Quelles sont les tendances de l’archivage électronique en 2021 ?

  • coworking_open_space.jpeg

    coworking-travail-equipe.jpg
    Le Système d’Archivage Electronique prend en charge des archives, c’est-à-dire des documents dans leur version finalisée qui doivent être conservés selon les durées de conservation légales. (Xelians)
  • Sur le marché de l’archivage électronique, devancer la problématique de la préservation des documents signés et celle d’un mode d’exploitation dédié ou mutualisé du Système d’Archivage Electronique (SAE) apparaissent comme deux tendances majeures pour 2021.

    Sommaire :

    1. Assurer la pérennité des documents signés électroniquement
    2. De l’intérêt de verser les documents signés dans un Système d’Archivage Electronique
    3. La signature, un argument clé pour investir dans un Système d’Archivage Electronique
    4. Vers un essor de la Plate-Forme d’Archivage Electronique mutualisée
       

    Depuis le début de la crise sanitaire, la signature papier laisse massivement place à la signature électronique. Celle-ci permet de minimiser les déplacements et le risque potentiel de contamination à la Covid-19. La demande pour les solutions de signature électronique a même atteint un pic historique, avec des hausses de plus de 200% des souscriptions enregistrées par certains acteurs lors du confinement. Résultat : une accélération sans précédent de la production de documents signés électroniquement.

    Cependant, les entreprises et administrations seront-elles en mesure, dans vingt ans, de garantir que telle personne a consenti tel acte électronique ; quand bien même la personne et le système ayant produit la signature n’existent plus ?

    La signature électronique permet d’apposer un consentement sur un document. Pour rappel, il existe trois types de signature électronique, définis par la réglementation eIDAS, qui se différencient par leur niveau de sécurité :

    • la signature électronique simple, dédiée aux accords à faible niveau de sécurité ;
    • la signature électronique avancée, correspondant à un risque juridique moyen. ;
    • la signature électronique qualifiée, qui détient le niveau de sécurité le plus élevé. Un certificat électronique qualifié est ici généré pour identifier de manière fiable le signataire (certificat d’identité produit par une Autorité de Certification qualifiée).

    Assurer la pérennité des documents signés électroniquement

    Le règlement européen eIDAS a bien qualifié des services de confiance numérique, notamment :

    • le service de production de certificats d’identité numérique ;
    • les services de signature et de cachet électronique ;
    • un service de confiance concernant la validation des certificats ;
    • un service, peu développé à ce jour, relatif à la préservation des signatures qualifiées.  

    Cependant, pour ce dernier service de préservation, le règlement ne s’intéresse pas au document associé à la signature. Archiver séparément la signature et le document s’apparente à un non-sens puisqu’il est nécessaire de disposer du document pour vérifier l’empreinte numérique contenu dans la signature.

    Par ailleurs, la technologie de signature la plus répandue intègre la signature dans le document lui-même. Il s’agit des documents PDF signés au format PadES (PDF Advanced Electronic Signatures).

    Le document et la signature ne peuvent qu’être conservés ensemble pour, d’une part, vérifier la conformité de la signature, et d’autre part, prouver l’intégrité du document. Il s’agit ici de revenir aux sources du métier de l’archiviste : le sceau à la cire n’est pas dissociable du document et porte l’identité de celui qui l’appose.

    Enfin, la question des méthodes techniques pour l’archivage reste floue. Comment qualifier un service d’archivage visant à préserver le document et le contexte de son consentement fait l’objet de débats dans la sphère normative.

    De l’intérêt de verser les documents signés dans un Système d’Archivage Electronique

    En France, l’ANSSI (Agence nationale de la sécurité des systèmes d'information), en charge des référentiels de qualification, a tranché pour combler le trou dans la raquette dans le dispositif eIDAS, en proposant deux méthodes :

    • l’enrichissement des signatures électroniques (sur-signature) durant la conservation,
    • ou le versement des documents signés dans un SAE conforme à la norme NF-Z 42 013.

    L’enrichissement des signatures électroniques qualifiées consiste à resigner le document en adéquation avec les futures normes de sécurité pour se prémunir de tout risque de falsification. A titre d’exemple, pour maintenir un fond d’archives de 10 millions de documents, l’enrichissement contraint à rajouter périodiquement une signature complémentaire sur chaque document, ce qui engendre un cout non négligeable.

    D’un point de vue juridique, sur-signer des documents semble antinomique, car les nouvelles signatures ne sont pas celles de la personne qui a consenti un acte, mais d’un opérateur technique qui n’a rien consenti du tout. En outre, l’enrichissement signifie qu’un tiers prend la responsabilité de modifier l’objet d’archives incluant la signature.

    A contrario, le SAE se substitue à la maintenance cryptographique de l’objet signature ; c’est-à-dire que des traitements de masse peuvent être effectués sans avoir à manipuler les fonds d’archives, ni à modifier l’objet signature. L’empreinte numérique du paquet contenant le document et de son contexte de signature est l’élément de contrôle. Ainsi, une simple comparaison entre l’empreinte numérique du paquet initial et celle recalculée dans dix ans permettra de démontrer que le fichier est bien resté intègre.

    De plus, les empreintes numériques sont sécurisées grâce à un dispositif de chaînage des journaux, de type blockchain. La nouvelle norme NF-Z 42 013 2020 vient renforcer la robustesse de la journalisation dans le temps, en imposant un dispositif de recalcul des empreintes selon les normes de sécurité qui seront en vigueur. Ce recalcul produira autant d’événements journalisés (logs techniques) que de documents. Il s’agit d’un procédé peu coûteux et qui ne modifie en rien les objets archivés.

