forked from intuitem/ciso-assistant-community
-
Notifications
You must be signed in to change notification settings - Fork 0
/
Copy pathrgs-v2.0.yaml
2015 lines (2015 loc) · 107 KB
/
rgs-v2.0.yaml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
563
564
565
566
567
568
569
570
571
572
573
574
575
576
577
578
579
580
581
582
583
584
585
586
587
588
589
590
591
592
593
594
595
596
597
598
599
600
601
602
603
604
605
606
607
608
609
610
611
612
613
614
615
616
617
618
619
620
621
622
623
624
625
626
627
628
629
630
631
632
633
634
635
636
637
638
639
640
641
642
643
644
645
646
647
648
649
650
651
652
653
654
655
656
657
658
659
660
661
662
663
664
665
666
667
668
669
670
671
672
673
674
675
676
677
678
679
680
681
682
683
684
685
686
687
688
689
690
691
692
693
694
695
696
697
698
699
700
701
702
703
704
705
706
707
708
709
710
711
712
713
714
715
716
717
718
719
720
721
722
723
724
725
726
727
728
729
730
731
732
733
734
735
736
737
738
739
740
741
742
743
744
745
746
747
748
749
750
751
752
753
754
755
756
757
758
759
760
761
762
763
764
765
766
767
768
769
770
771
772
773
774
775
776
777
778
779
780
781
782
783
784
785
786
787
788
789
790
791
792
793
794
795
796
797
798
799
800
801
802
803
804
805
806
807
808
809
810
811
812
813
814
815
816
817
818
819
820
821
822
823
824
825
826
827
828
829
830
831
832
833
834
835
836
837
838
839
840
841
842
843
844
845
846
847
848
849
850
851
852
853
854
855
856
857
858
859
860
861
862
863
864
865
866
867
868
869
870
871
872
873
874
875
876
877
878
879
880
881
882
883
884
885
886
887
888
889
890
891
892
893
894
895
896
897
898
899
900
901
902
903
904
905
906
907
908
909
910
911
912
913
914
915
916
917
918
919
920
921
922
923
924
925
926
927
928
929
930
931
932
933
934
935
936
937
938
939
940
941
942
943
944
945
946
947
948
949
950
951
952
953
954
955
956
957
958
959
960
961
962
963
964
965
966
967
968
969
970
971
972
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
994
995
996
997
998
999
1000
urn: urn:intuitem:risk:library:rgs-v2.0
locale: fr
ref_id: RGS-v2.0
name: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0"
description: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0 selon\
\ l'Arr\xEAt\xE9 du 13 juin 2014 portant approbation du r\xE9f\xE9rentiel g\xE9\
n\xE9ral de s\xE9curit\xE9 et pr\xE9cisant les modalit\xE9s de mise en \u0153uvre\
\ de la proc\xE9dure de validation des certificats \xE9lectroniques\nhttps://www.legifrance.gouv.fr/loda/id/JORFTEXT000029122964"
copyright: "Loi fran\xE7aise"
version: 1
provider: ANSSI
packager: intuitem
objects:
framework:
urn: urn:intuitem:risk:framework:rgs-v2.0
ref_id: RGS-v2.0
name: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0"
description: "R\xE9f\xE9rentiel G\xE9n\xE9ral de S\xE9curit\xE9 version 2.0 selon\
\ l'Arr\xEAt\xE9 du 13 juin 2014 portant approbation du r\xE9f\xE9rentiel g\xE9\
n\xE9ral de s\xE9curit\xE9 et pr\xE9cisant les modalit\xE9s de mise en \u0153\
uvre de la proc\xE9dure de validation des certificats \xE9lectroniques\nhttps://www.legifrance.gouv.fr/loda/id/JORFTEXT000029122964"
requirement_nodes:
- urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1
assessable: false
depth: 1
ref_id: Chapitre 1
name: "Mise en conformit\xE9 avec les exigences du \xAB d\xE9cret RGS \xBB "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node3
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1
description: "Le r\xE9f\xE9rentiel g\xE9n\xE9ral de s\xE9curit\xE9 (RGS) vise\
\ \xE0 renforcer la confiance des usagers dans les services \xE9lectroniques\
\ propos\xE9s par les autorit\xE9s administratives, notamment lorsque ceux-ci\
\ traitent des donn\xE9es personnelles. Il s\u2019applique aux syst\xE8mes\
\ d\u2019information mis en \u0153uvre par les autorit\xE9s administratives\
\ dans leurs relations entre elles et avec les usagers. Il peut aussi \xEA\
tre consid\xE9r\xE9 comme un recueil de bonnes pratiques pour tous les autres\
\ organismes."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node4
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1
description: "Afin de mettre leur syst\xE8me d\u2019information en conformit\xE9\
\ avec le RGS, les autorit\xE9s administratives doivent adopter une d\xE9\
marche en cinq \xE9tapes, pr\xE9vue par le d\xE9cret n\xB0 2010-112 du 2 f\xE9\
vrier 2010 (d\xE9cret RGS) :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node5
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4
description: "1. r\xE9alisation d\u2019une analyse des risques (art. 3 al. 1)\
\ ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node6
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4
description: "2. d\xE9finition des objectifs de s\xE9curit\xE9 (art. 3 al. 2)\
\ ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node7
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4
description: "3. choix et mise en \u0153uvre des mesures appropri\xE9es de protection\
\ et de d\xE9fense du SI (art. 3 al. 3) ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node8
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4
description: "4. homologation de s\xE9curit\xE9 du syst\xE8me d\u2019information\
\ (art. 5) ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node9
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node4
description: "5. suivi op\xE9rationnel de la s\xE9curit\xE9 du SI."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node10
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1
description: "Dans l\u2019\xE9ventualit\xE9 o\xF9 le syst\xE8me d\u2019information\
\ serait d\xE9j\xE0 en service sans avoir fait l\u2019objet de cette d\xE9\
marche, ou bien a \xE9t\xE9 modifi\xE9, la proc\xE9dure simplifi\xE9e suivante\
\ peut \xEAtre mise en oeuvre :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node11
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10
description: "1. r\xE9alisation d\u2019un audit de la s\xE9curit\xE9 du syst\xE8\
