L’archivage électronique des emails : qui doit procéder à l’archivage et comment sont protégées les données ? (3/4)

  • email.jpg

    Pour choisir la solution vraiment adaptée à vos besoins, il convient de bien identifier son niveau de risque. Sans compter que les règles et politiques d’archivage doivent être flexibles (Travelin' Librarian via VisualHunt / CC BY-NC-SA)
  • L'archivage électronique des emails :

    1. La valeur légale 
    2. Quels types d’emails faut-il conserver et archiver ? 
    3. Qui doit procéder à l'archivage des emails et comment sont protégées les données ?
    4. Une solution pour faire des économies de stockage

    L’archivage doit-il être fait sur demande de l’utilisateur ou être systématique ? Il s’agit là d’une question de politique propre à chaque entreprise ou administration. Mais un SAE doit savoir tout faire : soit laisser l’utilisateur faire son archivage lui-même ou définir ses propres règles d’archivage avec ou sans consignes préalables, soit, au contraire, exécuter des archivages automatiques selon une politique définie dont les possibilités doivent être aussi larges que possible, y compris celle d’un archivage continu.

    PUBLI-INFO/AVIS D'EXPERT. Il existe trois grands modes d’archivage des emails : 

    • la première solution consiste à responsabiliser chaque utilisateur en lui décrivant l’ensemble des procédures retenu par l’entreprise qu’il doit adopter sur son poste de travail. Il s’agit d’une solution simple et économique, mais aussi relativement dangereuse, car, sans la mise en place de contrôles réguliers, le chef d’entreprise n’aura absolument aucune maîtrise sur la conservation ou non des informations importantes échangées par email.
    • la deuxième solution consiste pour l’utilisateur à déplacer ses emails, à la demande et/ou en fonction d’une politique prédéfinie, vers une application métier, un système de GED ou un espace mutualisé de stockage disposant de toutes les fonctionnalités de recherche et de migration nécessaires. Et ce, en liant aux messages des informations complémentaires (client concerné, type de message, etc.). Sur son poste de travail l’utilisateur garde ainsi la trace et la visibilité sur l’ensemble de ses emails, mais pour ceux qui ont été déplacés, il ne subsiste qu’un simple lien. L’archivage électronique est alors réalisé à partir de ces applications et peut ainsi être mieux structuré que s’il est réalisé directement à partir des boites aux lettres. 
    • la troisième solution consiste à effectuer une copie systématique de tous les emails entrant et sortant vers l’espace d’archivage, à condition de disposer de son propre serveur de messagerie. L’utilisateur peut alors se permettre de supprimer l’ensemble des emails de son poste de travail dès qu’il les a traités dans la mesure où il accède à toute sa base email via le système d’archivage, accessible le plus souvent par le biais d’un navigateur web. En revanche, cette solution visant à automatiser totalement l’archivage rend problématique l’exclusion des emails privés. 

    Quand aucun email n’est jamais vraiment supprimé

    Pour choisir la solution vraiment adaptée à vos besoins, il convient de bien identifier son niveau de risque. Sans compter que les règles et politiques d’archivage doivent être flexibles et pouvoir évoluer dans le temps. Mais, que l’archivage soit activé au niveau individuel ou ordonnancé à un niveau central, son utilisation reste totalement transparente pour l’utilisateur. Autrement dit, lorsqu’un message est archivé, sa ligne descriptive dans le dossier où il se trouvait (date, objet, émetteur, destinataire, présence de documents attachés, etc.) peut toujours apparaître, mais le corps du message n’est plus présent. Il est remplacé par un raccourci qui permet de le retrouver presque instantanément dans les archives. L’utilisateur a cependant toujours le loisir de supprimer le message. Il disparaît alors de son poste, mais reste néanmoins dans les archives et peut, si nécessaire, être récupéré au moyen du portail de consultation des archives.

    Archiver pour protéger les données ?

    L’utilisation d’un archivage des messageries et plus généralement des ordinateurs personnels peut apporter une contribution importante à la sécurité des données et ce, sous de multiples aspects.

