Ministére du Budget, des comptes publics et de la fonction publique

Validation Profils RGS
Accueil

Qu'est ce que le Référentiel Général de Sécurité ?

Le RGS est un recueil de règles et de bonnes pratiques en matière de sécurité des systèmes d’information : http://www.modernisation.gouv.fr/uploads/media/RGS.pdf

Afin de répondre aux enjeux et aux besoins spécifiques de chaque entité qui met en œuvre le RGS, des niveaux de sécurité avec des exigences de plus en plus fortes ont été définis notamment pour les fonctions de sécurité utilisant des certificats : *, ** et ***. Les exigences concernant l’émission et le cycle de vie des certificats ou des contremarques de temps sont regroupées dans des Politiques de Certification Types ou Politique d’Horodatage, celles concernant la mise en œuvre de fonctions utilisant des certificats sont regroupées dans les documents Services. Le RGS et tous ces documents sont publiés.

La publication du RGS et la procédure de référencement sont prévues par l’ordonnance 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

Qu'est ce que le référencement RGS ?

Les offres des prestataires de services de confiance qualifiés à un niveau de sécurité du RGS peuvent faire l’objet d’un référencement par l’Etat, elles sont alors utilisables par les usagers pour l’ensemble des téléservices pour lesquels ce niveau de sécurité est requis.

Les tests en vue du référencement s’assurent du respect des prescriptions contenues dans un cahier des charges. Celui-ci détermine les conditions dans lesquelles l’interopérabilité des offres des prestataires de services de confiance qualifiés est vérifiée ainsi que les tests effectués à cette fin.

Le cahier des charges concernant les offres des prestataires de services de confiance définit des tests de conformité du profil de l’offre avec le document « Profils de certificats/LCR/OCSP et Algorithmes Cryptographiques V2.2 » du RGS ainsi que des tests d’intégration avec un service de validation de certificats.

Afin de réaliser les tests de conformité du profil de l’offre, une application est mise à disposition des prestataires de services de confiance, il s’agit de l’application : Validation Profils RGS.

L’application Validation Profils RGS :

Cette application permet de vérifier les profils des certificats, des LCR, des jetons OCSP et des contremarques de temps.

L’auto détection du type d’objet proposé est possible à l’exception des certificats d’entité finale. Pour ceux-ci, il est nécessaire d’indiquer :

  • le type d’utilisateur : personne physique (particulier ou représentant d’administration ou d’entreprise) ou serveur (appartenant à une administration ou à une entreprise)
  • le service de sécurité : authentification, authentification et signature, signature, confidentialité, authentification serveur SSL, authentification serveur-client, cachet serveur
  • le niveau de sécurité une, deux ou trois étoiles

Les résultats des tests réalisés par l’application Validation Profils RGS sont donnés de façon globale et détaillée au sein d’un rapport de test.