Référentiel général de sécurité de la Nouvelle-Calédonie
Le Référentiel général de sécurité de la Nouvelle Calédonie (RGSNC) est l’outil réglementaire permettant de sécuriser les échanges entre les usagers et les administrations et les échanges entre administrations.
En effet, il définit les règles permettant de garantir aux citoyens et aux administrations un niveau de sécurité de leurs systèmes d’information adapté aux enjeux et risques grandissants liés à la cybersécurité.
Il vise ainsi à renforcer la confiance numérique des usagers dans les téléservices développés par la Nouvelle-Calédonie.
Le RGSNC est défini aux articles 12 et suivants de la délibération n° 140/CP du 16 avril 2021 portant diverses mesures relatives à l’administration numérique de la Nouvelle-Calédonie.
Le RGSNC a été approuvé par l'arrêté n° 2022-309/GNC du 28 décembre 2022 portant application de la délibération n° 140/CP du 16 avril 2021 portant diverses mesures relatives à l’administration numérique de la Nouvelle-Calédonie.
Télécharger le RGSNC
Composition
Il s’agit d’un corpus documentaire adapté de la version métropolitaine, composé d’un document principal et de ses annexes, qui s’adresse :
Aux administrations, et en particulier au service en charge de la sécurité des systèmes d’information ,
Et, de manière indirecte, aux prestataires de services de confiance.
Périmètre
Le RGSNC ne s’applique qu’aux systèmes d’information permettant des échanges avec les usagers, dont les téléservices, et les échanges entre administrations. Il ne concerne donc pas les systèmes d’information internes, qui sont du ressort de la politique de sécurité propre à chaque organisation.
Contenu
Le RGSNC rappelle la méthodologie d’analyse des risques permettant d’identifier les menaces et de définir les mesures couvrant les risques. Il propose également les règles et bonnes pratiques qui doivent être mises en œuvre par les administrations lorsqu’elles recourent à des prestations spécifiques : signature électronique, horodatage électronique, chiffrement, etc.
Différences avec la version applicable en métropole
Les principales différences avec le RGS métropolitain sont les absences de dispositions relatives à la validation des certificats par l’Etat, de disposition sur l’homologation et sur la qualification des prestataires d’audits de sécurité.
Le règlement européen eIDAS
Le Règlement européen « eIDAS » n°910/2014 du 23 juillet 2014 vise à accroître la confiance dans les transactions électroniques au sein du marché intérieur, en établissant un socle commun pour les interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités publiques.
La Nouvelle-Calédonie étant un Pays et Territoires d’Outre-Mer, celui-ci ne s’applique pas en Nouvelle-Calédonie.
Pour autant, le socle commun de normes et de références concernant les services de confiance qualifié apparaît de nos jours comme le nouvel état de l’art en la matière.
Pour cette raison, l’article 2 de l’arrêté portant application de la délibération n° 140/CP du 16 avril 2021 permet aux administrations de protéger leurs systèmes d’information impactés par le RGSNC avec les références des services de confiance issus du règlement européen eIDAS pour ce qui concerne la signature électronique, l’horodatage électronique, et la confidentialité.
Procédures à destination des prestataires pour être qualifiés
La Nouvelle-Calédonie a décidé de se référer à l’état de l’art en vigueur en métropole en matière de qualification des prestataires de services de confiance, de leurs services ainsi que des produits de sécurité.
Les prestataires ayant leur établissement en Nouvelle-Calédonie sont invités à se rapprocher des autorités de certification en métropole ou de prendre contact avec des prestataires déjà qualifiés afin de devenir bureau d’enregistrement local.
Qualification RGSNC
La qualification atteste du respect par le prestataire des exigences de qualité et de sécurité dans la production de ses services de certification électronique.
Cette qualification est délivrée pour 2 ans, avec un audit complet tous les 2 ans, la surveillance est facultative.
Conformément à l’article 3. I de l’arrêté susvisé, les prestataires de service de confiance ayant leur établissement en Nouvelle-Calédonie souhaitant recevoir une qualification en référence au RGSNC se réfèrent aux procédures définies par les règles en vigueur en métropole en vertu du décret n° 2010-112 du 2 février 2010 pris pour l'application des articles 9, 10 et 12 de l'ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
Qualification eIDAS
Conformément à l’article 3. II de l’arrêté susvisé, les prestataires de service de confiance ayant leur établissement en Nouvelle-Calédonie souhaitant recevoir une qualification en référence au réglement européen eIDAS se réfèrent aux procédures définies par les règles en vigueur en métropole en vertu du règlement eIDAS, pour ce qui concerne la signature électronique, le cachet électronique, les certificats d’authentification de site internet et l’horodatage.
Recours par les administrations à des prestataires, services et produits qualifiés
En application de l’article 5 de l’arrêté susvisé, les administrations se réfèrent aux listes de produits de sécurité, de services de confiance et de prestataires de services de confiance qualifiés en vigueur en métropole établies par les autorités nationales.
Liste des prestataires de services de confiance qualifiés
RGS
La liste est disponible à l’adresse suivante :
https://www.lsti-certification.fr/fr/psce/
eIDAS
La liste est disponible à l’adresse suivante :
https://cyber.gouv.fr/la-liste-nationale-de-confiance
Liste des produits et services qualifiés
La liste est disponible à l’adresse suivante :
https://cyber.gouv.fr/produits-services-qualifies
Besoin d’aide ?
La DINUM reste à disposition pour tout complément d’information à l’adresse suivante, avec “Assistance RGSNC” en objet du mail : assistance-dinum@gouv.nc