L'homologation RGS demeure obligatoire même avec l'arrivée du règlement européen eIDAS

Grâce au règlement européen eIDAS sur les transactions électroniques et les services de confiance, qui ont vu le jour le 23 Juillet 2014, le marché européen connait une évolution au niveau numérique et économique.

Le citoyen n’est plus lié à son pays d’origine vu que l’identité électronique délivrée par n’importe quel état membre, peut être utilisée pour les services proposés par d’autres.

Au niveau national, nous disposons d’un Référentiel Général de Sécurité (RGS) destiné principalement aux Autorités Administratives, dans le but d’apporter de la confiance aux citoyens dans l’utilisation des services publics en ligne.

La question qui se pose est donc l’impact du nouveau règlement européen sur nos droits nationaux, en tant que citoyen, entreprise ou Autorité Administrative.

RGS ou eIDAS, pourquoi faire ?

Sur un périmètre ne dépassant pas les frontières françaises, le RGS regroupe un ensemble de règles et recommandations en matière de sécurité des SI visant trois familles de public

  • Les Autorités Administrative procèdent à une démarche d’homologation, définie en 5 étapes, de leurs télé-services existants ou en tant que projet envisagé.
  • Les Prestataires de service de confiance visés par le RGS en 3 catégories (PSCE, PSHE, et PASSI) souhaitent proposer leurs services aux Autorités Administratives.
  • Les fournisseurs de produit de sécurité

Sur une échelle macroscopique, le règlement eIDAS intervient sur les échanges électroniques entre les personnes physiques ou morales et les Autorités Administratives, afin d’établir un cadre juridique clair de reconnaissance de services de confiance électronique entre les Etats Membres.

Le règlement traite principalement deux aspects, et ne met aucun lien d’obligation entre les deux parties. Une première partie sur l’identification électronique, s’adresse aux usagers du secteur public, en définissant un cadre juridique avec un ensemble d’exigences à respecter par les Etats Membres qui veulent proposer aux citoyens européens des schémas d’identification électroniques. La seconde partie, quant à elle s’adresse aux prestataires de services de confiance définis selon le règlement comme une personne physique ou morale qui fournit un ou plusieurs services de confiance contre une rémunération.

Le règlement met à disposition de ce type de prestataires, un ensemble de règles à suivre pour permettre une reconnaissance mutuelle des services de confiance au sein de l’UE, dans le but de développer les échanges électroniques entre les Etats Membres d’une manière simple et sécurisée.

L’homologation RGS demeure toujours obligatoire

Le règlement eIDAS n’induit aucune obligation pour les administrations afin de recourir à des moyens d’identifications électroniques notifiés ou à suivre une démarche d’homologation avant de mettre en place un télé-service ;

En contrepartie, l’homologation des télé-services dans le sens du RGS qui s’appuie sur une démarche en cinq étapes dont le cœur est la gestion des risques, n’est pas impactée par les textes de la commission européenne.

L’objectif de l’homologation est de proposer aux citoyens un télé-service d’un niveau de sécurité adapté au besoin de sécurité, en prenant les mesures nécessaires de protection des données des citoyens.

Quelles valeurs ajoutées peut-on extraire du règlement eIDAS ?

Au niveau économique, eIDAS concrétise la vision de la commission européenne du marché unique numérique à travers la reconnaissance de l’identité électronique et les services de confiances par tous les Etats Membres.

La sécurité est l’élément le plus avantageux, vu que la plupart des dispositions du règlement se basent sur des normes et recommandations internationales. 

Du point de vue juridique, le format électronique sera reconnu par tous services juridiques établis au sein de l’union.

Qui profitera le plus de la mise en place d’eIDAS ?

Citoyens, Autorités Administratives, Entreprises, tout acteur de la sphère économique de marché européen.

Pour un citoyen européen, cela facilitera l’accès aux services en ligne des autres Etats membres sans avoir à se déplacer. Il pourrait par exemple signer électroniquement des documents, tout en étant protégé contre toute fraude.

La confiance dans  les services en ligne augmentera le taux d’utilisation par les citoyens. Ce qui ne peut qu’être bénéfique pour les organismes qui exigent l’utilisation d’une identité électronique eIDAS. A titre d’exemple, la dernière version de la Directive contre le blanchissement d’argent « 4AMLD » (4th Anti-Money Laundering Directive), oblige les organismes bancaires d’avoir recours à une identité électronique eIDAS pour tout transfert d’argents.

L’ANSSI au cœur des deux textes

L’ANSSI auteur du RGS en collaboration avec la DGME (Direction Générale de la Modernisation de l’Etat), est garante de sécurité de tout schéma d’identification électronique notifié par les Autorités Administratives nationales. Cela implique que tout schéma doit être vérifié par l’ANSSI avant de faire l’objet d’une demande de notification à la commission européenne.

D’une autre part, les prestataires de services sont contrôlés par l’ANSSI, avant toute qualification conforme au RGS, ou une labélisation européenne suite à une conformité aux exigences du règlement eIDAS, pour enfin publier une liste de confiance de ces prestataires pouvant exercer leurs activités à l’échelle européenne.


Mohamed Zaki
 

Mohamed Zaki Ettaj

Consultant en sécurité, j’ai effectué un stage chez Orange Cyberdefense début 2016. L'expérience fut à la fois enrichissante et formatrice s'achevant par une embauche au terme du stage. C'est donc à travers des missions d’audit, de conseil et de veille que je participe constamment à l’amélioration de la sécurité des systèmes d’information dans ses deux aspects technique et organisationnel.