me d\u2019information en interne ou externalis\xE9 aupr\xE8s d\u2019un prestataire\
\ ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node12
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10
description: "2. r\xE9alisation d\u2019une analyse des risques simplifi\xE9\
e ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node13
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10
description: "3. mise en \u0153uvre des mesures correctives fix\xE9es dans le\
\ rapport d\u2019audit ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node14
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10
description: "4. d\xE9cision d\u2019homologation de s\xE9curit\xE9 du syst\xE8\
me d\u2019information ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node15
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node10
description: "5. suivi op\xE9rationnel de la s\xE9curit\xE9 du SI."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node16
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1
description: "Au-del\xE0 des mesures techniques et organisationnelles, les autorit\xE9\
s administratives doivent veiller :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node17
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node16
description: "- aux clauses relatives \xE0 la s\xE9curit\xE9 des contrats qu\u2019\
elles passent avec des prestataires charg\xE9s de les assister dans leur d\xE9\
marche de s\xE9curisation de leurs syst\xE8mes. Ces services peuvent \xEA\
tre de nature intellectuelle (audit de la s\xE9curit\xE9 du syst\xE8me d\u2019\
information, traitement d\u2019incident de s\xE9curit\xE9, notamment) ou technique\
\ (m\xE9canisme de d\xE9tection, externalisation, infog\xE9rance, mise dans\
\ le nuage de tout ou partie du syst\xE8me d\u2019information, tierce maintenance\
\ applicative, etc.) ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node18
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node16
description: "- au facteur humain : la sensibilisation du personnel aux questions\
\ de s\xE9curit\xE9 est primordiale, ainsi que la formation de ceux qui interviennent\
\ plus sp\xE9cifiquement dans la mise en \u0153uvre et le suivi op\xE9rationnel\
\ de la s\xE9curit\xE9 du syst\xE8me d\u2019information (surveillance, d\xE9\
tection, pr\xE9vention). "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node19
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-1
description: "D\u2019une mani\xE8re g\xE9n\xE9rale, il est recommand\xE9 de\
\ s\u2019appuyer sur les guides et sur la documentation produits par l\u2019\
ANSSI. "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2
assessable: false
depth: 1
ref_id: Chapitre 2
name: "Description des \xE9tapes de la mise en conformit\xE9 "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2
ref_id: '2.1'
name: Analyse des risques
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node22
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
description: "L\u2019analyse de risques pr\xE9cise les besoins de s\xE9curit\xE9\
\ du syst\xE8me d\u2019information en fonction de la menace et des enjeux.\
\ "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node23
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
description: "La d\xE9marche d\u2019analyse de risques consiste \xE0 identifier\
\ les \xE9v\xE8nements qui peuvent affecter la s\xE9curit\xE9 du syst\xE8\
me, d\u2019en estimer les cons\xE9quences et les impacts potentiels puis de\
\ d\xE9cider des actions \xE0 r\xE9aliser afin de r\xE9duire le risque \xE0\
\ un niveau acceptable. "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node24
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
description: "Les menaces \xE0 prendre en compte sont celles qui p\xE8sent r\xE9\
ellement sur le syst\xE8me et sur les informations qu\u2019il traite, transmet\
\ et stocke, dans l\u2019environnement dans lequel il se situe."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node25
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
description: "Lorsque le syst\xE8me d\u2019information int\xE8gre des certificats\
\ \xE9lectroniques ou de l\u2019horodatage \xE9lectronique, l\u2019analyse\
\ des risques doit permettre de d\xE9cider des usages (signature, authentification,\
\ confidentialit\xE9, etc.) et des niveaux de s\xE9curit\xE9 (*, ** ou ***)\
\ qui seront mis en \u0153uvre."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node26
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
description: "Il est recommand\xE9 de s\u2019appuyer sur la norme ISO 27005,\
\ qui fixe un cadre th\xE9orique de la gestion des risques."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node27
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.1
description: "Sa mise en \u0153uvre pratique peut \xEAtre facilit\xE9e par les\
\ explications et les outils, notamment logiciels, propos\xE9s par la m\xE9\
thode Expression des besoins et indentification des objectifs de s\xE9curit\xE9\
\ (EBIOS). "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2
ref_id: '2.2'
name: "D\xE9finition des objectifs de s\xE9curit\xE9"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node29
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2
description: "Une fois les risques appr\xE9ci\xE9s, l\u2019autorit\xE9 administrative\
\ doit \xE9noncer les objectifs de s\xE9curit\xE9 \xE0 satisfaire. Aux trois\
\ grands domaines traditionnels (disponibilit\xE9 et int\xE9grit\xE9 des donn\xE9\
es et du syst\xE8me, confidentialit\xE9 des donn\xE9es et des \xE9l\xE9ments\
\ critiques du syst\xE8me) peuvent s\u2019ajouter deux domaines compl\xE9\
mentaires :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node30
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node29
description: "- l\u2019authentification, afin de garantir que la personne identifi\xE9\
e est effectivement celle qu\u2019elle pr\xE9tend \xEAtre ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node31
