Article réservé aux abonnés Archimag.com

Archivage électronique et cybersécurité : un duo gagnant

  • archivage_electronique_et_cybersecurite.jpg

    archivage-electronique-cybersecurite-comment-concilier-les-deux
    À Bondy, en Seine-Saint-Denis, les archivistes de la commune ont dû attendre décembre 2023, soit plus de deux ans, pour avoir à nouveau accès à leurs serveurs après l’attaque par rançongiciel qu’a subi la ville en novembre 2020. (Freepik/tapati2528)
  • Les cyberattaques touchent les systèmes d’information et peuvent bloquer l’accès aux archives et à l’information. Pourtant, l’archiviste est encore aujourd’hui très éloigné du domaine de la cybersécurité, alors que la sécurité des archives est une des priorités pour leur conservation à long terme.

    enlightened CET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°373
    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.


    Dans son Panorama de la cybermenace 2023, l’Anssi (Agence nationale de la sécurité des systèmes d’information) témoigne d’une augmentation de 30 % des attaques par rançongiciel portées à sa connaissance, par rapport à l’année 2022.

    En effet, le niveau de la menace informatique est en constante augmentation, en raison notamment de nouvelles tensions géopolitiques, de la tenue d’événements internationaux sur le sol français, mais aussi parce que le monde du travail est toujours plus connecté et hybride (généralisation du télétravail).

    Pour les contrer, la cybersécurité regroupe l’ensemble des moyens utilisés pour assurer la sécurité des systèmes et des données informatiques d’une organisation ; qu’elle soit publique ou privée.

    La cybersécurité, un domaine stratégique

    Dans les organisations, c’est le RSSI (Responsable de la sécurité des systèmes d’information) qui est chargé de limiter le risque cyber. Selon l’Anssi, le RSSI "assure le pilotage de la démarche de cybersécurité sur un périmètre organisationnel et/ou géographique au sein de l’organisation. Il définit ou décline, selon la taille de l’organisation, la politique de sécurité des systèmes d’information (prévention, protection, détection, résilience, remédiation) et veille à son application".

    Son rôle est primordial, si l’on en croit les derniers chiffres de l’Anssi, qui affirme avoir traité en moyenne, entre janvier 2022 et juin 2023, pas moins de 10 attaques par mois, simplement à l’échelle des collectivités territoriales.

    Les trois types d’attaques les plus fréquentes sont le phishing (ou hameçonnage), le ransomware, et enfin l’attaque en déni de service (DDoS). Dans ce dernier cas, le cybercriminel transfère des millions de requêtes simultanément vers une cible.

    Le volume de connexions est si important que le serveur visé ne peut répondre et finit par devenir indisponible. C’est de cette façon, et avec une ampleur inédite, que les services en ligne de plusieurs ministères français ont été attaqués le 10 mars 2024.

    Les archives et les systèmes documentaires ne sont pas épargnés par ces attaques. En 2022, ce sont les départements de la Seine-et-Marne et de l’Ardèche qui ont subi une cyberattaque impactant leurs services d’archives respectifs.

    Lire aussi : Externaliser son archivage électronique : un chantier qui se prépare

    Le service des archives de Seine-et-Marne a dû fermer sa salle de lecture et perdu une partie de ses données de récolement. Les nouveaux versements n’ont pas pu être intégrés à cause de l’indisponibilité de son outil.

    Le CIG (Centre interdépartemental de gestion) de la Grande Couronne a lui aussi subi une attaque de type ransomware en 2022. Les conclusions de cette attaque ont démontré l’importance d’un archivage efficace tout au long du cycle de vie du document.

    Cette attaque a également démontré l’appui que pouvaient assurer les archivistes pour identifier les données à risques et évaluer les pertes auprès des services impactés.

    Les établissements de santé sont également des cibles récurrentes des hackers. Selon l’Anssi, ils représentent même 11 % des objectifs des attaques, ce qui témoigne à la fois de la vulnérabilité des infrastructures essentielles, mais aussi de la valeur croissante des données de santé, devenues une cible privilégiée pour les cybercriminels. Pourtant, force est de constater que les archivistes sont peu souvent intégrés aux politiques de sécurité.

    Quelles mesures de sécurité pour son SAE ?

    La cybersécurité concerne l’archiviste dans le cadre de la protection de ses outils et logiciels de travail, tel que le système d’archivage électronique (SAE). Dans la norme NF Z 42-013 (ISO 14 641), le terme de cybersécurité fait l’objet d’un chapitre sous le nom de "sécurité informatique".

    Ainsi, le SAE est intégré à la politique de sécurité des systèmes d’information (PSSI). C’est une des exigences de la norme. Des tests de sécurité du système doivent également être effectués après chaque changement dans le système d’archivage électronique et il est conseillé de réaliser des tests de sécurité au moins une fois par an.

