Les certificats rgs en 2026 : quelles évolutions attendues

La sécurité numérique des administrations françaises repose sur un socle réglementaire précis. Les certificats RGS — ces attestations délivrées par des tiers de confiance accrédités — garantissent la conformité des systèmes d’information aux exigences fixées par l’État. À l’horizon 2026, plusieurs évolutions majeures se dessinent, portées par des mutations technologiques rapides et un cadre législatif en pleine transformation. Environ 30 % des entités du secteur public seraient actuellement certifiées selon ce référentiel, un chiffre qui devrait progresser sous l’effet des nouvelles obligations réglementaires. Comprendre ces changements à venir, c’est anticiper les contraintes et les opportunités qui attendent les organismes concernés. Tour d’horizon des grandes tendances qui redessineront le paysage des certifications de sécurité en France.

Qu’est-ce qu’un certificat RGS et à quoi sert-il ?

Un certificat RGS est un document officiel délivré par un organisme accrédité, attestant qu’un système d’information respecte les exigences du Référentiel Général de Sécurité. Ce référentiel, publié et maintenu par l’ANSSI (Agence nationale de la sécurité des systèmes d’information), définit les niveaux de sécurité applicables aux échanges électroniques entre administrations et avec les usagers.

La certification s’appuie sur l’intervention d’un tiers de confiance : une entité indépendante qui vérifie, audite et valide la conformité du système. Des organismes comme Afnor Certification ou LSTI figurent parmi les acteurs habilités à délivrer ces certificats. Leur rôle va au-delà de la simple délivrance d’un document : ils garantissent l’intégrité des échanges d’informations sensibles.

Le RGS distingue plusieurs niveaux de certification, notés une étoile, deux étoiles ou trois étoiles, selon le degré de sécurité requis. Plus le niveau est élevé, plus les exigences de vérification sont strictes. Cette graduation permet d’adapter les obligations aux risques réels portés par chaque système.

Le tarif moyen d’un certificat RGS avoisine 2 000 euros en 2023, selon les données disponibles, même si ce chiffre varie selon le niveau de certification et l’organisme prestataire. Pour les petites collectivités territoriales, ce coût peut représenter un frein réel à la mise en conformité. C’est précisément l’un des points que les évolutions de 2026 pourraient chercher à adresser.

État des lieux : où en sont les organismes publics aujourd’hui ?

Le taux de certification RGS dans le secteur public reste modeste. Environ 30 % des entités publiques seraient actuellement certifiées, un chiffre à prendre avec précaution car les données consolidées sont difficiles à obtenir. Cette proportion cache des disparités importantes : les grandes administrations centrales affichent un niveau de conformité bien supérieur à celui des collectivités locales de taille moyenne.

Plusieurs facteurs expliquent ce retard. Le coût de la certification constitue un obstacle, notamment pour les petites mairies ou les établissements publics à budget contraint. La complexité administrative du processus de certification, les délais d’audit et le manque de ressources humaines spécialisées freinent également les démarches.

Le Ministère de l’Économie et des Finances a engagé des programmes d’accompagnement pour accélérer la montée en conformité, mais les résultats restent hétérogènes. L’ANSSI publie régulièrement des guides et des recommandations sur son site officiel ssi.gouv.fr pour aider les organismes dans leur démarche.

Sur le plan technique, les systèmes certifiés actuellement reposent souvent sur des architectures vieillissantes. La question de la compatibilité entre les anciens certificats et les nouvelles infrastructures numériques se pose avec une acuité croissante, à mesure que les administrations migrent vers des environnements cloud ou hybrides. Ce contexte rend les évolutions de 2026 d’autant plus attendues.

Les évolutions réglementaires prévues d’ici 2026 pour les certificats RGS

Le cadre juridique entourant les certificats RGS devrait connaître plusieurs ajustements significatifs d’ici 2026. Ces changements s’inscrivent dans un mouvement plus large d’harmonisation européenne, notamment sous l’impulsion du règlement eIDAS 2, dont l’entrée en vigueur progressive affecte directement les référentiels nationaux de sécurité.

Plusieurs axes de réforme sont attendus :

  • La révision des niveaux de certification pour les aligner sur les exigences du règlement eIDAS 2 et introduire une meilleure interopérabilité européenne.
  • L’introduction d’un processus de renouvellement simplifié pour les organismes déjà certifiés, afin de réduire la charge administrative liée aux audits périodiques.
  • La mise à jour des critères techniques applicables aux signatures électroniques et aux cachets serveur, intégrant les dernières normes cryptographiques recommandées par l’ANSSI.
  • Un renforcement des obligations de traçabilité et de journalisation des accès aux systèmes certifiés, en réponse aux nouvelles menaces cyber identifiées.
  • La création d’un guichet numérique centralisé pour le dépôt et le suivi des demandes de certification, actuellement dispersées entre plusieurs organismes accrédités.

