Imprimer

Actualités

Jeudi 04 Fevrier 2010

Sécurité des échanges dématérialisés : des précisions au Journal officiel du 4 février

La législation en matière de sécurité des échanges dématérialisés vient de s'enrichir d'un nouveau texte règlementaire. Publié au Journal officiel ce jeudi 4 février, le décret n° 2010-112 du 2 février 2010, établit les règles, relatives au référentiel général de sécurité (RGS), aux prestataires de service de confiance, ou encore aux certificats électroniques.
Le référentiel général de sécurité a été créé, conformément à l'ordonnance n° 2005-1516 du 8 décembre 2005, afin de définir les règles de sécurité qui s'imposent à l'administration dans le cadre de leurs systèmes d'information. Le décret du 2 février précise que "ces règles sont définies selon des niveaux de sécurité prévus par le référentiel pour des fonctions de sécurité, telles que l'identification, la signature électronique, la confidentialité ou l'horodatage".
Le texte définit ensuite les conditions selon lesquelles la sécurité des systèmes d'information est garantie : identification des risques, objectifs de sécurité, fonction et niveau de sécurité.
Le décret revient ensuite sur les prestataires de services de confiance, c'est-à-dire les structures qui contribuent à la sécurité des échanges dématérialisées (sociétés fournissant des plateformes de dématérialisation sécurisées par exemple). Les services de ces prestataires doivent recevoir une qualification "qui atteste de la conformité des services à un niveau de sécurité" défini par le référentiel général de sécurité.
Le décret définit également les conditions de validité des certificats électroniques, utilisés pour la sécurisation des échanges électroniques. Il s'agit de "données sous forme électronique attestant du lien entre une autorité administrative ou un agent d'une autorité administrative et des éléments cryptographiques qui lui sont propres et qui sont utilisés par une fonction de sécurité assurant l'identification de cette autorité ou de cet agent dans un système d'information". Le certificat doit être validé par l'Agence nationale de la sécurité des systèmes d'information (Anssi).

Aller plus loin
Décret n° 2010-112 du 2 février 2010