Homologation RGS pour les autorités administratives

Les maîtrises d’ouvrage des administrations sont confrontées à la problématique de réaliser une homologation RGS d’un système d’information et des téléservices associés, préalable indispensable à l’autorisation d’emploi.

Signalez ce contenu à notre équipe

Sylvain RSSI

Sylvain B P - Officier de Sécurité des Systèmes d'Information / RSSI

Abonné·e de Mediapart

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

Historique

Face aux cyberrisques pesant sur les différentes entités de l'administration, le gouvernement a jugé nécessaire de renforcer la sécurité des échanges électroniques par voie d'ordonnance. Ainsi, la loi n° 2004-1343 du 9 décembre 2004 de simplification du droit, en son article 3, a autorisé le gouvernement à prendre par ordonnance les mesures nécessaires pour garantir la sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives, ainsi qu'entre les autorités administratives.

En application de cette loi, l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives a été promulguée. Cette ordonnance a été ratifiée par le Parlement le 22 février 2006.

L'ordonnance prévoit, en son article 9.I, la création d'un Référentiel Général de Sécurité (RGS), dans le but de fixer les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, en fonction du niveau de sécurité requis.

Conformément à l'article 14.I, les autorités administratives, y compris les collectivités territoriales, sont tenues de mettre leurs systèmes d'information en conformité avec le RGS. Cette conformité est obligatoire depuis le 17 mai 2013, soit trois ans après la publication du décret.

Date d'application

Les autorités administratives doivent être en conformité avec le RGS depuis le 17 mai 2013.

Qui est concerné

Les autorités administratives :

- Administrations d'état,

- Collectivités territoriales,

- Établissements publics à caractère administratif,

- Organismes de gestion des régimes de protection sociale,

- Organismes de gestion de services publics administratifs.

Principes

Les autorités administratives doivent mettre en place une démarche de gestion de la sécurité sur leur système d'information :

Mise en oeuvre d'un processus de gestion des cyber-risques et donc intégrer la sécurité dans le cycle de vie du système
Définition d'une politique de sécurité du système d'information (proportionnée aux risques)

Le tout piloté au sein d'un processus d'amélioration continu de type Système de Management de la Sécurité de l'Information (intégrant donc des phases d'arbitrage périodique par une direction)

Par ailleurs, chaque nouveau système doit s'inscrire dans ce processus de prise en compte de la sécurité. Cette démarche doit être sanctionnée par une autorisation formelle d'utilisation avant toute mise en service opérationnel : C'est le processus d'homologation.

La décision d’homologation, ou « attestation formelle », est l’engagement par lequel l’autorité d’homologation (constituée au sein de l'autorité administrative) atteste que le projet a bien pris en compte les contraintes opérationnelles de sécurité établies au départ, que les exigences de sécurité sont bien déterminées et satisfaites, que les risques résiduels sont maîtrisés et acceptés, et que le système d’information est donc apte à entrer en service.

Afin que sa décision soit motivée et justifiée, il est recommandé que l’autorité d’homologation s’appuie sur un dossier de sécurité. Ce dossier est constitué sur la base d'une analyse de risques. A chaque type de téléservice, l'ANSSI met à disposition des analyses types :

https://www.ssi.gouv.fr/guide/lhomologation-de-securite-en-neuf-etapes-simples/

Celles-ci sont généralement le point d'entrée de l'analyse de risques du téléservice.

Adresse du blog : https://blogs.mediapart.fr/sp-0/blog

Passionné d'informatique, de nouvelle technologie, et de société de l'information, j'édite ce blog qui traite de sujet de sécurité informatique. Le but de ce blog est de s’adresser auprès d’un public varié : direction, utilisateur, informaticien. C’est pour cela qu’il est hébergé sur un site généraliste. La sécurité, c’est une en premier lieu une organisation, et non un rôle purement technique. J'ai commencé ma carrière dans la presse informatique dans les années 90, puis un long passage très intéressant comme informaticien en salle des marchés et banque d'investissement, puis une administration internationale.

Ce blog est personnel, la rédaction n’est pas à l’origine de ses contenus.

L’auteur n’a pas autorisé les commentaires sur ce billet

Amériques

Des démissions, des excuses et des victimes jetées en pâture

La publication de millions de documents supplémentaires sur l’affaire du criminel sexuel Jeffrey Epstein continue à toucher des personnalités à travers le monde. Certaines des victimes restées anonymes dénoncent la gestion catastrophique du ministère en raison de la divulgation de leurs noms ou de leurs photos.

par François Bougon
Habitat

Selon la Fondation pour le logement, les inégalités explosent et la situation n’est pas partie pour s’arranger

La Fondation pour le logement présente, mardi 3 février, son rapport annuel sur l’état du mal-logement en France. L’année 2025 est marquée par une augmentation du nombre des expulsions et des personnes sans domicile.

par Lucie Delaporte
Habitat

« Il m’a fait vivre l’enfer total » : quand des précaires se retrouvent à la merci de leur hébergeur

Plus de 600 000 personnes vivent chez des proches ou des connaissances, faute de logement. Ces situations restent l’angle mort du mal-logement, dénonce la Fondation pour le logement dans son rapport annuel. Lamine, Nicole, Mia ou Houda en ont subi les dérives. Il et elles témoignent dans Mediapart.

par Faïza Zerouala
Migrations

Sans oublier ses intérêts, l’Espagne acte la régularisation des travailleurs sans papiers

Plus d’un demi-million de personnes devraient obtenir un titre de séjour, surtout pour des raisons économiques, et donc utilitaristes. La mesure marque la victoire d’une initiative citoyenne, bloquée un temps au Parlement avant que le gouvernement de Pedro Sánchez ne se l’approprie.

par Marti Blancho

Billet de blog

Communiqué des étudiant.es de la HEAR de Mulhouse sur l’exposition du 29 janvier 2026

La Haute École des Arts du Rhin de Mulhouse fait face depuis le 29 janvier à un déferlement médiatique d'extrême droite, au sujet d'une performance impliquant une piñata en forme de voiture de police. Face à la décontextualisation et à la déformation à des fins politiques de cette performance, nous, étudiant.es de la HEAR soutenu.es par la direction, souhaitons rétablir les faits.

par Etudiant.es de la HEAR Mulhouse
Billet de blog

Mémoire piégée, l’offensive du RN sur le récit national

De la panthéonisation des FTP-MOI à l’érection de stèles aux « victimes du communisme », la bataille mémorielle s’intensifie. Le RN tente de réécrire le récit national en inversant les places… Blanchir ses filiations encombrantes, noircir l’héritage communiste et s’installer dans une mémoire officielle « républicaine » à sa main.

par Basile.Giraud
Billet de blog

Toujours résister à l’extrême droite, même lorsqu’elle porte une cravate !

Un candidat d'extrême droite vient de remporter une législative partielle en Haute-Savoie, terre de la Résistance et du plateau des Glières. Face à la vague brune en cours, il est urgent de se relever enfin pour ne pas céder à la tentation du pire.

par Benjamin Joyeux
Billet de blog

Pour une police républicaine

Oui, plus de moyens pour le service public pour les services publics, c’est indéniable ! Ce n’est pas nouveau, c’est récurrent, et ce n’est pas faute de manifester sur cette revendication depuis des dizaines années, de solliciter des budgets, d’amender les projets de lois de finances…mais les gouvernements passent et continuent de couper dans le budget de l’état et celui de la sécurité sociale.

par Christophe BEX