En direct

Le référentiel général de sécurité – RGS et les certificats de signature électronique dans les marchés publics Informations pratiques pour l’échéance du 19 mai 2013

le 17/05/2013

Ma newsletter personnalisée

Ajouter ce(s) thème(s) à ma newsletter personnalisée

Valider
Dématérialisation -

Fiche du 15 avril 2013 Direction des affaires juridiques ministère de l’économie et des finances

I / Le RGS

Le référentiel général de sécurité prévu par l’article 9 de l’ordonnance n° 2005-1516 du 8 décembre 2005 (1) fixe les règles auxquelles les systèmes d’information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l’intégrité de ces systèmes et l’identification de leurs ­utilisateurs.

L’article 14 de l’ordonnance fixe le calendrier qui s’impose aux autorités administratives pour la mise en conformité de leurs systèmes d’information avec le RGS : « Les systèmes d’information existant à la date de publication du référentiel général de sécurité mentionné au I de l’article 9 sont mis en conformité avec celui-ci dans un délai de trois ans à compter de cette date. Les applications créées dans les six mois suivant la date de publication du référentiel sont mises en conformité avec celui-ci au plus tard douze mois après cette date ».

Compte tenu de la date de parution de l’arrêté approuvant le RGS (18 mai 2010), la date limite fixée par l’ordonnance est le 19 mai 2013.

Pour les systèmes d’information relatifs aux marchés publics, cela signifie que la mise en conformité avec le RGS doit intervenir au plus tard le 19 mai 2013, et qu’à compter de cette date, seuls les produits ou services conformes au RGS (ou à des conditions de sécurité équivalentes) devront être utilisés.

Les règles fixées sont définies selon des niveaux de sécurité prévus par le référentiel pour des fonctions de sécurité, telles que l’identification, la signature électronique, la confidentialité ou l’horodatage.

La conformité d’un produit de sécurité et d’un service de confiance à un niveau de sécurité prévu par ce référentiel peut être attestée par une qualification.

L’ordonnance du 8 décembre 2005 prévoit que l’autorité administrative détermine pour chaque système d’information, après étude des risques, le niveau de sécurité requis parmi les niveaux prévus par le RGS (niveau *, ** ou ***). Les échanges intervenant via le système d’information doivent par la suite respecter les règles correspondantes. Pour les marchés publics, si le profil d’acheteur requiert un niveau de sécurité ** du RGS, tous les produits utilisés sur le profil d’acheteur, dont le certificat de signature électronique, devront correspondre au moins aux préconisations du niveau ** du RGS. Cela signifie que la plateforme devra reconnaître et accepter les produits de niveau ** et ***, mais pas ceux de niveau *.

II / Les certificats

Les documents qui doivent être signés par l’opérateur économique le sont au moyen d’un certificat de signature électronique. Pour les marchés publics, les principaux documents sont l’acte de candidature et l’acte d’engagement. Ces documents sont les seuls devant être signés par application du code des marchés publics.

Le certificat électronique est une pièce d’identité électronique. Il contient l’identité du titulaire (une personne physique) et l’identité de la personne morale pour laquelle le certificat est délivré. Celui-ci est stocké sur une clé USB à crypto processeur, une carte à puce, ou sur le PC de l’utilisateur, selon le besoin de l’utilisateur (authentification ou / et signature).

Le RGS autorise la signature des documents électroniques en utilisant une clé privée associée à un certificat mono usage, dédié à la signature, ou à un certificat double usage combinant à la fois les fonctions d’authentification et de ­signature (mais il n’y a pas de certificats « double usage » de niveau 3 étoiles)

Les signataires utilisent le certificat de leur choix parmi l’une des trois catégories définies par l’arrêté du 15 juin 2012 relatif à la signature électronique dans les marchés publics. Toutes les catégories de certificats conformes au RGS ou à des conditions de sécurité équivalentes sont utilisables (dès lors que le certificat est utilisable pour les marchés publics : se renseigner auprès des prestataires sur les conditions de commercialisation)

Prestataires qualifiés et produits qualifiés

Des certificats de signature qualifiés RGS sont commercialisés par des prestataires de services de confiance qualifiés.

La liste des organismes habilités par l’ANSSI à qualifier des prestataires de service de confiance est disponible à l’adresse suivante :

http ://www.ssi.gouv.fr/fr/certification-qualification/qualification-d-un-prestataire-­de-service-de-confiance/organismes-de-qualification-habilites.html

La société LSTI (La Sécurité des Technologies de l’Information), organisme accrédité par le COFRAC, est, au 15 avril 2013, la seule entité habilitée à qualifier des prestataires de service de confiance qualifiés.