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node29
description: "- la tra\xE7abilit\xE9, afin de pouvoir associer les actions sur\
\ les donn\xE9es et les processus aux personnes effectivement connect\xE9\
es au syst\xE8me et ainsi permettre de d\xE9celer toute action ou tentative\
\ d\u2019action ill\xE9gitime."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node32
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2
description: "Les objectifs de s\xE9curit\xE9 doivent \xEAtre exprim\xE9s aussi\
\ bien en termes de protection que de d\xE9fense des syst\xE8mes d\u2019information. "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node33
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.2
description: "Les autorit\xE9s administratives peuvent s\u2019appuyer sur le\
\ guide m\xE9thodologique EBIOS 2010, afin de formuler pr\xE9cis\xE9ment ces\
\ objectifs de s\xE9curit\xE9."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2
ref_id: '2.3'
name: "Choix et mise en \u0153uvre des mesures de s\xE9curit\xE9 adapt\xE9es"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node35
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3
description: "L\u2019expression des objectifs de s\xE9curit\xE9 permet d\u2019\
appr\xE9cier les fonctions de s\xE9curit\xE9 qui peuvent \xEAtre mises en\
\ \u0153uvre pour les atteindre (art. 3, al. 3 du d\xE9cret RGS). Ces fonctions\
\ de s\xE9curit\xE9 sont mat\xE9rialis\xE9es par le choix de moyens et de\
\ mesures de nature :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node36
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node35
description: "- technique : produits de s\xE9curit\xE9 (mat\xE9riels ou logiciels),\
\ prestations de services de confiance informatiques ou autres dispositifs\
\ de s\xE9curit\xE9 (blindage, d\xE9tecteur d\u2019intrusion...) ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node37
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node35
description: "- organisationnelle : organisation des responsabilit\xE9s (habilitation\
\ du personnel, contr\xF4le des acc\xE8s, protection physique des \xE9l\xE9\
ments sensibles...), gestion des ressources humaines (affectation d\u2019\
agents responsables de la gestion du syst\xE8me d\u2019information, formation\
\ du personnel sp\xE9cialis\xE9, sensibilisation des utilisateurs)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node38
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3
description: "Ces mesures de s\xE9curit\xE9 peuvent \xEAtre s\xE9lectionn\xE9\
es au sein des r\xE9f\xE9rentiels et normes existants."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node39
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.3
description: "Elles peuvent \xE9galement en \xEAtre adapt\xE9es ou bien \xEA\
tre cr\xE9\xE9es ex nihilo."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2
ref_id: '2.4'
name: "Homologation de s\xE9curit\xE9 du syst\xE8me d\u2019information"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node41
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4
description: "Les syst\xE8mes d\u2019information qui entrent dans le champ de\
\ l\u2019ordonnance du 8 d\xE9cembre 2005 doivent faire l\u2019objet, avant\
\ leur mise en service op\xE9rationnelle, d\u2019une d\xE9cision d\u2019homologation\
\ de s\xE9curit\xE9. Egalement d\xE9nomm\xE9e \xAB attestation formelle \xBB\
\ (art. 5, al. 1 du d\xE9cret RGS), elle est prononc\xE9e par une autorit\xE9\
\ d\u2019homologation, d\xE9sign\xE9e par la ou les autorit\xE9s administratives\
\ charg\xE9es du syst\xE8me d\u2019information."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node42
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4
description: "La d\xE9cision d\u2019homologation atteste, au nom de l\u2019\
autorit\xE9 administrative, que le syst\xE8me d\u2019information est prot\xE9\
g\xE9 conform\xE9ment aux objectifs de s\xE9curit\xE9 fix\xE9s et que les\
\ risques r\xE9siduels sont accept\xE9s. La d\xE9cision d\u2019homologation\
\ s\u2019appuie sur un dossier d\u2019homologation. Lorsqu\u2019elle concerne\
\ un t\xE9l\xE9service, cette d\xE9cision est rendue accessible aux usagers."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node43
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4
description: "Il est recommand\xE9 que les syst\xE8mes d\u2019information homologu\xE9\
s fassent l\u2019objet d\u2019une revue p\xE9riodique. "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node44
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.4
description: "Afin d\u2019homologuer leurs syst\xE8mes d\u2019information, les\
\ autorit\xE9s administratives peuvent utiliser les recommandations d\xE9\
crites dans le guide publi\xE9 par l\u2019ANSSI [Guide homologation]. "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:2.5
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-2
ref_id: '2.5'
name: "Suivi op\xE9rationnel de la s\xE9curit\xE9 du syst\xE8me d\u2019information"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node46
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.5
description: "Les mesures de protection d\u2019un syst\xE8me d\u2019information\
\ doivent \xEAtre accompagn\xE9es d\u2019un suivi op\xE9rationnel quotidien\
\ ainsi que de mesures de surveillance et de d\xE9tection, afin de r\xE9agir\
\ au plus vite aux incidents de s\xE9curit\xE9 et de les traiter au mieux."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:2.5
description: "Le suivi op\xE9rationnel consiste\_:"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node48
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 collecter et \xE0 analyser les journaux d\u2019\xE9v\xE8\
nements et les alarmes,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node49
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 mener des audits r\xE9guliers,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node50
