Article réservé aux abonnés Archimag.com

Quelle sécurité pour l'archivage électronique ?

  • securité SAE.jpg

    Plusieurs engagements doivent être tenus concernant la pérennité, l’intégrité et la confidentialité des données archivées (Yu. Samoilov via Visual Hunt / CC BY)
  • Sommaire :

    La sécurité est aujourd'hui au cœur de tout projet de dématérialisation, surtout quand celle-ci est liée à un système d'archivage électronique. Comment assurer la sécurité des flux dématérialisés ? Peut-on faire confiance aux normes ? Quels engagements un prestataire doit-il tenir ? 

    "Une norme ne vaut que si elle est sujette à un contrôle externe permettant de vérifier si celui qui prétend être conforme l'est bel et bien ; prévient d'entrée Charles Du Boullay, directeur général de CDC Arkhinéo, tiers de confiance archiveur ; sans un processus de certification, une norme ne vaut rien". En matière d'archivage électronique, il n'y en a désormais qu'une qui réponde à ces critères : la norme "NF 461 - Système d'archivage électronique", développée en 2013 par l'Afnor et ouverte aux prestataires de service d’archivage externe comme aux entreprises souhaitant faire certifier leur propre SAE. Avant 2013, il n'existait pas de certification ad hoc, les normes de référence étant alors la norme française NF Z42-013 et son équivalent international Iso 14641-1. 

    Une procédure rigoureuse et bien huilée

    L'obtention de cette certification passe par un audit complet d'une quinzaine de jours réalisé par un consultant externe, puis par la remise d'un rapport rédigé par l'Afnor contenant remarques et recommandations. Une fois la certification obtenue, et afin que celle-ci soit maintenue, le prestataire verra ses infrastructures contrôlées une fois par an. 

    S'il existe également des labels (comme le FNTC-TA pour le tiers archivage et le FNTC-CFE pour les logiciels de type coffre-fort électronique) permettant de reconnaître un certain niveau de qualité et de respect des bonnes pratiques, aucun d'entre eux ne peut égaler le cahier des charges ultra précis de la certification Afnor. "Bien que moins poussée, la norme du Service interministériel des archives de France (Siaf) est également intéressante, ajoute Charles Du Boullay ; avec la NF 461, ce sont les deux seules allant assez loin en termes de sécurité et vérifiant que le prestataire réponde vraiment aux exigences fixées, en ne se basant pas uniquement sur du déclaratif".

    Des engagements à tenir 

    Bannière-ARKHEOS banniere 2016 juin.gif

    Si ces normes contribuent à renforcer l’image des prestataires auprès de leurs clients et la confiance de ces derniers, plusieurs engagements doivent être tenus concernant la pérennité, l'intégrité et la confidentialité des données archivées :  

    • La pérennité

    Il existe pour chaque document un environnement légal définissant une durée de conservation minimum (1). Celle-ci va de 1 an à 50 ans selon la typologie de document. « Si le client n'a pas défini de durée de conservation au moment de l'archivage, l'archive sera rejetée, indique Charles Du Boullay ; nous attirons toujours son attention sur ses obligations fiscales et légales car il est important de comprendre que le client n'achète pas un coffre, une technologie ou un système, mais un service ! Le prestataire, lui, s'engage à ce que les documents dématérialisés et archivés soient lisibles et intelligibles dans 50 ans ».

    Si la question des supports permettant d'assurer la pérennité de l'archive se pose également, elle n'est absolument pas le problème du client : c'est le prestataire qui doit se charger de la migration d'un support à l'autre, généralement tous les cinq ou sept ans, au gré du vieillissement des supports et des évolutions technologiques.

    Le prestataire devant également garantir la lecture des documents des années après leur dépôt, il doit être vigilant quant à la pérennité des formats qui lui sont confiés. 

    • L'intégrité

    L'intégrité des données archivées est assurée à la fois par des technologies (authentification forte, échange de certificats SSL, etc.) et une infrastructure. Lors du versement d'un document dans le SAE, c'est toute une mécanique qui se met en marche : récupération de métadonnées descriptives et applicatives, horodatage, calcul d'empreinte, scellement, création de l'archive, émission d'un numéro d'identifiant, ajout dans le journal d'accusé de réception du client, etc. L'archivage se fait ensuite de manière synchrone sur plusieurs sites et différents supports. C'est ce type de procédures qui permet aux prestataires de tenir des SLA (Service Level Agreement) de plus de 99 %.