Une liste des prestataires qualifiés au sens du RGS figure sur le site de LSTI (auquel on accède également via celui de l’ANSSI : http ://www.ssi.gouv.fr/fr/produits-et-prestataires/prestataires-de-services-de-confiance-qualifies/) :

http ://www.lsti-certification.fr/

Il n’existe pas de liste officielle (ni même officieuse) des produits RGS commercialisés et utilisables pour les marchés publics.

Toutefois, en page d’accueil du site de LSTI, l’onglet « Prestataires qualifiés RGS » permet d’accéder à un tableau (format pdf) dénommé « Liste des prestataires de certification électronique qualifiés »

Ce tableau fournit les noms des prestataires et donne la liste, pour chacun d’eux, des produits ou services qu’il a développé et parmi lesquels, pour certains prestataires, figurent des certificats qui permettent la signature des candidatures et des offres (2).

Les sites Internet des prestataires ne renseignent pas toujours clairement sur les certificats de signature proposés.

Il est donc pratiquement toujours nécessaire (et prudent) de les contacter afin de connaître leurs produits, leurs conditions d’utilisation, et leurs coûts.

Certains de ces prestataires (ou Autorités de certification) commercialisent (3) des certificats permettant à des entreprises de répondre aux marchés publics (information à la date du 15 avril 2013, sous réserve de vérification) : l’Assemblée permanente des Chambres de Métiers, Certeurope, Certinomis, Chambersign France (association créée par les Chambres de commerce et d’industrie), Click & Trust, Dhimyotis, Keynectis (l’onglet « certificats », en haut et à gauche de la page d’accueil, conduit au site Internet de SSL Europa, son distributeur), NATIXIS (mais uniquement auprès des entreprises ayant un compte ouvert chez NATIXIS), SG Trust Services (Société Générale) (4).

Certains produits font par ailleurs l’objet d’un référencement, lequel atteste que le certificat est interopérable (5). On accède aux produits référencés par le lien suivant (6) :

http ://references.modernisation.gouv.fr/liste-des-offres-r f renc es

Les listes de confiance

L’arrêté du 15 juin 2012 prévoit que le certificat de signature utilisé puisse appartenir à l’une des catégories de certificats délivrées par une autorité de certification figurant sur la liste de confiance d’un Etat-membre, telle qu’établie, transmise et mise à la disposition du public par voie électronique par la Commission européenne.

La « liste de listes de confiance » ainsi tenue par la Commission européenne (European Commission : List of Trusted List information as notified by Member States) permet d’accéder aux listes de confiance des Etats-membres.

Cette liste est provisoirement accessible sous format XML et sous format PDF aux adresses respectives suivantes :

https ://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml

https ://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-hr.pdf

La « liste de confiance française » (Trust-service Status List – TSL) est également disponible au format « machine » XML sur le site :

http ://references.modernisation.gouv.fr/fr

Les informations figurant sur une liste de confiance permettent la vérification facilitée de la signature électronique ; mais ces listes ne citent généralement pas les produits ou services, seulement les entités bénéficiant de la confiance. Elles ne peuvent donc suffire à opérer le contrôle de la conformité ou de l’équivalence au RGS. En pratique, ces listent comportent des informations principalement destinées à des machines, les rendant inutilisables pour des personnes.

Le profil d’acheteur permet généralement d’assister le pouvoir adjudicateur dans la vérification de la signature électronique, la plateforme pouvant récupérer les éléments des listes de confiance disponibles en mode de lecture « machine » pour un examen automatisé du certificat de signature.

Il est donc possible, via la liste de confiance européenne, d’accéder aux TSL des Etats membres (notamment la liste de confiance française), c’est-à-dire aux entités habilitées à délivrer des certificats dont les autorités de certification des différents Etats considèrent qu’ils répondent aux exigences de sécurité fixées par ceux-ci (7).

Il est aussi possible d’accéder à ces listes de confiance par l’outil EU Trust Service status List (TSL) Analysis Tool disponible à l’adresse suivante :

http ://eutsl.3xasecurity.com/tools/

Lorsque le certificat de signature émane d’une entité figurant sur la liste de confiance française ou d’une liste de confiance d’un autre Etat-membre, c’est-à-dire qu’il peut être relié à un ­prestataire ou un produit de sécurité référencé par la France ou, pour les autres Etats-membres, par la Commission européenne, la conformité du produit au RGS est présumée, et les seules vérifications à opérer sont celles du niveau de sécurité (*, ** ou *** ou leurs niveaux équivalents) et de la validité de la signature.

