Articles

Quelle place pour le coffre-fort numérique dans la problématique de conservation de l’information des entreprises ?

Conserver l’information numérique des entreprises équivaut  à se prémunir contre les risques, en particulier contre le risque de non disponibilité des archives. Mais quelle est la place du coffre-fort numérique dans cet enjeu ? Ce concept, à la fois porteur et flou, a donné naissance à une pluralité d’offres hétérogènes. Au-delà des fonctionnalités liées à la valeur probatoire et aux enjeux de confidentialité des données archivées, d’autres éléments doivent être pris en compte par les entreprises (pérennité financière, suppression des archives…) et inscrire le coffre-fort numérique au sein d’un SAE aux objectifs plus vastes.

Le coffre-fort numérique : un concept porteur mais une offre disparate

Le coffre-fort numérique est avant tout un concept porteur. Dans l’esprit de tous, c’est la transposition du coffre-fort physique à l’information numérique. La définition générique proposée par FedISA est « un espace virtuel de stockage et de conservation sécurisé et réputé inviolable permettant de restituer ce qui y a été déposé sans altération. »

Mais concrètement, le concept de « coffre-fort électronique » laisse une large part à l’interprétation. A titre d’illustration, l’on peut noter la différence d’interprétation faite par la CNIL et l’AFNOR au sujet du « coffre-fort numérique »(CFN) . En effet, la CNIL se positionne sur les coffres-forts dédiés à une personne physique alors que l’AFNOR , via la norme NF 42-020, définit la couverture du CFN pour la conservation des documents numériques stratégiques des entreprises. Tous les acteurs du monde informatique s’engouffrent dans la brèche, ce qui amène une offre très hétérogène sur le marché : solution logiciel, service en mode SaaS, système physique type WORM-logique… A cela s’ajoute un niveau de qualité logiciel très variable allant d’un système très sécurisé à un système très ouvert, centré sur la confidentialité, un autre sur l’intégrité/la pérennité.

Dans ce contexte, comment et pourquoi mettre en œuvre un coffre-fort numérique ?

Un outil de gestion des risques

C’est la gestion du risque, plus exactement le besoin de se prémunir contre le risque d’indisponibilité des archives, qui justifie dans la majorité des cas la mise en place d’un coffre-fort numérique et non le besoin de dégager du ROI.

Pour cela, le coffre-fort doit assurer l’intégrité et la pérennité des archives, mais également la sécurité et la confidentialité. Ces objectifs sont d’autant plus complexes à atteindre qu’il est souvent délicat d’obtenir le meilleur compromis entre options de sécurité (lisibilité et réversibilité des archives) et exigences de confidentialité (cryptage des archives, accès complexes), notamment pour les archives les plus sensibles. Il existe ainsi une opposition entre la nécessité d’empêcher tout accès aux archives par des intrusions directes via les composants d’infrastructure (ex : base de données) par les acteurs internes ou externes comme le DBA, et la nécessité de disposer d’un système ouvert, pérenne, totalement réversible.

Néanmoins, une ligne de compromis existe pour chaque projet, permettant de répondre à ces enjeux.

Un outil qui connait ses limites

Paradoxalement, le coffre-fort numérique porte intrinsèquement un risque lié à son périmètre restreint de couverture. En effet, le coffre-fort s’est imposé comme un espace applicatif sécurisé permettant d’assurer l’intégrité et la pérennité des archives. Or, ces caractéristiques sont insuffisantes pour permettre une parfaite intégration de ces outils au sein des entreprises. A titre d’exemple, une fonction de base comme la recherche ou le dépôt, déterminante pour tout utilisateur, est souvent proposée de manière extrêmement sommaire au sein des solutions de coffre-fort. Face à ce constat, les entreprises complètent leur coffre-fort de briques fonctionnelles additionnelles complexifiant la chaîne de liaison entre l’archive et l’utilisateur et générant, de ce fait, du risque (par exemple : l’usurpation de session).

Autre aspect déterminant, le coffre-fort n’intègre pas conceptuellement de référentiel d’archivage. Or, cette fonctionnalité est primordiale pour toute approche d’archivage au sein d’une entreprise.

Un composant du système d’archivage électronique

Quelle est donc la place du coffre-fort et comment peut-il rendre service aux entreprises ?