    Cette deuxième orientation présente plus d’avantages que la première. Premièrement, elle limite l’impact économique que peut avoir la manipulation de l’objet signature. Deuxièmement, elle est respectueuse de la philosophie de l’archiviste qui consiste à ne pas intervenir sur l’objet signature.

    Les organisations, et plus particulièrement les métiers qui portent un risque juridique important, doivent ainsi réfléchir à la manière de préserver des documents signés électroniquement à long terme et anticiper la problématique de l’archivage.

    La signature, un argument clé pour investir dans un Système d’Archivage Electronique (SAE)

    L’archivage des documents numériques passe par la mise en place d’un SAE, notamment pour :

    • assurer la valeur probante (intégrité),
    • garantir la pérennité des informations sur le moyen et long terme (disponibilité) ainsi que le cycle de vie des documents,
    • protéger les données personnelles.

    La préservation des documents signés est un argument complémentaire pour investir dans un SAE et optimiser les coûts et risques induits, en s’affranchissant des techniques d’enrichissement de signatures sur le long terme.

    La mise en œuvre d’un SAE est techniquement complexe, car elle requiert des compétences fonctionnelles particulières, celles d’archivistes. Réglementairement, elle nécessite un effort de mise en conformité et de maintien de cette conformité dans le temps.

    Il convient ici de privilégier un SAE conforme à la norme NF-Z 42 013, certifié NF 461 et ISO 27001. Ces certifications contribuent à la qualification PSCo à l’ANSSI, du service qualifié de préservation des signatures qualifiées. Selon les secteurs, l’ajout d’agréments métiers au système sera nécessaire, par exemple pour la santé, un agrément relatif à l’hébergement des données de santé.

    Vers un essor de la Plate-Forme d’Archivage Electronique mutualisée

    Reste ensuite à choisir le mode d’exploitation du SAE : soit en mode licence ou en mode SaaS (Software-as-a-Service). Le mode SaaS s’impose lui aussi dans le domaine de l’archivage électronique comme une tendance mondiale. Le cloud a fait émerger de nouvelles offres SaaS dédiées à l’archivage, appelées Plates-Formes d’Archivage Electronique (PFAE). Elles sont constituées d’un ensemble de composants logiciels, exploités sur des infrastructures virtualisées de type cloud privé de haute capacité. Evoluant en permanence, elles offrent un gage de pérennité des archives.

    Dans un contexte mutualisé, une PFAE est plus apte à garantir l’intégrité des documents signés électroniquement à long terme. Celle-ci peut soit être mutualisée par un tiers archiveur ou bien créée pour une communauté (établissements de santé, collectivités territoriales, les filiales d’un groupe industriels…). Dans cette seconde approche, il est nécessaire d’atteindre une volumétrie suffisante pour justifier la création d’une PFAE mutualisée.

    La mutualisation du service par un tiers archiveur, quant à elle, permet un coût d’accès au service modéré pour chaque client bénéficiant de la PFAE. Le tiers archiveur se charge d’atteindre les seuils de volume nécessaires pour optimiser son investissement.

    Une PFAE est caractérisée par une architecture multi-tenant, grâce à laquelle plusieurs organisations exploitent la même instance de la plate-forme de manière totalement cloisonnée. En outre, certaines solutions offrent aux organisations clientes une parfaite autonomie de paramétrage et d’administration. Elles fonctionnent telle une solution On-Premise, mais sans induire les budgets d’intégration, les coûts d’infrastructure interne et les charges de mise en conformité du service d’archivage

    L’exemple à suivre en matière d’architecture multi-tenant est le programme VITAM, dédié à l’archivage électronique de l’Etat. Ce programme vise à archiver des milliards de documents numériques, en toute sécurité pour une durée de vie de la solution supérieure à 20 ans. Une plate-forme mutualisée a été mise en place pour gérer cette capacité, notamment par l’usage de micro-services (capacité à paralléliser des traitements de masse en fonction de la volumétrie) et la virtualisation (capacité à dimensionner l’infrastructure selon le besoin).
    En parallèle, plusieurs initiatives, dont la solution Xelians Archives Management, ont vu le jour pour mutualiser une instance en SaaS sur une base VITAM. 

    Pour 2021, entreprises et administrations doivent donc prendre en main la question de la préservation à long terme des documents signés, en archivant conjointement le document signé et le contexte de son consentement. En outre, cette préservation se doit d’être adaptée, en fonction du risque juridique porté par le document signé, avec des niveaux de sécurité différents. Enfin, mutualiser la Plate-Forme d’Archivage Electronique, soit  de manière « privative » en s’associant dans une communauté ou en l’externalisant chez un tiers archiveur, s’avère être la meilleure option pour traiter rapidement cette problématique à moindre coût.

    À lire sur Archimag

    Commentaires (2)

    • Portrait de cdvendee147489

      Merci pour cet article ! Une question : lorsqu'un document pdf au format PadES est signé dans un parapheur électronique, faut-il conserver le rapport de signature avec le document dans le SAE ?

      fév 04, 2021
    • Portrait de leon.cazeneuve

      Enfin un discours clair sur la nécessité de recourir a un "SAE certifié" pour l'archivage des documents électroniques signés.

      fév 05, 2021
    Les podcasts d'Archimag
    Pour cet épisode spécial Documation, nous nous sommes penchés sur une autre grande tendance de l'année 2024 : la cybersécurité, et plus particulièrement la sécurité dans le domaine de la gestion des données. La protection des données contre les menaces internes et externes est non seulement cruciale pour garantir la confidentialité, l'intégrité et la disponibilité des données, mais aussi pour maintenir la confiance des clients. Julien Baudry, directeur du développement chez Doxallia, Christophe Bastard, directeur marketing chez Efalia, et Olivier Rajzman, directeur commercial de DocuWare France, nous apportent leurs éclairages sur le sujet.

    supplement-confiance-numerique-270500.png