Référentiel général de sécurité : mise en conformité obligatoire pour les certificats de signature électronique
À compter du 19 mai prochain, seuls les produits et services certifiés conformes au référentiel général de sécurité (RGS) pourront être acceptés dans le cadre d'un marché public. En effet, comme le rappelle le ministère de l'Économie dans une fiche pratique publiée en vue de cette échéance, « les systèmes d'information existant à la date de publication du référentiel général de sécurité […] sont mis en conformité avec celui-ci dans un délai de trois ans à compter de cette date ». L'arrêté approuvant le RGS datant du 18 mai 2010, la date limite pour la mise en conformité est donc fixée au 19 mai 2013.
Cela signifie que les acheteurs devront veiller notamment à utiliser des certificats de signature électronique conformes au RGS ou d'un niveau de sécurité équivalent attesté. Bercy indique ainsi que « les certificats PRIS v1 ont vocation à disparaître après le 18 mai 2013, sauf à démontrer qu’ils garantiraient un niveau de sécurité équivalent aux prescriptions obligatoires du RGS ».
À noter que des certificats de signature qualifiés RGS sont commercialisés par des prestataires de services de confiance qualifiés. Ces prestataires ne peuvent actuellement être habilités que par une seule société, la LSTI (La Sécurité des Technologies de l’Information). Le ministère de l'Économie indique qu'il suffit de se rendre sur le site de celle-ci pour obtenir la liste des prestataires qualifiés au sens du RGS.
Sources :