Association des Archivistes Français Section Archives économiques
Transcription
Association des Archivistes Français Section Archives économiques
La preuve électronique au service de la dématérialisation Jean-Marc Rietsch Ingénieur Civil des Mines Expert en archivage électronique Président de FEDISA (Fédération Européenne de l’ILM du Stockage et de l’Archivage) Agenda de la journée 9h30 - Introduction, présentation de FedISA 9h45 - Dématérialisation et Archivage électronique 10h30 - Pause 10h45 – Aspects conformité d’un projet d’archivage électronique, cas pratique de la dématérialisation des factures 11h30 - La signature électronique comme élément de preuve Pause déjeuner 14h - Évolutions technologiques et interopérabilité 14h45 - L’autorité de gestion de preuve 15h30 - Pause 15h45 - Les aspects juridiques ou comment pourrait se dérouler un litige 16h30 - Cas concret, le dépôt électronique notarial 21 Novembre 2007 StorageExpo 2 Présentation FEDISA Fédération Européenne de l’ILM du Stockage et de l’Archivage Objectifs Commissions Ouvrages Adhérents Objectifs de FedISA Fédération Européenne de l’ILM, du Stockage et de l’Archivage informer et assister les utilisateurs fluidifier et participer au développement du marché : de l’archivage électronique, de la gestion et de la conservation de l’information, Réduire le time to market. 1ère association qui rassemble à la fois: des groupes d’utilisateurs, des intégrateurs, des fournisseurs de technologies, des experts techniques et juridiques. 21 Novembre 2007 StorageExpo 4 Commissions de FedISA Référentiels (J-L Pascon) Publications (J-C Maury) Information Continuity (P De Kervasdoue) Preuve électronique (E Combet) e-discovery (J-L Santoni) WikiFedISA (N Couraud) Observatoire - veille internationale (X Bouchet) Formation (EifISA) Club utilisateurs 21 Novembre 2007 StorageExpo 5 Ouvrages publiés Mipih, archivage en milieu hospitalier Cigref, Protection du patrimoine informationnel 21 Novembre 2007 StorageExpo 6 Les adhérents Fournisseurs de technologies: HDS, EMC, HP, SUN, IBM, Steria, STS, Mac Data, Inforca, Active Circle, IMD, Beemo, CA, GEMALTO,Mipih Experts techniques et juridiques: Caprioli&Associés, Cabinet Lexvia, Cabinet Vaughan, Storage Academy, Archive17, Compliance Company, Henon Conseil, Aquis, … Utilisateurs: Sanofi, SNCF, Thales, PSA, Notaires de Paris, CNES, Ministère Santé, EULER HERMES SFAC, Assistance Publique - Hôpitaux de Paris, La Poste, Business Objects, CHU BICETRE, Adecco IT Services, ELIOR DATA, EDF GDF, ALTAIR, GENERALI, orange France, SNCF, CNRS, Gaz de France, STRUCTIS (GIE Bouygues-Construction), Dexia-Sofaxis, AGF Asset Management, eads sogerma services, JCDecaux, matmut, SFR, PRISMA PRESSE, CNP Assurances, mutuelle Carac, Atos euronext market solutions, gemplus, Soletanche-Bachy, Bouygues Immobilier, RENAULT S.A.S, CNAF, INFORSUD FM, Ministère Education, EUROCOPTER, MIPIH, MDS Pharma Services, … 21 Novembre 2007 StorageExpo 7 Dématérialisation et archivage électronique Plan de la présentation 1. Archivage électronique Introduction Notion de document « numérique » Du tout papier à … Concept de l’ILM 2. Contraintes Techniques Légales et réglementaires Sécuritaires 3. Solutions génériques Méthodes Infrastructures Tiers de confiance 21 Novembre 2007 StorageExpo 9 1. Archivage électronique Introduction Notion de document « numérique » Du tout papier à … Concept de l’ILM Introduction Archivage sur support électronique de données numériques GED Archivage actif L’archivage électronique n’est pas : Une simple transformation de l’archivage traditionnel papier en électronique Mais correspond à : Une nouvelle organisation des données dans l’entreprise Traite essentiellement : Des données d’origine électronique Ne doit pas être vécu comme une contrainte, doit favoriser une nouvelle organisation pour une plus grande efficacité. 21 Novembre 2007 StorageExpo 11 Exemple d’une nouvelles organisations des sauvegardes Traditionnellement Données utiles Évolution Données utiles Sauvegardes modifiables figées 21 Novembre 2007 Archivage (historique) Sauvegardes Archivage (courant, actif, op,…) StorageExpo Archivage (historique) 12 Document « numérique » (D’après Roger T. Pédauque, STIC-CNRS) « document » « données » « connaissance » « information » Les documents sont omniprésents dans notre vie courantes (exemple sur un plan administratif) Notion intuitive d’où un flou @ problème / mesure des effets Concrétisation la plus banale = feuille de papier On assiste à un changement avec la perte de stabilité du document comme objet matériel et sa transformation en un processus construit à la demande. 21 Novembre 2007 StorageExpo 13 Document comme forme (objet) Document traditionnel = support + inscription (indissociable) Autrefois directement perceptible (intelligible) par la lecture Aujourd’hui on a toujours besoin d’un objet mais qui n’est plus suffisant pour la lecture directe (cf. dispositifs spécifiques / disque, bande, vidéo, film) La notion même de support se complexifie et devient ambiguë: Est-ce ? : - le fichier, - l’outil matériel qui l’héberge, - la surface de l’écran où il s’affiche ? 