Référentiel général de sécurité de la Nouvelle-Calédonie

Le Référentiel général de sécurité de la Nouvelle Calédonie (RGSNC) est l’outil réglementaire permettant de sécuriser les échanges entre les usagers et les administrations et les échanges entre administrations. 

En effet, il définit les règles permettant de garantir aux citoyens et aux administrations un niveau de sécurité de leurs systèmes d’information adapté aux enjeux et risques grandissants liés à la cybersécurité. 

Il vise ainsi à renforcer la confiance numérique des usagers dans les téléservices développés par la Nouvelle-Calédonie. 

Le RGSNC est défini aux articles 12 et suivants de la délibération n° 140/CP du 16 avril 2021 portant diverses mesures relatives à l’administration numérique de la Nouvelle-Calédonie. 

Télécharger le RGSNC 

Composition 

Il s’agit d’un corpus documentaire adapté de la version métropolitaine, composé d’un document principal et de ses annexes, qui s’adresse : 

Aux administrations, et en particulier au service en charge de la sécurité des systèmes d’information ,

Et, de manière indirecte, aux prestataires de services de confiance. 

Périmètre 

Le RGSNC ne s’applique qu’aux systèmes d’information permettant des échanges avec les usagers, dont les téléservices, et les échanges entre administrations. Il ne concerne donc pas les systèmes d’information internes, qui sont du ressort de la politique de sécurité propre à chaque organisation. 

Contenu 

Le RGSNC rappelle la méthodologie d’analyse des risques permettant d’identifier les menaces et de définir les mesures couvrant les risques. Il propose également les règles et bonnes pratiques qui doivent être mises en œuvre par les administrations lorsqu’elles recourent à des prestations spécifiques : signature électronique, horodatage électronique, chiffrement, etc. 

Différences avec la version applicable en métropole

Les principales différences avec le RGS métropolitain sont les absences de dispositions relatives à la validation des certificats par l’Etat, de disposition sur l’homologation et sur la qualification des prestataires d’audits de sécurité. 

Le règlement européen eIDAS 

Le Règlement européen « eIDAS » n°910/2014 du 23 juillet 2014 vise à accroître la confiance dans les transactions électroniques au sein du marché intérieur, en établissant un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.

La Nouvelle-Calédonie étant un Pays et Territoires d’Outre-Mer, celui-ci ne s’applique pas en Nouvelle-Calédonie. 

Pour autant, le socle commun de normes et de références concernant les services de confiance qualifié apparaît de nos jours comme le nouvel état de l’art en la matière. 

Pour cette raison, l’article 2 de l’arrêté portant application de la délibération n° 140/CP du 16 avril 2021 permet aux administrations de protéger leurs systèmes d’information impactés par le RGSNC avec les références des services de confiance issus du règlement européen eIDAS pour ce qui concerne la signature électronique, l’horodatage électronique, et la confidentialité.

Procédures à destination des prestataires pour être qualifiés 

La Nouvelle-Calédonie a décidé de se référer à l’état de l’art en vigueur en métropole en matière de qualification des prestataires de services de confiance, de leurs services ainsi que des produits de sécurité. 

Les prestataires ayant leur établissement en Nouvelle-Calédonie sont invités à se rapprocher des autorités de certification en métropole ou de prendre contact avec des prestataires déjà qualifiés afin de devenir bureau d’enregistrement local. 

Qualification RGSNC

La qualification atteste du respect par le prestataire des exigences de qualité et de sécurité dans la production de ses services de certification électronique.

Cette qualification est délivrée pour 2 ans, avec un audit complet tous les 2 ans, la surveillance est facultative. 

Conformément à l’article 3. I de l’arrêté susvisé, les prestataires de service de confiance ayant leur établissement en Nouvelle-Calédonie souhaitant recevoir une qualification en référence au RGSNC se réfèrent aux procédures définies par les règles en vigueur en métropole en vertu du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.

Qualification eIDAS 

Conformément à l’article 3. II de l’arrêté susvisé, les prestataires de service de confiance ayant leur établissement en Nouvelle-Calédonie souhaitant recevoir une qualification  en référence au réglement européen eIDAS se réfèrent aux procédures définies par les règles en vigueur en métropole en vertu du règlement eIDAS, pour ce qui concerne la signature électronique, le cachet électronique, les certificats d’authentification de site internet et l’horodatage.

Recours par les administrations à des prestataires, services et produits qualifiés

En application de l’article 5 de l’arrêté susvisé, les administrations se réfèrent aux listes de produits de sécurité, de services de confiance et de prestataires de services de confiance qualifiés en vigueur en métropole établies par les autorités nationales. 

Liste des prestataires de services de confiance qualifiés 

RGS 

La liste est disponible à l’adresse suivante : 

https://www.ssi.gouv.fr/entreprise/qualifications/prestataires-de-servic...

Et à l’adresse suivante : 

https://clubpsco.fr/presentation-des-membres/ 

eIDAS 

La liste est disponible à l’adresse suivante : 

https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le...

Liste des produits et services qualifiés 

La liste est disponible à l’adresse suivante : 

https://www.ssi.gouv.fr/uploads/liste-produits-et-services-qualifies.pdf 

Besoin d’aide ? 

La DINUM reste à disposition pour tout complément d’information à l’adresse suivante, avec “Assistance RGSNC” en objet du mail : assistance-dinum@gouv.nc 

Liens utiles