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 appliquer des mesures correctives apr\xE8s un audit ou\
\ un incident,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node51
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 mettre en \u0153uvre une cha\xEEne d\u2019alerte en cas\
\ d\u2019intrusion suppos\xE9e ou av\xE9r\xE9e sur le syst\xE8me,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node52
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 g\xE9rer les droits d\u2019acc\xE8s des utilisateurs,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node53
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 assurer une veille sur les menaces et les vuln\xE9rabilit\xE9\
s,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node54
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 entretenir des plans de continuit\xE9 et de reprise d\u2019\
activit\xE9,"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node55
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 sensibiliser le personnel et"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node56
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node47
description: "- \xE0 g\xE9rer les crises lorsqu\u2019elles surviennent."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
assessable: false
depth: 1
ref_id: Chapitre 3
name: "R\xE8gles relatives \xE0 la cryptographie et \xE0 la protection des \xE9\
changes \xE9lectroniques"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node58
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
description: "Les r\xE8gles techniques impos\xE9es par le RGS portent uniquement\
\ sur la s\xE9curisation des infrastructures utilis\xE9es pour proc\xE9der\
\ aux \xE9changes \xE9lectroniques entre les autorit\xE9s administratives\
\ et les usagers ainsi qu\u2019entre les autorit\xE9s administratives elles-m\xEA\
mes."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node59
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
description: "Le RGS n\u2019impose aucune technologie particuli\xE8re et laisse\
\ aux autorit\xE9s administratives le choix des mesures \xE0 mettre en \u0153\
uvre. Il fixe cependant des exigences relatives \xE0 certaines fonctions de\
\ s\xE9curit\xE9, notamment la certification, l\u2019horodatage et l\u2019\
audit."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node60
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
description: "En fonction de leur besoin de s\xE9curit\xE9, issu de l\u2019\
analyse de risques, il appartient aux autorit\xE9s administratives de d\xE9\
terminer les fonctions de s\xE9curit\xE9 ainsi que les niveaux de s\xE9curit\xE9\
\ associ\xE9s, en s\u2019appuyant sur les m\xE9thodes, les outils et les bonnes\
\ pratiques propos\xE9s aux chapitres 2 et 7."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node61
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
description: "Lorsqu\u2019elles choisissent de mettre en \u0153uvre des fonctions\
\ de s\xE9curit\xE9 trait\xE9es dans le pr\xE9sent chapitre, les autorit\xE9\
s administratives choisissent le niveau de s\xE9curit\xE9 adapt\xE9 \xE0 leur\
\ besoin et appliquent les r\xE8gles correspondantes d\xE9crites dans ce r\xE9\
f\xE9rentiel."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node62
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
description: "Dans tous les cas, le Premier ministre recommande l\u2019usage\
\ de produits qualifi\xE9s quand ils existent."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.1
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
ref_id: '3.1'
name: "R\xE8gles relatives \xE0 la cryptographie"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node64
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.1
description: "Lorsqu\u2019elles mettent en place des mesures de s\xE9curit\xE9\
\ comprenant des m\xE9canismes cryptographiques, les autorit\xE9s administratives\
\ doivent respecter les r\xE8gles, et si possible les recommandations, indiqu\xE9\
es dans les annexes [RGS_B1] et [RGS_B2], communs \xE0 tous les m\xE9canismes\
\ cryptographiques, ainsi que l\u2019annexe [RGS_B3], d\xE9di\xE9 aux m\xE9\
canismes d\u2019authentification."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-3
ref_id: '3.2'
name: "R\xE8gles relatives \xE0 la protection des \xE9changes \xE9lectroniques"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node66
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2
description: "Les r\xE8gles de s\xE9curit\xE9 \xE0 respecter pour les fonctions\
\ de s\xE9curit\xE9 d\u2019authentification, de signature \xE9lectronique,\
\ de confidentialit\xE9 et d\u2019horodatage, reposent sur l\u2019emploi de\
\ contremarques de temps dans le cas de l\u2019horodatage \xE9lectronique\
\ et de certificats \xE9lectroniques pour toutes les autres fonctions."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2
ref_id: 3.2.a
name: "R\xE8gles relatives aux certificats \xE9lectroniques"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node68
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a
description: "Les exigences concernant le composant \xAB certificat \xE9lectronique\
\ \xBB sont d\xE9crites dans deux annexes du RGS appel\xE9es respectivement\
\ \xAB Politique de certification type - Personne physique \xBB ([RGS_A2])\
\ et \xAB Politique de certification type - Services applicatifs \xBB ([RGS_A3]).\
\ Elles portent sur le contenu des certificats et sur les conditions dans\
\ lesquelles il est \xE9mis par un prestataire de services de certification\
\ \xE9lectronique (PSCE), ainsi que sur le dispositif de stockage de la cl\xE9\
\ priv\xE9e."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node69
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a
description: "Le RGS offre la possibilit\xE9 de disposer :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node70
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node69
description: "- des certificats mono-usage \xE0 usage d\u2019authentification\