Pour y répondre appuyons-nous sur le constat fait par l’AFNOR qui positionne le coffre fort numérique comme un composant qui, de ce fait, ne peut pas être considéré comme un système autonome. Dans ce cadre, le coffre-fort s’inscrit naturellement comme une brique intégrée à un système d’archivage global (SAE) idéalement conforme à la norme NF Z42-013 et au cadre de certification de la marque NF 461. Cette approche permet de centraliser en un système unique l’ensemble des problématiques d’archivage rencontrées (papier, électronique, valeur probatoire, archivage de masse…). L’entreprise dispose alors d’une solution sécurisée permettant d’appliquer aisément la politique d’archivage en vigueur.

La nouvelle norme NF Z42-020 relative au coffre numérique

La nouvelle norme NF Z42-020 relative au coffre numérique – Périmètre et utilité

Un groupe de travail au sein de la Commission de Normalisation CN171 de l’AFNOR a souhaité définir une nouvelle norme autour du cofFfre fort numérique. Après plusieurs mois de travail, la norme NF Z42-020 a vu le jour et est publiée. Cette norme est relative aux « spécifications fonctionnelles d’un Composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps ».

Ayant piloté pendant la quasi totalité du projet le groupe de travail, il me semble intéressant de vous donner un aperçu du contenu de ce document et de son utilité. 

A qui s’adresse t-elle ?

La norme CCFN (Composant Coffre-Fort Numérique) est la première norme du genre disponible sur le sujet en France. Du fait de son contenu plutôt technique, la norme est d’avantage destinée aux sociétés qui souhaitent développer une solution ayant à intégrer un CCFN. Elle souhaite décrire les règles de l’Art à mettre en oeuvre afin de communiquer entre un SAE (Système d’Archivage Electronique) et le CCFN. En cela, la norme peut être considérée comme une description technique de la manière dont il est souhaitable qu’un SAE NF Z42-013 dialogue avec son CCFN.   La norme peut également être utile pour les consultants qui voudraient s’appuyer sur la description des fonctions de la NF Z42-020 à mettre en oeuvre dans le protocole d’échange des ON (Objets Numériques) entre le SAE et le CCFN. Enfin, la norme est aussi destinée aux sociétés qui développent et commercialisent  des CCFN.

Quelle est son périmètre ?

la norme NF Z42-020 fait une description fonctionnelle des verbes qu’un CCFN devrait implementer pour se conformer au texte proposé. Déposer, lire, détruire, contrôler, lister, compter, lire les métadonnées techniques, lire le journal. Tels sont les 8 verbes que la norme expose et détaille.

Un CCFN qui souhaite être conforme à la NF Z42-020 doit être en mesure d’implémenter ces verbes.

Un SAE NF Z42-013 qui souhaite utiliser un CCFN NF Z42-020 doit implémenter également l’appel à ces fonctions minimalistes.

Positionnement NF Z 42-020 / NF Z42-013

La norme NF Z42-020 doit être considérée comme un sous ensemble de la norme NF Z42-013. Il s’agit bien d’une norme sur un « composant »  coffre-fort numérique et non sur un « coffre-fort numérique » . Le titre de la norme est sans ambiguïté.

Le sous-entendu qui se trouve derrière le mot  « Composant » est « fort ». Il ne s’agit pas d’un coffre-fort mais d’un composant coffre-fort au service d’une solution qui devra l’implémenter comme l’explique l’introduction de la norme CCFN en mentionnant la norme NF Z42-013.

L‘annexe A de la norme CCFN expose le positionnement du CCFN par rapport à la norme NF Z42-013. Quelques points peuvent être soulignés :

  • Un SAE NF Z42-013 qui implémente un CCFN à la norme NF Z42-020 devra documenter dans son DDTS (Dossier de Description Technique du Système) le composant.
  • Le CCFN permettra de faciliter (partiellement) la mise en oeuvre des SAE NF Z42-013 basés sur des supports réinscriptibles
  • Les  journaux du CCFN devront s’intégrer naturellement aux journaux du cycle de vie des archives du SAE NF Z42-013. Ils ne pourront se substituer à eux puisque certains évènements  du journal du cycle de vie des archives tel que le changement de la durée de conservation d’un objet numérique doit figurer dans le journal du cycle de vie des archives.  Les verbes du CCFN ne gèrent pas ces points importants.

Une norme de trop ?

