Le référentiel général de sécurité version 2.0 : les documents
Le corps du référentiel général de sécurité version 2.0
Il s’adresse aux autorités administratives, aux prestataires de services de confiance et aux organisations fournissant des produits de sécurité
Pour les autorités administratives, il édicte des exigences (analyse de risques, homologation de sécurité, suivi du système d’information) et recommande un certain nombre de bonnes pratiques
Pour les prestataires de services de confiance et les organisations fournissant des produits de sécurité, il édicte des exigences relatives à la qualification des produits de sécurité et des prestataires de services de confiance
Les annexes du référentiel général de sécurité version 2.0
L’annexe A1 du référentiel général de sécurité
L’annexe A1 s’adresse aux autorités administratives
Elle contient les règles de sécurité à appliquer pour les téléservices nécessitant l’utilisation de certificats électroniques
L'annexe A1 du référentiel général de sécurité porte sur les règles relatives à la mise en œuvre des fonctions de sécurité basées sur l’emploi de certificats électroniques (version 3.0 du 27 février 2014)
Les annexes A2 à A5 du référentiel général de sécurité version 2.0
Les annexes A2 à A5 s’adressent aux prestataires de services de confiance visant une qualification et à l’organisme chargé de leur qualification ;
Elles listent les règles que les prestataires de services de certification électronique (PSCE), délivrant des certificats électroniques à des personnes (A2), à des services applicatifs (A3), doivent respecter ;
Les règles, communes à toutes les fonctions de sécurité à base de certificats traitées dans les PC Types (annexes A2 et A3) sont regroupées dans l’annexe A4 ;
L’annexe A5 présente la politique d'horodatage type (PH Type) destinée aux prestataires de services d'horodatage électronique (PSHE) souhaitant fournir des contremarques de temps à des usagers, des agents ou des applications.
Annexe A2
Politique de Certification Type « certificats électroniques de personne » (version 3.0 du 27 février 2014)
PDF - 1,2 Mio
Annexe A3
Politique de Certification Type « certificats électroniques de services applicatifs » (version 3.0 du 27 février 2014)
PDF - 1,2 Mio
Errata de l'annexe A3
Politique de Certification Type « certificats électroniques de services applicatifs » (version 1.0 du 19 octobre 2016)
PDF - 311,3 Kio
Annexe A4
Profils de certificats / LCR / OCSP et algorithmes cryptographiques (version 3.0 du 27 février 2014)
PDF - 458,8 Kio
Information relative à l’application des annexes A3 et A4 : Pour les certificats d’authentification serveur SSL/TLS devant être reconnus par les navigateurs Internet, et en cas d’incompatibilité entre les exigences définies par le CA/Browser Forum et celles définies dans le RGS, les exigences définies par le CA/Browser Forum sont à prendre en compte en priorité. Les incompatibilités identifiées et les solutions retenues doivent être notifiées à l’adresse RGS@ssi.gouv.fr préalablement à leur implémentation.
Les annexes B1 à B3 du référentiel général de sécurité version 2.0
Les annexes B1 à B3 s’adressent aux autorités administratives, aux prestataires de services de confiance et aux développeurs de produits ;
Elles contiennent les règles et recommandations à appliquer lors de l’utilisation de mécanismes cryptographiques.
Annexe B1
Mécanismes cryptographiques - Règles et recommandations concernant le choix et le dimensionnement de mécanismes cryptographiques - v2.04 du 01/01/2020
PDF - 531,4 Kio
Annexe B2
Gestion des clés cryptographiques - Règles et recommandations concernant la gestion des clés utilisées dans les mécanismes cryptographiques (version 2.00 du 8 juin 2012)
PDF - 528,4 Kio
Annexe B3
Authentification - Règles et recommandations concernant les mécanismes d’authentification (version 1.0 du 13 janvier 2010)
PDF - 254,0 Kio
L’annexe C du référentiel général de sécurité version 2.0
Elle s’adresse aux prestataires d’audit de sécurité des systèmes d’information et aux organismes chargés de la qualification des prestataires d’audit de sécurité des systèmes d’information ;
Elle contient le référentiel d’exigences applicable (activités d’audit visées, modalités de la qualification, etc.) ;
Référentiel d’exigences (version 2.0 du 14 février 2013)
Prestataires d’audit de la sécurité des systèmes d’information
PDF - 727,8 Kio