La responsabilité de l’acheteur

La vérification des certificats de signature électronique et de la validité de la signature elle-même font partie des fonctionnalités classiques d’un profil d’acheteur, sans que l’acheteur ait dû se doter des compétences techniques pour les examiner.

Toutefois, il faut insister sur le fait que, quel que soit le niveau d’automatisation des contrôles opérés, et quel que soit le résultat obtenu, l’acheteur a le pouvoir d’accepter ou de refuser une candidature ou une offre. Il en supporte bien sûr les conséquences, notamment en cas de contentieux ; si, en fonction des clauses de son contrat, la responsabilité du gestionnaire du profil d’acheteur peut être recherchée, elle n’exonère pas l’acheteur de sa responsabilité, la décision lui appartenant seul.

Logiquement, les certificats PRIS v1 ont vocation à disparaître après le 18 mai 2013, sauf à démontrer qu’ils garantiraient un niveau de sécurité équivalent aux prescriptions obligatoires du RGS.

Malgré l’échéance du 19 mai 2013, il est possible que certains profils d’acheteur refusent des certificats qualifiés RGS, ou au contraire continuent à accepter des certificats PRIS v1.

Si une certaine souplesse est acceptable dans les premières semaines de la date fatidique du 19 mai 2013, cette situation ne peut être que transitoire.

En tout état de cause, comme énoncé plus haut, l’acheteur devra systématiquement accepter tous les certificats qualifiés RGS, sous réserve que ceux-ci correspondent au niveau de sécurité (*, ** ou ***) rendu obligatoire par l’acheteur, principe qui vaut également pour tous les certificats équivalents au RGS.

Dans ce contexte, il ne faut pas non plus oublier que, comme pour les marchés non dématérialisés, la vérification de la capacité du signataire à engager l’entreprise reste à effectuer par ­l’acheteur.

Commentaire

L’arrêté du 6 mai 2010 approuvant le référentiel général de sécurité (RGS) a fixé au 19 mai 2013 la date limite pour la mise en conformité des systèmes d’information relatifs aux marchés publics. À compter de cette date, seuls les certificats de signature électronique conformes au RGS (ou à des conditions de sécurité équivalentes) pourront être utilisés sur les sites de dématérialisation. Rappelons que le référentiel général de sécurité fixe « les règles auxquelles les systèmes d’information mis en place par les autorités administratives doivent se conformer pour assurer la sécurité des informations échangées, et notamment leur confidentialité et leur intégrité, ainsi que la disponibilité et l’intégrité de ces systèmes et l’identification de leurs ­utilisateurs ».

Afin d’accompagner au mieux les praticiens, la direction des affaires juridiques de Bercy énumère, dans une fiche technique publiée ci-dessous, l’ensemble des éléments à prendre en compte d’ici au 19 mai.

(1) Ordonnance relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives. (2) La qualification de ces produits ou services relève de l’ANSSI. (3) A la date du 15 avril 2013.(4) CRYPTOLOG International devrait commercialiser un produit d’ici septembre 2013, son dossier étant en cours de traitement par LSTI. (5) Les certificats une étoile et les certificats « double usage » (authentification et signature) ne sont pas référençables ; seuls sont référençables les certificats de signature (mono usage) deux et trois étoiles, et les certificats d’authentification (mono usage) deux et trois étoiles. (6) Il y a davantage de produits référencés que ceux qui figurent sur cette liste, mais ils sont utilisés en interne par le prestataire et ne sont donc pas commercialisés. (7) De même que tous les prestataires qualifiés par LSTI ne conçoivent pas ou ne commercialisent pas des certificats permettant de soumissionner à un marché public, les produits ou services portés sur ces TSL ne sont pas tous conçus pour signer une candidature ou une offre.

Éditions du Moniteur Le Moniteur boutique

Construire avec le bois

Construire avec le bois

Date de parution : 12/2019

Voir

Exécution des marchés publics

Exécution des marchés publics

Date de parution : 11/2019

Voir

Comprendre simplement la résistance des matériaux

Comprendre simplement la résistance des matériaux

Date de parution : 11/2019

Voir

Accéder à la Boutique

Les bonnes raisons de s’abonnerAu Moniteur

  • La veille 24h/24 sur les marchés publics et privés
  • L’actualité nationale et régionale du secteur du BTP
  • La boite à outils réglementaire : marchés, urbanismes, environnement
  • Les services indices-index
Je m’abonne
Supports Moniteur