    Enfin, il est aussi recommandé de mettre en place une démarche ISO 27001 sur le périmètre du SAE. La norme ISO 16363 (audit et certification d’entrepôts numériques fiables) de 2012 a pour objectif de permettre l’audit d’un système d’archivage. Elle liste les exigences à vérifier dans le SAE autour de trois principaux axes, dont la gestion des risques, notamment en matière de sécurité.

    Lire aussi : Comparatif des systèmes d'archivage électronique : un marché soutenu par la digitalisation des processus

    La sécurité du SAE passe aussi par un certain nombre de bonnes pratiques, comme la mise à jour régulière du système, une sauvegarde régulière des données archivées, et un plan de reprise d’activité (PRA) intégrant le SAE. Ces exigences techniques sont à déterminer entre l’archiviste et la DSI (Direction des systèmes d’information).

    Pour certains types de données, l’archivage sécurisé est déjà pris en compte. C’est le cas notamment des données de santé avec la certification HDS (Hébergement des données de santé). Depuis 2018, cette certification a pour objectif de renforcer la protection des données de santé dont les durées de conservation peuvent être très longues.

    Le SAE, un dispositif cyber ?

    Il faut également considérer le SAE comme un élément de la politique cyber de son organisation. Il est en effet la pièce maîtresse pour garantir l’authenticité, l’intégrité, la fiabilité et la sécurité de ses archives sur le long terme.

    Grâce à la norme NF Z 42-013 (ISO 14 641), le SAE détermine des exigences en matière de sécurité dans ses fonctionnalités : système de contrôle d’intégrité et d’exhaustivité des archives et contrôle de l’intégrité des journaux des événements. Cette intégrité, primordiale pour les archives, est contrôlée de manière régulière grâce aux empreintes numériques.

    Lire aussi : Bruno Ricard : "L'expertise des archivistes ne sera jamais remplacée par l'intelligence artificielle"

    La fréquence de contrôle est à déterminer au moment de l’implémentation du logiciel. En ce qui concerne les droits d’accès, la norme exige une définition des accès par personne ou par groupe de personnes.

    Pour l’authentification, le SAE doit proposer au minimum un identifiant unique et un mot de passe à chaque utilisateur. Chaque authentification est enregistrée dans le journal du logiciel d’archivage. La norme préconise, sous la forme d’une recommandation, la mise en place de la double authentification.

    Quel rôle pour l’archiviste ?

    À l’échelle de son organisation, l’archiviste joue également un rôle dans la politique de cybersécurité. La sécurité des archives concerne le nombre de sauvegardes et de réplications à faire des données archivées. Le choix du nombre de sauvegardes prend en compte les considérations cyber et pose la question de l’accessibilité des données en cas d’attaque.

    Concrètement, l’archiviste se pose la question du nombre de serveurs sur lequel répliquer les données archivées et sur lequel sauvegarder les données. Enfin, il s’interroge sur la fréquence de ces sauvegardes.

    Pour répondre à cette question de manière pertinente, l’archiviste doit pouvoir fournir la liste des archives vitales ou critiques que son administration ou entreprise ne peut se permettre de perdre, ainsi que leur volumétrie.

    Pour choisir la meilleure stratégie de stockage, il faut prendre en compte le coût de ce dernier. L’archiviste travaille de concert avec le RSSI afin de mettre en place le meilleur système de stockage des données d’archivage.

    Lire aussi : Archivistes suisses : des défis multiples à relever

    L’archiviste peut aussi participer à l’élaboration du PCA (Plan de continuité d’activité). Ce document définit les modes opératoires pour bénéficier d’une disponibilité en continu d’une infrastructure informatique (réseau, data center, serveurs…).

    Le PCA demande de connaître les données vitales pour le bon fonctionnement d’un service, en cas, par exemple, de cyberattaque. Une question à laquelle l’archiviste peut répondre. À l’inverse, l’archiviste doit s’interroger en cas de sinistre sur la continuité de fonctionnement du SAE qu’il administre et pouvoir s’appuyer sur ce mode opératoire.

    L’archiviste prend part à la politique de sécurité de son organisation au travers du SAE et est sensibilisé aux questions de sécurité. En tant qu’administrateur fonctionnel de son logiciel d’archivage, il participe à la fois à la sécurité de l’outil et intègre son outil comme un dispositif de sécurité en cas de cyberattaque.

    C’est pourquoi il a toutes les clés en main, que ce soit en matière de compétence et de connaissance de l’organisation, pour être inclus dans les groupes de travail d’élaboration d’un PCA.

    Hugo Velluet
    [Consultant et formateur chez Serda Conseil]

    À lire sur Archimag
    Les podcasts d'Archimag
    Rencontre avec Stéphane Roder, le fondateur du cabinet AI Builders, spécialisé dans le conseil en intelligence artificielle. Également professeur à l’Essec, il est aussi l’auteur de l’ouvrage "Guide pratique de l’intelligence artificielle dans l’entreprise" (Éditions Eyrolles). Pour lui, "l’intelligence artificielle apparaît comme une révolution pour l’industrie au même titre que l’a été l’électricité après la vapeur".
    Publicité

    2025-Catalogue Dématérialisation-Serda Formation