La DGME (direction générale de la modernisation de l'Etat) et l'ANSSI (Agence nationale de la sécurité des systèmes d'information) ont enfin accouché de leur bébé commun, le Référentiel Général de Sécurité (RGS), petit frère du RGI (Référentiel Général d'Interopérabilité).

Le RGS vise à définir très précisément chaque concept (confidentialité, signature, horodatage...) et les bonnes pratiques associées pour garantir au mieux la sécurité des systèmes d'information. Il constitue une base pour toute politique de sécurité de manière obligatoire dans les administrations, ce qui n'empêche pas le secteur privé d'y recourir, ne serait-ce que pour parler un langage commun.

Ses définitions sont plus procédurales et méthodologiques que purement techniques : le RGS ne vise ainsi (au contraire du RGI) à promouvoir aucune technologie et aucun format en particulier. Il rappelle le cadre légal applicable lorsqu'un tel rappel est pertinent.

Les annexes du RGS précisent les critères et les modalités de qualification des signatures électroniques ainsi que des architectures et des organisations les délivrant. Les procédures inscrites au RGS s'imposent aux organisations délivrant des certificats de signature électronique. Cependant, il ne s'agit là, pour l'essentiel, que de rappels de dispositions déjà existantes mais dispersées.