Article réservé aux abonnés Archimag.com

Quelle sécurité pour l'archivage électronique ?

  • securité SAE.jpg

    Plusieurs engagements doivent être tenus concernant la pérennité, l’intégrité et la confidentialité des données archivées (Yu. Samoilov via Visual Hunt / CC BY)
  • Sommaire :

    La sécurité est aujourd'hui au cœur de tout projet de dématérialisation, surtout quand celle-ci est liée à un système d'archivage électronique. Comment assurer la sécurité des flux dématérialisés ? Peut-on faire confiance aux normes ? Quels engagements un prestataire doit-il tenir ? 

    "Une norme ne vaut que si elle est sujette à un contrôle externe permettant de vérifier si celui qui prétend être conforme l'est bel et bien ; prévient d'entrée Charles Du Boullay, directeur général de CDC Arkhinéo, tiers de confiance archiveur ; sans un processus de certification, une norme ne vaut rien". En matière d'archivage électronique, il n'y en a désormais qu'une qui réponde à ces critères : la norme "NF 461 - Système d'archivage électronique", développée en 2013 par l'Afnor et ouverte aux prestataires de service d’archivage externe comme aux entreprises souhaitant faire certifier leur propre SAE. Avant 2013, il n'existait pas de certification ad hoc, les normes de référence étant alors la norme française NF Z42-013 et son équivalent international Iso 14641-1. 

    Une procédure rigoureuse et bien huilée

    L'obtention de cette certification passe par un audit complet d'une quinzaine de jours réalisé par un consultant externe, puis par la remise d'un rapport rédigé par l'Afnor contenant remarques et recommandations. Une fois la certification obtenue, et afin que celle-ci soit maintenue, le prestataire verra ses infrastructures contrôlées une fois par an. 

    S'il existe également des labels (comme le FNTC-TA pour le tiers archivage et le FNTC-CFE pour les logiciels de type coffre-fort électronique) permettant de reconnaître un certain niveau de qualité et de respect des bonnes pratiques, aucun d'entre eux ne peut égaler le cahier des charges ultra précis de la certification Afnor. "Bien que moins poussée, la norme du Service interministériel des archives de France (Siaf) est également intéressante, ajoute Charles Du Boullay ; avec la NF 461, ce sont les deux seules allant assez loin en termes de sécurité et vérifiant que le prestataire réponde vraiment aux exigences fixées, en ne se basant pas uniquement sur du déclaratif".

    Des engagements à tenir 

    Bannière-ARKHEOS banniere 2016 juin.gif

    Si ces normes contribuent à renforcer l’image des prestataires auprès de leurs clients et la confiance de ces derniers, plusieurs engagements doivent être tenus concernant la pérennité, l'intégrité et la confidentialité des données archivées :  

    • La pérennité

    Il existe pour chaque document un environnement légal définissant une durée de conservation minimum (1). Celle-ci va de 1 an à 50 ans selon la typologie de document. « Si le client n'a pas défini de durée de conservation au moment de l'archivage, l'archive sera rejetée, indique Charles Du Boullay ; nous attirons toujours son attention sur ses obligations fiscales et légales car il est important de comprendre que le client n'achète pas un coffre, une technologie ou un système, mais un service ! Le prestataire, lui, s'engage à ce que les documents dématérialisés et archivés soient lisibles et intelligibles dans 50 ans ».

    Si la question des supports permettant d'assurer la pérennité de l'archive se pose également, elle n'est absolument pas le problème du client : c'est le prestataire qui doit se charger de la migration d'un support à l'autre, généralement tous les cinq ou sept ans, au gré du vieillissement des supports et des évolutions technologiques.

    Le prestataire devant également garantir la lecture des documents des années après leur dépôt, il doit être vigilant quant à la pérennité des formats qui lui sont confiés. 

    • L'intégrité

    L'intégrité des données archivées est assurée à la fois par des technologies (authentification forte, échange de certificats SSL, etc.) et une infrastructure. Lors du versement d'un document dans le SAE, c'est toute une mécanique qui se met en marche : récupération de métadonnées descriptives et applicatives, horodatage, calcul d'empreinte, scellement, création de l'archive, émission d'un numéro d'identifiant, ajout dans le journal d'accusé de réception du client, etc. L'archivage se fait ensuite de manière synchrone sur plusieurs sites et différents supports. C'est ce type de procédures qui permet aux prestataires de tenir des SLA (Service Level Agreement) de plus de 99 %.

    • La confidentialité

    Lorsqu'un client récupère son archive, l'ensemble des éléments de preuve associés à l'archive lui sont restitués également. Par exemple, il peut ainsi savoir que son archive a été déposée tel jour à telle heure par telle personne ou qu'elle comporte tel calcul d'empreinte, etc. Ces informations lui permettront de prouver qu'il s'agit bien de l'archive originale en cas de litige.

    Reste à savoir qui fixe les règles d'accès à l'archive. "80 % de nos clients ne sont pas des utilisateurs, mais des plateformes métier ou des prestataires de confiance comme Novapost ou Coffreo, indique le responsable de CDC-Arkhinéo ; ce sont donc ces plateformes qui gèrent la partie "authentification utilisateur". Nous sécurisons le flux d'échanges avec ces plateformes grâce à de l'adresse IP fixe, des certificats électroniques et bien entendu un accès par login et mot de passe". Et il est même possible de rajouter une boucle SMS à la demande de certains clients ; une option répondant aux nouveaux enjeux de la mobilité.

    Chiffrement et autres techniques 

    Le chiffrement fait aussi partie de l'arsenal technique permettant d'assurer la confidentialité des données. L'idée étant de rendre une information inintelligible par toute personne ou système ne possédant par la clé nécessaire pour la déchiffrer. Le chiffrement ne protège donc pas contre l'accès au document archivé, mais empêche l'exploitation des informations qu'il contient. Le chiffrement des données est d'ailleurs en passe de devenir une obligation, y compris au niveau communautaire (2) au même titre que d’autres mesures technologiques que les prestataires vont devoir prendre en compte.

    D'autres options peuvent être envisagées pour renforcer un peu plus encore la confidentialité des données, à l'image des techniques d'anonymisation (suppression des métadonnées, floutage, ajout d'informations fictives, etc.), des solutions de gestion des identités et des accès (IAM, identity and access management) ou encore de la duplication des fonds d'archives selon leurs usages avec, d'un côté, un fonds « accessible et exposé » et, de l'autre, un second "moins exposé". Il ne faut cependant jamais perdre de vue que la sécurité ne doit pas se faire au détriment de l'ergonomie, de l'accessibilité et de la disponibilité de l'information.

    (1) Voir les guides pratiques Archimag 49 et 50 "archivage, records management et conformité" et "durées de conservation et tableaux de gestion", ainsi que la Base de données des durées de conservation.

    (2) Règlement n°611/2013 de la Commission du 24 juin 2013 en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !

    Besoin de préserver des informations et des documents vitaux ou à valeur probante ? La mise en place d’un système d’archivage électronique (SAE) s’impose. Il convient de se conformer à une méthodologie rigoureuse qui permettra de le gérer sur le long terme.
    Acheter ce numéro  ou  Abonnez-vous

    À lire sur Archimag

    Le Mag

    Tout Archimag, à partir de 9,50 €
    tous les mois.

    Le chiffre du jour

    30 000 euros, c'est l'amende infligée par la Cnil à l'OPH de Rennes Métropole

    Recevez l'essentiel de l'actu !