//Archivage électronique… comment le sécuriser ?5 min de lecture

Archivage électronique… comment le sécuriser ?5 min de lecture

Qui est concerné ? Entreprises
Combien de temps faut-il ? 10 minutes
Quel gain ? Comprendre les enjeux de l’archivage électronique

Pourquoi un archivage sécurisé ?

L’évolution des technologies et des avantages liés aux nouveaux moyens de communication fait que les échanges électroniques et l’utilisation des nouvelles technologies prennent une place de plus en plus importante au sein de la société.

Dès lors que les éléments concernés dans le cadre de la dématérialisation présentent une valeur juridique, une utilité pour la bonne gestion à long terme ou encore un intérêt historique, il y a nécessité d’archiver.

En particulier, seul un archivage électronique sécurisé permettra au juge d’apprécier la valeur juridique du document présenté, la conservation réalisée devant répondre aux exigences légales ou jurisprudentielles.
Qu’est-ce qu’un archivage sécurisé ?

D’une manière générale, l’archivage électronique sécurisé peut être défini comme :

L’ensemble des modalités de conservation et de gestion des archives électroniques destinées à garantir leur valeur, notamment juridique, pendant toute la durée nécessaire.

De multiples paramètres à prendre en compte :

Pour que la valeur juridique de l’archivage électronique ait une certaine valeur, il faut tenir compte des différentes exigences et contraintes :

– identification et authentification de l’origine des archives ;
– intégrité des archives ;
– intelligibilité et lisibilité des archives ;
– durée de conservation des archives ;
– traçabilité des opérations effectuées sur les archives (versement, consultation, migration, élimination…) ;
– disponibilité et accessibilité des archives.
Sécuriser l’archivage

5 fonctions à mettre en œuvre

L’archivage électronique sécurisé s’inscrit dans le cadre de cinq grandes fonctions qu’il convient de bien définir :

1. le versement ;

2. le stockage ;

3. la gestion des données descriptives ;

4. la consultation/communication ;

5. l’administration (relation avec les services producteurs, veille technologique et juridique, projets d’évolution et migration des supports et des formats).

4 rôles à distinguer

On distingue quatre rôles :

1. services producteurs d’archives ;

2. services versants ;

3. autorités d’archivage (responsables de la conservation des archives) ;

4. services contrôleurs (exerçant le contrôle scientifique et technique sur les archives publiques).

Ces rôles sont tour à tour assurés par des acteurs différents suivant le cycle de vie de l’archive et suivant les organisations en place.

Une cohérence à garantir

La mise en place d’un archivage électronique sécurisé doit être faite en cohérence avec :
– la politique de sécurité ;
– le niveau de maturité SSI ;
– la gestion des risques SSI ;
– le standard d’échange de données pour l’archivage électronique (référentiel général d’interopérabilité) ;
– le cadre législatif et réglementaire.

Élaborer son référentiel

Un référentiel et des documents types

L’archivage électronique sécurisé repose sur un référentiel documentaire au moins composé de :
– la politique d’archivage (PA) ;
– la déclaration de pratiques d’archivage (DPA) ;
– le cahier des charges pour mettre en place le système d’archivage électronique ;
– les modalités opérationnelles (MO) ;
– la grille d’audit pour vérifier la conformité par rapport au référentiel.

L’ANSSI a établi, sur la base de l’état de l’art technique et juridique, un référentiel type pour la sphère publique afin de l’aider à élaborer ses propres référentiels. Ce document est accessible gratuitement sur le site de l’ANSSI.

Il relève à la fois d’une démarche pédagogique, car enrichi d’exemples et de préconisations, et d’une démarche pratique, dans la mesure où y sont décrites les règles de sécurité à respecter (obligations, responsabilités, fonctionnalités, architecture, aspects sécurité…).

La DPA et la description des modalités opérationnelles ne font pas l’objet de documents types, du fait qu’elles sont intimement liées aux besoins spécifiques de l’organisme concerné et aux moyens dont il dispose.

La politique d’archivage (PA)

Ce document permet aux personnes en charge des archives publiques (autorités d’archivage) de disposer des règles de base en matière de sécurité pour l’archivage électronique. La PA type définit les contraintes juridiques, fonctionnelles, opérationnelles et techniques à respecter par les différents acteurs afin que l’archivage électronique mis en place puisse être considéré comme fiable.

La déclaration de pratiques d’archivage (DPA)

La PA doit être complété par une déclaration de pratiques d’archivage (DPA) qui décrit les moyens mis en œuvre pour atteindre les objectifs fixés dans la politique d’archivage.

Le cahier des charges

Ce document est destiné à faciliter la mise en place du système d’archivage électronique par l’autorité d’archivage. Il décrit les phases à respecter, les besoins, contraintes et exigences minimales, et permet ainsi à l’administration de :
– progresser dans la conception d’un système d’archivage électronique ;
– définir les critères de choix lorsque plusieurs solutions sont en compétition ;
– établir les bases du cadre contractuel avec le prestataire retenu.

Les modalités opérationnelles (MO)

Un document doit préciser les modalités opérationnelles de mise en œuvre du système d’archivage électronique, en conformité avec la PA et la DPA.

La grille d’audit

Elle reprend, sous forme de points de contrôle, les exigences définies dans la PA et permet aux services de contrôle de recenser facilement les non-conformités majeures / non-conformités mineures / remarques correspondant à l’autorité d’archivage contrôlée. Un tableau récapitulatif, généré automatiquement, présente une synthèse des résultats du contrôle.

Disponible sous format XML, cette grille permet d’effectuer un audit assisté et sert de base à la rédaction du rapport d’audit qui devra être dressé.

Source : securite-informatique.gouv.fr