Memento pour la conservation de documents électroniques (dans l
Transcription
Memento pour la conservation de documents électroniques (dans l
Memento pour la conservation de documents électroniques (dans l’attente de l’établissement d’une procédure validée) DÉFINITIONS ET OBJECTIFS L’objectif de ce memento est de vous aider à garantir l’intégrité, la lisibilité, la traçabilité, l’authenticité ainsi que la sécurité des données ou des documents électroniques, dans le temps, sans disposer d’un véritable système d’archivage électronique (qui est en cours d’établissement). Rappel : les documents à conserver en archives électroniques sont les documents nativement électroniques. LES QUATRE OBJECTIFS D’UN ARCHIVAGE ÉLECTRONIQUE PÉRENNE Le memento doit permettre de se rapprocher au maximum de ces objectifs. Intégrité Traçabilité Sécurité Pérennité Définition et objectifs S’assurer de l’authenticité du document : le document conservé n’a pas été modifié dans son contenu ni dans sa forme, on peut établir de façon fiable son identité. Mise en place de l’historique du cycle de vie du document : description de toutes les opérations effectuées sur le document (consultations, migrations, etc.). - Assurer la conservation du document à long terme. - Limiter la communication suivant la législation en vigueur. Assurer la lisibilité du document dans le temps. Comment - Vérifier l’identité de l’auteur du document (par la signature électronique notamment). - Vérifier la non-modification des documents par la gestion des métadonnées. - Horodater le document en établissant les dates de création et de validation des documents. - Toute modification, ajout ou suppression d’une donnée/document est tracé dans un journal des événements. Voir tableau sur la sécurisation des équipements et du réseau informatique. - Déterminer le format et le support adapté à la conservation (voir Recommandations techniques). - Prévoir des vérifications et des migrations régulières de supports. - Extraire et conserver les informations portant sur le contenu, la gestion et le format des documents (voir Métadonnées). PREPARER LES DONNÉES À CONSERVER Etapes 1- Repérer les archives électroniques 2- Identifier Objectif Connaître l’état de la production de documents électroniques et identifier les circuits de validation. En pratique - Relever pour chaque document son nom, sa date de création/de validation, son format, sa localisation, sa valeur (double, original). - Ne pas oublier les données issues d’applications métiers. - Identifier et retrouver Créer une arborescence facilement les documents. informatique. - Classer rapidement les - Normaliser le nommage des documents nouvellement documents produits. (voir la fiche : RegleNommageFichier Elct_20141217_V1.pdf). -Dès la création d’un document bureautique, mentionner les dates de création et de validation, (contrôle des versions/ versionning). RENSEIGNER LES MÉTADONNÉES ET LES EXTRAIRE (dans l’idéal) Les métadonnées sont toutes les informations techniques et descriptives entourant la création d’un document électronique ou d’une donnée. Pour permettre une restitution ou une exploitation dans le temps des archives électroniques, il est nécessaire de préparer les données à conserver, de parer à l’obsolescence des supports, de vérifier les formats de conversion et de s’assurer de la sécurité entourant l’information et sa conservation (comme indiqué dans les paragraphes suivants). Mais ces différentes démarches seront incomplètes sans l’extraction des métadonnées. Fonctions essentielles Organiser et exploiter l’information dans le temps (nom, date, auteur…, arborescence…) Maintenir l’accessibilité et le contrôle des accès (type de format et ou version du format utilisé…, droit d’accès…) Service des Archives - Inserm DISC [email protected] En pratique Les différentes informations sont souvent contenues dans le document (propriétés du document). Elles sont renseignées par le créateur du document, les applications métier ou le logiciel 2/4 RECOMMANDATIONS TECHNIQUES Formats recommandés Un format adapté à la conservation est1 : Format ouvert : dont les spécifications sont publiquement accessibles Format standardisé ou normalisé : faisant l'objet d'une normalisation par une institution publique ou internationale Format utilisé par une grande communauté et porteur des informations sur sa création, sa validation ainsi que sur sa conversion Format indépendant du contexte technologique Supports recommandés Un support adapté à la conservation est2 : Support existant : produit par plusieurs sociétés et en vente sur le marché Support surveillés : tests de l’état de fonctionnement du support réguliers Support bien conservés : éloignement des ondes électromagnétiques (attention aux tableaux général des basses tensions), conservation idéal à 18 °C dans un endroit sec. Supports multiples : enregistrement des documents sur deux supports différents (« copies miroir » conservées dans des lieux différents). Supports régulièrement changés : migration physique des données (transfert de données d’un support de stockage vers un autre plus récent). A réaliser dès que l’un des supports est déclaré obsolète ou dysfonctionnant. SÉCURISATION DES ÉQUIPEMENTS ET DU RÉSEAU INFORMATIQUES Sécurisation des équipements et du réseau informatiques La sécurité informatique vise cinq principaux objectifs : L'intégrité (la garantie que les données sont bien celles que l'on croit être) La confidentialité (l’assurance que seules les personnes autorisées aient accès aux ressources échangées) La disponibilité (le maintien du bon fonctionnement du système d'information) La non-répudiation et l'authentification (l’assurance de l’identité du créateur de la donnée) 1 La liste des formats archivable au CINES est disponible sur cette page : https://www.cines.fr/archivage/desexpertises/expertise-formats/liste-des-formats-archivables/ (pour les documents textes, préférez l’utilisation du PDF/A). 2 Nous conseillons l’utilisation de serveurs dédiés avec contrôle d’accès et de disques durs conservés dans un environnement adapté (solution de stockage à court voire moyen terme). Service des Archives - Inserm DISC [email protected] 3/4 Etapes 1-Etablissement d’une politique de sécurité 2-Securisation physique du matériel 3-Sécurisation des connexions et du réseau interne 4-Sécurisation logique (au niveau des données) Objectifs Faire Permettre une utilisation - Identifier les besoins et les risques (audit). pratique et en toute confiance. - Elaborer des règles et des procédures à mettre en œuvre dans les différents services. - Surveiller et détecter les vulnérabilités du système d'information et se tenir informé des failles sur les applications et matériels utilisés. - Définir les actions à entreprendre et les personnes à contacter en cas de détection d'une menace. - Sensibiliser les utilisateurs aux problèmes de sécurité. Eviter la perte d’information - Protéger la salle serveur contre les par destruction ou incendies, les inondations, les coupures de endommagement des supports courant, etc. de conservation. - Doubler la sauvegarde (copie miroir) : double site de sauvegarde. - Contrôler les accès au local serveur. - Faire attention aux conditions de conservation des supports de stockage (température, hygrométrie, luminosité…). Détecter les tentatives - Surveiller le réseau (activité, analyse des d’intrusion et d’attaque du journaux d’activité, audit). réseau et les bloquer. - Effectuer une sauvegarde régulière. - Protéger l’accès à internet. - Mettre en place des points de filtrage. - Mettre en place des pare-feu et des antivirus. - Mettre en place des droits d’accès (applications). - Tenir à jour les systèmes et les langages. Document rédigé par le service des Archives de l’Inserm. Source principale : fiche pratique n°5 du service Archives du CIG Grande couronne : « Conservation des documents électroniques sans système d’archivage électronique », 2013. Service des Archives - Inserm DISC [email protected] 4/4