Ces évolutions sont en cours de concertation entre l’ANSSI, les ministères concernés et les organismes certificateurs. Les textes définitifs devraient être publiés sur Légifrance au fil de l’année 2025, avec une entrée en vigueur progressive en 2026. Les organismes publics ont donc intérêt à suivre de près ces publications et à anticiper les adaptations nécessaires.

Seul un professionnel du droit ou un expert en cybersécurité peut apprécier les implications spécifiques de ces évolutions pour un organisme donné. Les informations publiées ici ont une valeur générale et ne sauraient remplacer un conseil personnalisé.

Quand la technologie redéfinit les exigences de sécurité

Les mutations technologiques des dernières années bouleversent les fondements mêmes sur lesquels reposent les certifications de sécurité. L’essor du cloud computing, la généralisation des architectures microservices et le déploiement massif d’identités numériques créent des surfaces d’attaque inédites que les référentiels actuels peinent à couvrir intégralement.

L’intelligence artificielle s’invite dans ce tableau. Des outils d’IA sont désormais utilisés pour automatiser les audits de sécurité, détecter les anomalies comportementales dans les systèmes certifiés et accélérer les processus de vérification. Cette automatisation pourrait à terme modifier les méthodes de travail des organismes accrédités comme Afnor ou LSTI.

La cryptographie post-quantique représente un autre défi de taille. L’ANSSI anticipe depuis plusieurs années l’arrivée d’ordinateurs quantiques capables de casser les algorithmes cryptographiques actuellement utilisés dans les certificats. Les nouvelles versions du RGS devront intégrer des algorithmes résistants à cette menace, ce qui implique des mises à jour profondes des infrastructures certifiées.

Du côté des usages, la multiplication des téléservices publics et la dématérialisation accélérée des démarches administratives augmentent mécaniquement le volume de transactions électroniques sécurisées. Chaque nouveau service numérique ouvert au public peut potentiellement nécessiter une certification RGS, ce qui élargit considérablement le périmètre des organismes concernés.

Les acteurs qui façonnent l’avenir du référentiel

L’ANSSI reste l’acteur central de toute évolution du RGS. C’est elle qui rédige les versions successives du référentiel, accrédite les organismes certificateurs et publie les guides techniques associés. Son rôle de régulateur lui confère une influence déterminante sur le calendrier et le contenu des réformes à venir.

Les organismes accrédités comme Afnor Certification et LSTI ne sont pas de simples exécutants. Ils participent activement aux groupes de travail qui préparent les évolutions du référentiel, apportant leur expérience terrain des audits et leurs retours sur les difficultés pratiques rencontrées par les organismes certifiés.

Le Ministère de l’Économie et des Finances, via la Direction interministérielle du numérique (DINUM), contribue à orienter les priorités en matière de certification, notamment pour les systèmes d’information qui traitent des données fiscales ou financières sensibles. Les arbitrages budgétaires qu’il opère influencent directement les ressources allouées à la mise en conformité des administrations.

Les collectivités territoriales et les établissements publics de santé constituent quant à eux les bénéficiaires directs des réformes. Leurs associations représentatives font valoir leurs contraintes spécifiques dans les consultations publiques, plaidant pour des dispositifs d’aide financière et des délais de transition adaptés à leurs capacités.

Se préparer dès maintenant : les démarches à engager

Attendre 2026 pour s’adapter serait une erreur de calendrier. Les organismes qui anticipent les évolutions réglementaires bénéficient d’un avantage concret : ils évitent les mises en conformité dans l’urgence, souvent plus coûteuses et plus risquées que les démarches planifiées.

La première étape consiste à réaliser un audit interne de l’existant. Quels systèmes sont déjà certifiés ? Quels certificats arrivent à échéance avant 2026 ? Quelles infrastructures sont susceptibles d’être concernées par les nouvelles exigences ? Ces questions méritent des réponses précises avant d’engager tout investissement.

Surveiller les publications de l’ANSSI et les textes mis en ligne sur Légifrance permet de rester informé des évolutions au fil de leur publication. Les consultations publiques organisées en amont des réformes offrent par ailleurs l’occasion de faire entendre les besoins spécifiques de chaque type d’organisme.

Former les équipes techniques et juridiques internes aux enjeux des nouvelles normes cryptographiques et aux exigences eIDAS 2 prépare le terrain pour une transition maîtrisée. Certains prestataires proposent déjà des formations adaptées à ces évolutions attendues. Enfin, engager un dialogue précoce avec un organisme accrédité permet d’évaluer les délais et les coûts réels d’une mise à jour ou d’une nouvelle certification, bien avant que les obligations ne deviennent contraignantes.