La norme NF Z42-020 aurait mérité de ne pas être une norme en tant que telle mais de venir enrichir la futur révision de la norme NF Z42-013. Elle aurait alors pu rentrer dans la certification Marque NF 461 et dans le cycle de révision de la norme ISO 14641-1. Née de la même commission de normalisation (CN171), il aurait été très facile d’arriver à ce résultat. Le consensus normatif en a décidé autrement.

 

Elle a donc maintenant le mérite d’exister mais reste toutefois très insuffisante. Elle ne couvre pas plusieurs points fondamentaux d’un CCFN : la sécurité des contenus qui sont placés dans le CCFN, l’environnement et l’exploitation du CCFN, la confidentialité et la disponibilité des objets contenus dans le CCFN.

En l’état, son application reste du domaine des règles de l’art. Il est d’usage de dire que les bonnes pratiques exposées dans cette norme sont conseillées.  La majorité des éditeurs de solution de SAE NF Z42-013 avaient déjà intégrés ces fonctions dans leurs solutions. Il ne s’agit donc pour eux, que d’une simple régularisation.

Eversuite Compliance

La solution EverSuite Compliance met en oeuvre la norme NF Z42-020 au travers de ses drivers d’URI (ES-URI)  permettant de piloter des solutions partenaires de stockage des objets numériques. Cette solution utilise  les 8 verbes fondamentaux minimaux de la norme. mais elle va plus loin.

EverSuite Compliance ajoute dans son vocabulaire des verbes permettant de protéger les objets numériques déposés dans le CCFN. Ces verbes permettent par exemple de fixer la durée de rétention des objets numériques, rendant alors impossible la destruction des objets tant que cette durée n’est pas révolue. Toutes les solutions de stockage Coffre-Fort Numérique ne proposent pas d’appliquer ce type de verbe pourtant si importants pour assurer la sécurité des objets déposés.

EverSuite Compliance  traite également de la réversibilité  des objets numériques en disposant  dans le CCFN toutes les informations utiles à la reconstruction des métadonnées associés aux objets stockés. Cette structure Xml permet également de vérifier l’intégrité des objets numériques et des métadonnées associés .

Contactez nous pour aller plus loin….

Ou trouver la norme NF Z42-020 ?

Vous souhaitez découvrir les détails de la norme NF Z42-020 de juillet 2012. Rendez-vous sur la boutique AFNOR

NF Z42-020 : Composant Coffre-Fort Numérique CCFN

Naissance de la NF Z42-020

Suite à la seconde réunion de dépouillement de l’enquête publique sur la proposition de norme NF Z42-020, l’ensemble des remarques issues de cette enquête ont été traitées par la Commission de Normalisation 171 (CN171) de l’AFNOR. La norme NF Z42-020 va donc officiellement voir le jour d’ici quelques semaines (fin mars 2012).

Famille des normes NF Z42-013

Cette nouvelle norme vient s’inscrire dans la suite logique de la norme NF Z42-013, norme permettant de mettre en place un Système d’Archivage Electronique (SAE).

La norme NF Z42-020 permet de définir un Composant Coffre-Fort Numérique CCFN qu’il est possible de mettre en œuvre dans le cadre de la norme NF Z42-013 pour dialoguer avec le composant technique en charge du stockage des « trains de bits » envoyés par le Système d’Archivage Électronique (SAE). La mise en oeuvre de la NF Z42-013 n’impose absolument pas la mise en œuvre de cette nouvelle norme.

Une norme avec une portée limitée

Cette nouvelle norme est assez limitée, et définit des fonctions minimales qu’un CCFN doit mettre en œuvre s’il souhaite se conformer à cette norme. Cette nouvelle norme permet simplement de structurer les CCFN en imposant des fonctions à respecter a minima.

Sa portée reste très limitée car la norme NF Z42-013 était déjà assez précise sur les exigences liées au stockage des contenus sur des systèmes basés sur des supports ré-inscriptibles. Les SAE qui se conformaient aux exigences de la NF Z42-013 traitaient déjà ces fonctions minimales.

La norme NF Z42-013 permet d’appliquer la Politique d’Archivage de l’entreprise ou de l’organisme alors que la norme NF Z42-020 permet de stocker des objets binaires et de les sécuriser.

EVERTEAM et la NF Z42-020

EVER TEAM est membre du Groupe de Travail CCFN qui a rédigé cette nouvelle norme. Cette nouvelle norme est déjà appliquée dans sa suite EverSuite Compliance via sa technologie de drivers d’URI.