    1 - Archivage et sauvegarde

    Effectuer une sauvegarde, c’est prendre un « instantané » à un moment déterminé d’un fichier ou d’un groupe de fichiers de manière à pouvoir redémarrer une exploitation à l’état existant au moment où la copie a été faite. S’agissant d’une base de messagerie, le volume des informations à sauvegarder est très supérieur à celui de fichiers d’informatique de gestion. Sans compter que la fréquence des accès à la messagerie et la durée des sauvegardes peuvent imposer l’utilisation de techniques sophistiquées de sauvegarde et des délais de restauration totalement incompatibles avec la notion de continuité du service. En revanche, si une messagerie est archivée de manière systématique lors de l’émission de chaque message, l’archivage ainsi constitué peut être utilisé pour effectuer une restauration granulométrique en fonction des besoins des différentes classes d’utilisateurs de la base de messagerie d’origine. Ce qui constitue une forme particulièrement performante de sauvegarde incrémentale. Cette particularité est très importante pour obtenir un retour presque immédiat en situation opérationnelle. Evidemment, il faudra par ailleurs sauvegarder les archives dont le volume est nettement réduit par rapport aux bases de messageries.

    2 - Archivage et cloud

    La localisation des éléments de contenu archivés n’a aucune importance et reste à la discrétion de l’entreprise. C’est à elle de choisir en fonction de ses contraintes de sécurité, de ses coûts ou des temps d’accès. 

    3 – Droits d’accès

    Un bon SAE (système d’archivage électronique) enregistre les droits d’accès de la messagerie en fonction de la politique et de l’organisation interne de l’entreprise. Les droits d’accès sur une donnée (email ou fichier) d’un SAE vont de droit à l’auteur et aux destinataires éventuels, mais ils peuvent être étendus à leur hiérarchie ou à des services transverses (juridique, secrétariat central, archives, etc.). N’oublions pas que les droits d’accès aux archives doivent être gérés et qu’un SAE doit en donner la possibilité, notamment pour supprimer les droits d’accès des employés ayant quitté leur poste, ou bien pour transférer des droits en cas de mutation avec remplacement, ou encore pour attribuer des droits d’accès à un employé qui n’est plus dans l’annuaire d’entreprise, ni celui des archives, etc. 

    4 – Pertes de données

    Un archivage effectué systématiquement à l’émission d’un message ou à l’enregistrement d’un fichier est, quoiqu’il arrive ultérieurement, un élément important de la sécurité des données : en cas d’effacement accidentel ou volontaire des messages ou des fichiers, ces derniers sont conservés dans les archives avec leurs métadonnées. Ils peuvent y être retrouvés et, si nécessaire, restaurés. 

    5 – Piratage des données

    La plupart des organisations pensent se prémunir contre les piratages en sécurisant leurs réseaux. Mais sécuriser également les données ne serait pas inutile ! La première sécurité est d’éviter la dispersion des données dans des postes de travail personnels. Pour cela, il faut non seulement les archiver à leur émission, mais également les remplacer au plus vite par des raccourcis dans les postes de travail. Cela ne modifie pas l’apparence des boîtes de messagerie pour les utilisateurs. En revanche en cas de vol d’un poste de travail ou d’un accès frauduleux aux données, seuls des métadonnées et des raccourcis seront disponibles. Ce qui ne sera d’aucune utilité pour l’assaillant. Quant au piratage des archives elles-mêmes, il s’annonce compliqué, car il faut non seulement déjouer les sécurités du réseau (cryptages, identification des postes et des utilisateurs, etc.), mais aussi celles des autorisations d’accès aux archives. En complément de ces sécurités, il est relativement simple de doter l'archivage central d’un cryptage propre et de moyens de contrôle des accès anormaux susceptibles de donner des alertes, par exemple en cas de détection d’une tentative de copie systématique. 

    William Menant
    Ingénieur Archivage électronique
    01 77 12 39 40
    http://www.arkheos.fr
    contact@arkheos.fr

    À lire sur Archimag
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.

    supplement-confiance-numerique-270500.png