\ de personne physique ou de serveur, de signature, de cachet et de confidentialit\xE9\
\ pour des niveaux une \xE9toile (*), deux \xE9toiles (**) et trois \xE9toiles\
\ (***) (cf. [RGS_A2] et [RGS_A3]) ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node71
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node69
description: "- d\u2019un certificat \xE9lectronique unique, dit \xAB \xE0 double\
\ usage \xBB, pour les fonctions d\u2019authentification de personne physique\
\ et de signature \xE9lectronique. Ce certificat ne peut \xEAtre pr\xE9vu\
\ qu\u2019aux niveaux (*) et (**) (cf. [RGS_A2]). "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.1
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a
ref_id: 3.2.a.1
name: "L\u2019authentification d\u2019une entit\xE9 par certificat \xE9lectronique"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node73
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.1
description: "L\u2019authentification a pour but de v\xE9rifier l\u2019identit\xE9\
\ dont se r\xE9clame une personne ou une machine. La mise en \u0153uvre par\
\ une autorit\xE9 administrative des fonctions de s\xE9curit\xE9 \xAB Authentification\
\ \xBB ou \xAB Authentification serveur \xBB peut se faire selon trois niveaux\
\ de s\xE9curit\xE9 aux exigences croissantes : (*), (**) et (***)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node74
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.1
description: "Ces exigences, d\xE9crites dans les annexes [RGS_A1], couvrent,\
\ pour les trois niveaux de s\xE9curit\xE9, l\u2019ensemble des composants\
\ n\xE9cessaires \xE0 la mise en \u0153uvre de cette fonction de s\xE9curit\xE9\
, \xE0 savoir : "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node75
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74
description: "- la bi-cl\xE9 et le certificat \xE9lectronique dont l\u2019usage\
\ est l\u2019authentification ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node76
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74
description: "- le dispositif d\u2019authentification ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node77
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74
description: "- le module de v\xE9rification d\u2019authentification ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node78
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node74
description: "- l\u2019application d\u2019authentification."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a
ref_id: 3.2.a.2
name: "La signature et le cachet \xE9lectroniques"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node80
assessable: false
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
description: "La signature \xE9lectronique d\u2019une personne permet de garantir\
\ l\u2019identit\xE9 du signataire, l\u2019int\xE9grit\xE9 du document sign\xE9\
\ et le lien entre le document sign\xE9 et la signature. Elle traduit ainsi\
\ la manifestation du consentement du signataire quant au contenu des informations\
\ sign\xE9es."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node81
assessable: false
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
description: "Dans le cas des \xE9changes d\xE9mat\xE9rialis\xE9s faisant intervenir\
\ des services applicatifs, la fonction de \xAB cachet \xBB permet de garantir\
\ l\u2019int\xE9grit\xE9 des informations \xE9chang\xE9es et l\u2019identification\
\ du service ayant \xAB cachet\xE9 \xBB ces informations. Cette fonction de\
\ \xAB cachet \xBB est, pour une machine, l\u2019\xE9quivalent de la fonction\
\ signature pour une personne."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node82
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
description: "La mise en \u0153uvre par une autorit\xE9 administrative des fonctions\
\ de s\xE9curit\xE9 \xAB Signature \xE9lectronique \xBB ou \xAB cachet \xBB\
\ peut se faire selon trois niveaux de s\xE9curit\xE9 aux exigences croissantes\
\ : (*), (**) et (***)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node83
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
description: "Ces exigences, d\xE9crites dans l\u2019annexe [RGS_A1], couvrent,\
\ pour les trois niveaux de s\xE9curit\xE9, l\u2019ensemble des composants\
\ n\xE9cessaires \xE0 la mise en \u0153uvre de cette fonction de s\xE9curit\xE9\
, \xE0 savoir\_:"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node84
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83
description: "- la bi-cl\xE9 et le certificat \xE9lectronique dont l\u2019usage\
\ est la signature \xE9lectronique ou le cachet ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node85
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83
description: "- le dispositif de cr\xE9ation de signature \xE9lectronique ou\
\ de cachet ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node86
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83
description: "- l\u2019application de cr\xE9ation de signature \xE9lectronique\
\ ou de cachet ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node87
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node83
description: "- le module de v\xE9rification de signature \xE9lectronique ou\
\ de cachet."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node88
assessable: false
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
description: "Cas particulier de la signature des actes administratifs au sens\
\ de l\u2019ordonnance du 8 d\xE9cembre 2005"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node89
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node88
description: "Conform\xE9ment \xE0 l\u2019article 8 de l\u2019ordonnance du\
\ 8 d\xE9cembre 2005, les autorit\xE9s administratives doivent respecter les\
\ exigences du RGS lorsqu\u2019elles mettent en \u0153uvre, pour la signature\
\ de leurs actes administratifs, des syst\xE8mes d\u2019information utilisant\