    • La confidentialité

    Lorsqu'un client récupère son archive, l'ensemble des éléments de preuve associés à l'archive lui sont restitués également. Par exemple, il peut ainsi savoir que son archive a été déposée tel jour à telle heure par telle personne ou qu'elle comporte tel calcul d'empreinte, etc. Ces informations lui permettront de prouver qu'il s'agit bien de l'archive originale en cas de litige.

    Reste à savoir qui fixe les règles d'accès à l'archive. "80 % de nos clients ne sont pas des utilisateurs, mais des plateformes métier ou des prestataires de confiance comme Novapost ou Coffreo, indique le responsable de CDC-Arkhinéo ; ce sont donc ces plateformes qui gèrent la partie "authentification utilisateur". Nous sécurisons le flux d'échanges avec ces plateformes grâce à de l'adresse IP fixe, des certificats électroniques et bien entendu un accès par login et mot de passe". Et il est même possible de rajouter une boucle SMS à la demande de certains clients ; une option répondant aux nouveaux enjeux de la mobilité.

    Chiffrement et autres techniques 

    Le chiffrement fait aussi partie de l'arsenal technique permettant d'assurer la confidentialité des données. L'idée étant de rendre une information inintelligible par toute personne ou système ne possédant par la clé nécessaire pour la déchiffrer. Le chiffrement ne protège donc pas contre l'accès au document archivé, mais empêche l'exploitation des informations qu'il contient. Le chiffrement des données est d'ailleurs en passe de devenir une obligation, y compris au niveau communautaire (2) au même titre que d’autres mesures technologiques que les prestataires vont devoir prendre en compte.

    D'autres options peuvent être envisagées pour renforcer un peu plus encore la confidentialité des données, à l'image des techniques d'anonymisation (suppression des métadonnées, floutage, ajout d'informations fictives, etc.), des solutions de gestion des identités et des accès (IAM, identity and access management) ou encore de la duplication des fonds d'archives selon leurs usages avec, d'un côté, un fonds « accessible et exposé » et, de l'autre, un second "moins exposé". Il ne faut cependant jamais perdre de vue que la sécurité ne doit pas se faire au détriment de l'ergonomie, de l'accessibilité et de la disponibilité de l'information.

    (1) Voir les guides pratiques Archimag 49 et 50 "archivage, records management et conformité" et "durées de conservation et tableaux de gestion", ainsi que la Base de données des durées de conservation.

    (2) Règlement n°611/2013 de la Commission du 24 juin 2013 en vertu de la directive 2002/58/CE du Parlement européen et du Conseil sur la vie privée et les communications électroniques.

    Vous souhaitez en savoir plus sur l'archivage numérique et sur comment sécuriser au mieux le cycle de vie de l'information de votre organisation ? Découvez le guide pratique Sécurité de l'information et archivage électronique + les durées de conservation, publié par Archimag.

    Guide-Archivage-électronique-sécurité-information

    Pour commander le guide pratique, le recevoir en quelques instants ou pour consulter son sommaire, cliquez-ici

    Sécurité de l'information et archivage électronique + les durées de conservation

    Aujourd’hui, pour sécuriser son information, il faut certes raisonner en cycle de vie de l’information, document vital et preuve, mais aussi en métadonnées ou journal transactionnel. Records management, gestion électronique de documents (Ged) et archives ont pris acte de l’entrée de l’information dans l’ère de la trace. Il s’agit d’appréhender de nouveaux développements (blockchain, cryptographie) et défis (lutte contre la fraude documentaire, anonymisation des données personnelles, archivage dans le cloud). L’archivage électronique, pour le privé comme pour le public, doit pouvoir évoluer sans risque au sein de tous les processus métiers.

    Ce double guide pratique (n°57 + n°58) vous permet de disposer d'un état de l'art, de méthodes, de solutions et de toutes les durées de conservation pour chaque type de direction d’entreprises, services concernés, fonctions concernées et par type de dossiers.

    L’une des plus-values de ce guide réside dans ses nombreux tableaux de gestion qui recensent les durées de conservation de plus de 12 domaines (Guide n°58). A la fois sur des fonctions transversales (Ressources Humaines, Direction Générale…) mais aussi sur des métiers (Bancassurance, Santé…), c’est un outil indispensable pour tout gestionnaire de l’information. Ces informations existent également au format numérique – et sont mises à jour régulièrement – dans la Base de données des durées de conservation Archimag.

    Feuilletez quelques extraits du guide "Sécurité de l'information et archivage électronique" en cliquant ici.

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    Besoin de préserver des informations et des documents vitaux ou à valeur probante ? La mise en place d’un système d’archivage électronique (SAE) s’impose. Il convient de se conformer à une méthodologie rigoureuse qui permettra de le gérer sur le long terme.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".
    Publicité

    2025-Catalogue Dématérialisation-Serda Formation