'articule autour de cinq grands principes :

La sécurité dès la conception

Les systèmes d'information doivent être conçus dès le départ pour être sécurisés. Cela signifie que la sécurité doit être prise en compte dès la phase de conception, et non ajoutée en tant que couche supplémentaire.

Par exemple, un système d'information conçu dès le départ pour être sécurisé pourrait utiliser des techniques d'authentification forte, telles que la biométrie ou les facteurs multiples, ou encore des techniques de cryptage pour protéger les données sensibles.

La protection par défaut

Les systèmes d'information doivent être configurés par défaut de manière à être protégés. Cela signifie que les configurations par défaut doivent être sécurisées, et que les utilisateurs doivent être informés des risques associés aux configurations non sécurisées.

Par exemple, un système d'information configuré par défaut pour être protégé pourrait utiliser des mots de passe complexes et des protocoles de sécurité avancés.

L'authentification forte

L’authentification des utilisateurs doit être forte et basée sur plusieurs facteurs. Cela signifie que l'authentification ne doit pas reposer sur un seul facteur, tel qu'un mot de passe, mais sur plusieurs facteurs, tels qu’un mot de passe, une clé de sécurité ou une empreinte digitale.

Par exemple, un système d'information qui utilise une authentification forte pourrait demander à l'utilisateur de saisir un mot de passe, de présenter une clé de sécurité et de se faire identifier par reconnaissance faciale.

La séparation des fonctions

Les fonctions sensibles doivent être séparées les unes des autres. Cela signifie que les fonctions qui nécessitent un accès privilégié aux données sensibles, telles que la modification des données ou l'accès au réseau, doivent être isolées des autres fonctions.

Par exemple, un système d'information qui sépare les fonctions pourrait utiliser des comptes utilisateurs distincts pour les fonctions sensibles et les fonctions non sensibles.

La traçabilité

Les actions effectuées sur les systèmes d'information doivent être tracées. Cela signifie que les systèmes d'information doivent être capables d’enregistrer les actions effectuées par les utilisateurs, les événements qui se produisent et les données qui sont traitées.

Par exemple, un système d'information qui enregistre les actions des utilisateurs pourrait conserver un journal des connexions, des modifications apportées aux données et des accès au réseau.

Les exigences du RGS en matière d'interopérabilité

Le RGS définit également des exigences en matière d'interopérabilité des systèmes d'information, notamment :

L'utilisation de normes et de référentiels

Les systèmes d'information doivent utiliser des normes et des référentiels pour garantir leur interopérabilité avec d'autres systèmes d'information.

Par exemple, un système d'information qui utilise des normes et des référentiels pourrait utiliser des formats de données standardisés ou des protocoles de communication standardisés.

La documentation des interfaces

Les interfaces des systèmes d'information doivent être documentées de manière claire et précise, afin que les développeurs puissent créer des applications qui interagissent correctement avec ces systèmes.

Par exemple, un système d'information qui documente ses interfaces pourrait utiliser des schémas XML ou des descriptions textuelles des interfaces.

La gestion des métadonnées

Les métadonnées des systèmes d'information doivent être gérées de manière centralisée et cohérente, afin que les utilisateurs puissent facilement trouver et utiliser les informations dont ils ont besoin.

Par exemple, un système d'information qui gère les métadonnées pourrait utiliser un référentiel de métadonnées pour stocker et gérer les métadonnées des systèmes d'information.

Les exigences du RGS en matière de sécurité des données

Le RGS définit des exigences spécifiques en matière de sécurité des données, notamment :

La pseudonymisation et le chiffrement

Les données sensibles doivent être pseudonymisées ou chiffrées.

Par exemple, un système d'information qui pseudonymise ou chiffre les données sensibles pourrait utiliser des techniques de pseudonymisation par hachage ou de chiffrement par bloc.

La gestion des accès

L'accès aux données doit être limité aux personnes autorisées.

Par exemple, un système d'information qui limite l'accès aux données pourrait utiliser des listes de contrôle d'accès (ACL) pour contrôler qui peut accéder aux données et à quelles données.

La sauvegarde des données

Les données doivent être sauvegardées régulièrement.

Par exemple, un système d'information qui sauvegarde les données régulièrement pourrait utiliser une solution de sauvegarde automatique pour sauvegarder les données sur un support externe.

La gestion des incidents de sécurité

Les incidents de sécurité doivent être traités de manière appropriée.

Par exemple, un système d'information qui gère les incidents de sécurité pourrait utiliser un plan de gestion des incidents pour identifier, analyser et résoudre les incidents de sécurité.

La protection des données à caractère personnel

Les données à caractère personnel doivent être protégées contre les risques de destruction, perte, altération, divulgation ou accès non autorisés, accidentels ou illicites.

Par exemple, un système d'information qui protège les données à caractère personnel pourrait utiliser des techniques de pseudonymisation ou de chiffrement pour rendre les données non identifiables.

Les systèmes contenant des données à caractère personnel doivent être audités pour identifier les failles et vulnérabilités permettant à des personnes malveillantes d’avoir accès aux données.

Un besoin d’un audit cybersécurité ?

Notre équipe d’experts en sécurité informatique est à votre disposition pour vous proposer l’audit cybersécurité le mieux adapté à votre problématique et à votre métier.

Votre satisfaction et votre sécurité sont nos priorités.

Contactez-nous !

+33 1 85 09 15 09