\ des fonctions de s\xE9curit\xE9 d\xE9crites dans le RGS (certificats \xE9\
lectroniques, audit, etc.)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node90
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node88
description: "L\u2019autorit\xE9 administrative d\xE9termine le niveau de s\xE9\
curit\xE9, de une \xE9toile (*) \xE0 trois \xE9toiles (***), requis pour l\u2019\
usage de la signature \xE9lectronique des actes administratifs qu\u2019elle\
\ \xE9met. Elle doit respecter les r\xE8gles d\xE9finies au pr\xE9sent chapitre."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node91
assessable: false
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.2
description: "Cas particulier de la signature \xAB pr\xE9sum\xE9e fiable \xBB\
\ au sens de l\u2019article 1316-4 du Code civil :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node92
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node91
description: "Les exigences techniques d\xE9finies en annexe de l\u2019arr\xEA\
t\xE9 du 26 juillet 2004, et portant sur la d\xE9livrance de certificats \xE9\
lectroniques dits \xAB qualifi\xE9s \xBB au sens du d\xE9cret n\xB0 2001-272\
\ du 30 mars 2001, sont requises pour la g\xE9n\xE9ration de signatures \xE9\
lectroniques \xAB pr\xE9sum\xE9es fiables \xBB au sens de ce d\xE9cret."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node93
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node91
description: "Ces exigences constituent un sous-ensemble de celles contenues\
\ dans le document [RGS_A2] pour le niveau de s\xE9curit\xE9 (***) de la fonction\
\ signature \xE9lectronique, qui pr\xE9voit des exigences suppl\xE9mentaires,\
\ essentiellement en mati\xE8re de format et de variables de temps."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node94
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node91
description: "De ce fait, une signature \xE9lectronique s\xE9curis\xE9e au sens\
\ de l\u2019article 1er du d\xE9cret n\xB0 2001-272 du 30 mars 2001, \xE9\
tablie avec un dispositif s\xE9curis\xE9 de cr\xE9ation de signature certifi\xE9\
\ conforme dans les conditions de l\u2019article 3 et mettant en \u0153uvre\
\ des certificats de signature \xE9lectronique conformes au niveau de s\xE9\
curit\xE9 (***) de [RGS_A2], est de facto \xAB pr\xE9sum\xE9e fiable \xBB\
\ selon ce d\xE9cret et donc au sens de l\u2019article 1316-4 du code civil."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a
ref_id: 3.2.a.3
name: "La confidentialit\xE9"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node96
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3
description: "Le chiffrement constitue le m\xE9canisme essentiel de protection\
\ de la confidentialit\xE9. Cependant, la confidentialit\xE9 des informations\
\ peut aussi \xEAtre prot\xE9g\xE9e par des mesures compl\xE9mentaires de\
\ gestion des droits d\u2019acc\xE8s de chacun (en lecture, en \xE9criture\
\ ou en modification) aux donn\xE9es contenues dans le syst\xE8me d\u2019\
information. \xC0 cet effet, il est recommand\xE9 de mettre en place des m\xE9\
canismes techniques afin de s\u2019assurer que seules les personnes autoris\xE9\
es puissent acc\xE9der aux donn\xE9es en fonction de leur besoin d\u2019en\
\ conna\xEEtre. Ces m\xE9canismes doivent \xEAtre robustes et impl\xE9ment\xE9\
s au plus pr\xE8s du lieu de stockage des donn\xE9es."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node97
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3
description: "La mise en \u0153uvre par une autorit\xE9 administrative de la\
\ fonction de s\xE9curit\xE9 \xAB Confidentialit\xE9 \xBB peut se faire selon\
\ trois niveaux de s\xE9curit\xE9 aux exigences croissantes : (*), (**) et\
\ (***)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node98
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.a.3
description: "Ces exigences, d\xE9crites dans l\u2019annexe [RGS_A1], couvrent,\
\ pour les trois niveaux de s\xE9curit\xE9, l\u2019ensemble des composants\
\ n\xE9cessaires \xE0 la mise en \u0153uvre de cette fonction de s\xE9curit\xE9\
, \xE0 savoir :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node99
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98
description: "- la bi-cl\xE9 et le certificat \xE9lectronique dont l\u2019usage\
\ est le chiffrement ; "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node100
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98
description: '- le dispositif de chiffrement ; '
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node101
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98
description: '- le module de chiffrement ;'
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node102
assessable: true
depth: 6
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node98
description: "- le module de d\xE9chiffrement."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2
ref_id: 3.2.b
name: "R\xE8gles relatives \xE0 l\u2019horodatage \xE9lectronique"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node104
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b
description: "Les exigences concernant le composant \xAB contremarque de temps\
\ \xBB sont d\xE9crites dans l\u2019annexe du RGS\xAB Politique d\u2019horodatage\
\ type \xBB ([RGS_A5]). Elles portent sur le contenu des contremarques de\
\ temps et sur les conditions dans lesquelles il est \xE9mis par un prestataire\
\ de services d\u2019horodatage \xE9lectronique (PSHE)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node105
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b
description: "Une fonction d\u2019horodatage permet d\u2019attester qu\u2019\
une donn\xE9e sous forme \xE9lectronique existe \xE0 un instant donn\xE9.\
\ Cette fonction met en \u0153uvre une contremarque de temps g\xE9n\xE9r\xE9\
e \xE0 l\u2019aide d\u2019un m\xE9canisme cryptographique respectant les r\xE8\
gles et, si possible, les recommandations contenues dans les r\xE9f\xE9rentiels\
