La politique de la direction de programme @CTES en matière d'authentification des émetteurs

Grâce à la bonne volonté et à la prise de conscience des émetteurs et des opérateurs, plus de 80 % des émetteurs s'authentifient aujourd’hui à l'aide de certificats RGS (authentification forte demandée aux émetteurs sur @CTES depuis 2005).

Pour les moins de 20% restant, la Direction de programme @CTES (DPA) rappelle qu’en application de l’ordonnance du 8 décembre 2005[1] et du décret du 2 février 2010[2], les utilisateurs d’un système d’information de l’Etat doivent, pour s’y connecter, s’authentifier à l’aide d’un certificat conforme aux exigences du RGS tel qu’approuvé par l’arrêté du 13 juin 2014[3].

Ces textes ont conduit la DPA à évaluer le niveau de sécurité requis pour assurer le maintien en condition opérationnelle du système d’information dont elle a la charge. Les niveaux d’exigences ont été déterminés après une étude des risques. Nous demandons:

  • Pour les agents émetteurs, des certificats d’authentification personnels qualifiés selon le RGS au niveau 2*, pour l’accès direct à la fonction de transmission ;
  • Pour l’accès d’un serveur exploité par l’émetteur pour accéder à la fonction de transmission, des certificats d’authentification serveurs qualifiés selon le RGS au niveau 1*[4].

Rappelons que selon les termes de l’article R. 2131-1 du Code général des collectivités territoriales, il appartient aux opérateurs de transmission d’assurer la sécurité de la chaîne de confiance @CTES, y compris par la sensibilisation et l’accompagnement des collectivités territoriales, leurs clientes.

Toujours selon les termes de l’article R. 2131-1 du Code général des collectivités territoriales, les opérateurs de transmission ont l’obligation d’assurer l’identification et l’authentification de la collectivité territoriale émettrice.

Ainsi, il est demandé à tous les opérateurs de transmission de veiller au respect de ces exigences, y compris quand un opérateur de mutualisation s'est intercalé sur la chaîne de confiance entre la collectivité et l'opérateur de transmission bénéficiant d’une convention de raccordement avec le ministère de l'intérieur.

 

[1] Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

[2] Décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

[3] Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques.

[4] Le seul cas où la transmission sur le système d’information @CTES ne requiert pas d’authentification au moyen de certificats d’authentification utilisateurs RGS** est celui des collectivités de taille importante où l’envoi des actes est effectué directement depuis un serveur situé sur le réseau même de la collectivité. Dans cette hypothèse, les agents s’identifient à ce serveur par simple login / mot de passe pour accéder à la fonction de transmission ; ce système nécessite une authentification serveur de niveau RGS*.

Dernière modification  : 12/04/2016