\ [RGS_B1] et [RGS_B2]."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node106
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b
description: "Cette contremarque, d\xE9livr\xE9e par un prestataire de services\
\ d\u2019horodatage \xE9lectronique (PSHE),doit respecter les exigences de\
\ l\u2019annexe [RGS_A5], appel\xE9e \xAB Politique d\u2019horodatage type\
\ \xBB."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node107
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b
description: "Cette annexe ne distingue qu\u2019un niveau unique de s\xE9curit\xE9\
, auquel les autorit\xE9s administratives doivent se conformer d\xE8s lors\
\ qu\u2019elles souhaitent mettre en \u0153uvre la fonction d\u2019horodatage\
\ \xE9lectronique au sein de leur syst\xE8me d\u2019information."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node108
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.b
description: "Cas particulier de l\u2019horodatage \xAB pr\xE9sum\xE9 fiable\
\ \xBB, au sens des articles 1369-7 et 1369-8 du code civil"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node109
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node108
description: "Le prestataire qui souhaite proposer un service d\u2019horodatage\
\ b\xE9n\xE9ficiant de la pr\xE9somption de fiabilit\xE9 des articles 1369-7\
\ et 1369-8 du code civil doit respecter les exigences techniques d\xE9finies\
\ dans les articles 3 et 4 du d\xE9cret n\xB0 2011-434 du 20 avril 2011."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node110
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node108
description: "Le prestataire peut utiliser un module d\u2019horodatage qui doit\
\ avoir \xE9t\xE9 certifi\xE9 dans les conditions pr\xE9vues dans le d\xE9\
cret n\xB0 2002-535 du 18 avril 2002 et peut avoir \xE9t\xE9 qualifi\xE9 selon\
\ les formes d\xE9crites dans l\u2019arr\xEAt\xE9 du 20 avril 2011 relatif\
\ \xE0 la reconnaissance de la qualification des prestataires de services\
\ d\u2019horodatage \xE9lectronique et \xE0 l\u2019accr\xE9ditation des organismes\
\ qui proc\xE8dent \xE0 leur \xE9valuation."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node111
assessable: true
depth: 5
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node108
description: "Les exigences du document [RGS_A5] constituent un sous-ensemble\
\ de celles contenues dans le d\xE9cret 20 avril 2011, qui pr\xE9voit quelques\
\ exigences suppl\xE9mentaires de certification des unit\xE9s d\u2019horodatage.\
\ De ce fait, un horodatage \xAB pr\xE9sum\xE9 fiable \xBB au sens de ce d\xE9\
cret et des articles 1369-7 et 1369-8 du code civil est de facto conforme\
\ aux exigences du document [RGS_A5]."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2
ref_id: 3.2.c
name: "Rattachement \xE0 l\u2019infrastructure de gestion de la confiance de\
\ l\u2019administration (IGC/A)"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node113
assessable: true
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c
description: "L\u2019ANSSI offre, parall\xE8lement au RGS, un service de certification\
\ \xE9lectronique qui consiste \xE0 signer l\u2019autorit\xE9 de certification\
\ (AC) racine d\u2019une autorit\xE9 administrative par l\u2019AC de l\u2019\
infrastructure de gestion de la confiance de l\u2019administration - IGC/A."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node114
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c
description: "Les utilisateurs qui doivent se fier \xE0 des certificats d\xE9\
livr\xE9s par ou \xE0 cette autorit\xE9 administrative ou \xE0 ses agents\
\ ont la garantie que ces certificats ont fait l\u2019objet d\u2019une v\xE9\
rification de la cha\xEEne de certification jusqu\u2019au certificat de AC\
\ \xAB IGC/A \xBB."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node115
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c
description: "L\u2019ANSSI est l\u2019autorit\xE9 racine de l\u2019IGC/A."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node116
assessable: false
depth: 4
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:3.2.c
description: "Les r\xE8gles relatives \xE0 la mise en \u0153uvre de l\u2019\
IGC/A sont d\xE9finies dans les politiques de certification de l\u2019IGC/A\
\ [PC_IGC/A]."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4
assessable: false
depth: 1
ref_id: Chapitre 4
name: "R\xE8gles relatives aux accus\xE9s d\u2019enregistrement et aux accus\xE9\
s de r\xE9ception"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node118
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4
description: "L\u2019article 5 de l\u2019ordonnance du 8 d\xE9cembre 2005 pr\xE9\
voit que les accus\xE9s d\u2019enregistrement et les accus\xE9s de r\xE9ception\
\ sont \xE9mis selon un proc\xE9d\xE9 conforme au RGS. Ces accus\xE9s ne constituent\
\ pas en eux-m\xEAmes des fonctions de s\xE9curit\xE9. En revanche, ils peuvent\
\ s\u2019appuyer sur des fonctions de s\xE9curit\xE9 telles que la signature,\
\ le cachet et l\u2019horodatage."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node119
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4
description: "Les accus\xE9s d\u2019enregistrement et de r\xE9ception sont g\xE9\
n\xE9r\xE9s et \xE9mis par les autorit\xE9s administratives \xE0 destination\
\ des usagers. Les autorit\xE9s administratives doivent d\xE9terminer les\
\ fonctions de s\xE9curit\xE9 n\xE9cessaires \xE0 la protection de ces accus\xE9\
s ainsi que leur niveau de s\xE9curit\xE9."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node120
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4
description: "Dans le cas g\xE9n\xE9ral, il est recommand\xE9 que les accus\xE9\
s d\u2019enregistrement et de r\xE9ception \xE9mis en application des dispositions\
\ pr\xE9vues \xE0 l\u2019article 5 de l\u2019ordonnance du 8 d\xE9cembre 2005\
\ :"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node121
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node120
description: "- soient horodat\xE9s avec des contremarques de temps conformes\
\ aux exigences du document [RGS_A_5] pour le niveau de s\xE9curit\xE9 unique\
\ pr\xE9vu par ce document ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node122
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node120
description: "- soient sign\xE9s par un agent d\u2019une autorit\xE9 administrative\
\ (ou cachet\xE9s par une machine d\u2019une autorit\xE9 administrative),\
\ conform\xE9ment aux exigences des documents [RGS_A_2] et [RGS_A_3] pour\
\ le niveau de s\xE9curit\xE9 choisi par l\u2019autorit\xE9 administrative\
\ parmi les niveaux (*), (**) et (***) ;"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node123
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:node120
description: "- utilisent des m\xE9canismes cryptographiques conformes aux r\xE9\
f\xE9rentiels [RGS_B_1] et [RGS_B_2]."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node124
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4
description: "Dans le cas particulier o\xF9 les accus\xE9s sont \xE9mis en application\
\ des dispositions pr\xE9vues \xE0 l\u2019article 5.II de l\u2019ordonnance\
\ du 8 d\xE9cembre 2005, la date figurant sur les accus\xE9s doit faire foi,\
\ ce qui impose de garantir aux usagers un niveau de fiabilit\xE9 suppl\xE9\
mentaire. Les autorit\xE9s administratives doivent en tenir compte dans leur\
\ besoin de s\xE9curit\xE9 et donc dans le choix des fonctions de s\xE9curit\xE9\
\ et des niveaux de s\xE9curit\xE9 associ\xE9s."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node125
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-4
description: "S\u2019agissant de la gestion des accus\xE9s, la sauvegarde des\
\ accus\xE9s d\u2019enregistrement et de r\xE9ception doit \xEAtre assur\xE9\
e dans tous les cas, tant que peuvent survenir d\u2019\xE9ventuelles r\xE9\
clamations de la part des usagers. "
- urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5
assessable: false
depth: 1
ref_id: Chapitre 5
name: "Qualification des produits de s\xE9curit\xE9 et des prestataires de services\
\ de confiance"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node127
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5
description: "Conform\xE9ment \xE0 l\u2019article 4 du d\xE9cret RGS, les autorit\xE9\
s administratives qui d\xE9cident de recourir \xE0 des produits ou prestations\
\ de services vis\xE9s par le RGS recourrent \xE0 des produits de s\xE9curit\xE9\
\ et \xE0 des prestataires de service de confiance qualifi\xE9s ou, \xE0 d\xE9\
faut, s\u2019assurent de la conformit\xE9 au RGS des produits de s\xE9curit\xE9\
\ et services de confiance qu\u2019elles choisissent."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node128
assessable: true
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5
description: "Dans ce cas, elles attestent formellement de la conformit\xE9\
\ au RGS de ces produits de s\xE9curit\xE9 et services de confiance. Elles\
\ adressent ces attestations \xE0 l\u2019ANSSI."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1
assessable: false
depth: 2
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:chapitre-5
ref_id: '5.1'
name: "Qualification des produits de s\xE9curit\xE9"
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node130
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1
description: "La qualification de produits de s\xE9curit\xE9 pr\xE9voit trois\
\ niveaux de qualification :\n- qualification \xE9l\xE9mentaire (d\xE9crite\
\ dans le document [QE]) ;\n- qualification standard (d\xE9crite dans le document\
\ [QS]) ;\n- qualification renforc\xE9e (d\xE9crite dans le document [QR])."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node131
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1
description: "Un produit de s\xE9curit\xE9 est qualifi\xE9 s\u2019il a fait\
\ l\u2019objet d\u2019une attestation de qualification et d\u2019un maintien\
\ de conditions de s\xE9curit\xE9 conforme aux proc\xE9dures d\xE9crites dans\
\ les documents [QE], [QS] et [QR]. L\u2019ANSSI instruit les demandes et\
\ d\xE9livre les attestations de qualification. La proc\xE9dure de qualification\
\ repose sur une certification pr\xE9alable, dans les formes pr\xE9vues par\
\ le d\xE9cret n\xB0 2002-535 du 18 avril 2002 et par l\u2019instruction n\xB0\
\ 1414/ANSSI/SR du 30 mai 2011 relative \xE0 la certification de s\xE9curit\xE9\
\ de premier niveau des produits des technologies de l\u2019information (CSPN)."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node132
assessable: false
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1
description: "Le niveau \xE9l\xE9mentaire est accord\xE9 sur la base d\u2019\
une CSPN. Les niveaux standard et renforc\xE9 le sont sur la base d\u2019\
une certification \xAB Crit\xE8res communs \xBB. Cependant, s\u2019agissant\
\ d\u2019un label sp\xE9cifique pour l\u2019administration, l\u2019ANSSI proc\xE8\
de \xE0 des contr\xF4les compl\xE9mentaires. Elle valide ainsi la cible de\
\ s\xE9curit\xE9 au regard des besoins de l\u2019administration et r\xE9alise\
\ ou fait r\xE9aliser des tests relatifs \xE0 la cryptologie et son impl\xE9\
mentation, sur la base des annexes B du RGS."
- urn: urn:intuitem:risk:req_node:rgs-v2.0:node133
assessable: true
depth: 3
parent_urn: urn:intuitem:risk:req_node:rgs-v2.0:5.1
description: "Pour garantir la coh\xE9rence des objectifs et des exigences de\
\ s\xE9curit\xE9, il est recommand\xE9 que la cible de s\xE9curit\xE9 soit,\
\ autant que possible, conforme \xE0 un des profils de protection propos\xE9\
s par l\u2019ANSSI (https://www.ssi.gouv.fr/fr/certification-qualification/cc/profils-de-protection/).\
\ L\u2019ANSSI publie \xE9galement le catalogue des produits de s\xE9curit\xE9\
\ qualifi\xE9s : https://www.ssi.gouv.fr/fr/produits-et-prestataires/produitsqualifies/."