21 Novembre 2007 StorageExpo 14 Processus construit à la demande En informatique: programme = logiciel + données Document numérique = structure + données + mise en forme Construire des documents (numériques) en remontant pas à pas leur logique ou structure interne pour déboucher sur une représentation lisible à l’écran. Évolution actuelle : Document (format) XML (universel) = données structurées + mise en forme 21 Novembre 2007 StorageExpo 15 Du tout papier… Création et mise à jour réduite Conservation dans service d’entreprise d’origine Archivage avec rupture (organisation spécifique) Recherche possible mais longue, procédures lourdes 21 Novembre 2007 StorageExpo 16 en passant par la GED Numérisation d’un document papier Stockage des documents Recherche rapide Accès simplifié au document évoluant vers la GEIDE (gestion électronique de l’information et des documents existants) Numérisation et documents numériques d’origine Gestion des flux (workflow) 21 Novembre 2007 StorageExpo 17 … à l’ILM Tous types d’information: texte, image, vidéo, musique Gestion de l’ensemble des flux et de l’information pendant tout son cycle de vie (cf. nécessité en cas de preuve) Ère de la dématérialisation (double sens) 21 Novembre 2007 StorageExpo 18 Le Concept d’ILM I comme information L comme cycle de vie M comme management I comme information document 56 25 68 n° 1 2 3 4 5 nom Paul Magali Serge Claude Peggy âge 23 42 19 50 37 56 25 68 adresse Anvers Rome Varsovie Montréal Londres fsd glo rru fsd glo rru dossier données 21 Novembre 2007 StorageExpo 20 L comme cycle de vie (Patrimoine informationnel) Document management Records management Patrimoine V1 discutée V2 diffusée V1, V2, V3… V3 annule et remplace V2 utilisateur court terme figé responsabilité de l’entreprise de 1 an à 100 ans… mémoire historique (1-5%) chaîne de confiance 21 Novembre 2007 StorageExpo 21 M comme management Avoir une vue d’ensemble de l’information produite et archivée Évaluer les risques volumes approche qualitative par rapport à la conformité (compliance) en interne Maîtriser les coûts €, $ rapport coût/efficacité 21 Novembre 2007 StorageExpo 22 2. Contraintes - Techniques - Légales et réglementaires - Sécuritaires 2.1 Contraintes techniques A. Formats logiques B. Supports (Formats physiques) C. Migrations D. Signature électronique 21 Novembre 2007 StorageExpo 24 A. Formats logiques Accéder aux spécifications du format afin de pouvoir écrire au besoin un programme destiné à l’interpréter . Les différents types de formats: + standards (normalisés, utilisation libre); ouverts (spécifications publiques); propriétaires (définis par une entreprise privée et soumis à des droits); fermés (spécifications secrètes). 21 Novembre 2007 StorageExpo 25 Exemples de formats logiques Formats usuels: Formats textuels (TXT, WORD, RTF, HTML, XML) Formats image (BMP (bitmap), TIFF (Tagged Image File Format), PNG (Portable Network Graphics), JPEG (Joint Photographic Experts Group) ) Formats audio, vidéos Formats mixtes PDF (Portable Document Format) normalisé dans sa forme PDF/A ISO/DIS 19005 Le recours à la canonicalisation: 21 Novembre 2007 StorageExpo 26 B. Supports(formats physiques) Caractéristiques : pérennité et garantie d’intégrité, éviter les solutions informatiques à forte dépendance Disques optiques de technologie WORM (physique) Disques optiques réinscriptibles Supports magnétiques (cartouches, bandes) Disques magnétiques avec garantie d’intégrité Microformes COM (Computer Output Microform) 21 Novembre 2007 StorageExpo WORM (logique) 27 C. Migrations Indispensables compte tenu de l’évolution technologique, doivent être anticipées et planifiées Deux grands types de migrations possibles : au niveau des supports physiques au niveau du format logique (pb. intégrité) 21 Novembre 2007 StorageExpo 28 D. Signature électronique Il ne s’agit pas d’une simple empreinte ou de la numérisation d’une signature classique… Le certificat électronique permet: L’authentification forte La signature électronique Le chiffrement Plusieurs classes de certificats, 1 à 3+ 21 Novembre 2007 StorageExpo 29 Mécanisme signature Permet d’identifier le signataire et de garantir l’intégrité du document traité Mécanisme simplifié: 1. 2. 3. 4. Calcule de l’empreinte du document Demande du code PIN (si certificat 3+) Chiffrement de l’empreinte avec clé privée Constitution du « fichier signature » avec empreinte chiffrée et certificat électronique 21 Novembre 2007 StorageExpo 30 Remarques et contraintes SE Intégrité technique (et non intégrité de l’information) La signature s’applique au document numérique Le signataire n’a pas toujours connaissance de tout ce qu’il signe Impossibilité de changer de format voire de version d’un même format sans perdre la visibilité de la signature Nécessité de conserver des informations complémentaires destinées à pouvoir vérifier la signature ? 21 Novembre 2007 StorageExpo 31 2.2 Contraintes légales et réglementaires « archivage légal » Le juge est seul compétent pour décider de la conformité du système de sécurité et dire si le document est recevable en tant que preuve. L’archivage « légal » n’existe pas à proprement parler. 21 Novembre 2007 StorageExpo 32 Les obligations légales d’archivage Loi du 3 janvier 1979 sur les archives (code du patrimoine) Loi du 13 mars 2000 portant adoption de la preuve aux technologies de l’information et relative à la signature électronique Loi du 21 juin 2004 pour la confiance dans l’économie numérique 21 Novembre 2007 StorageExpo 33 Conditions / Valeur probante Respect des conditions légales prescrites dans les textes Intelligibilité, peu importe la forme de l’information, l’essentiel est qu’elle soit restituée de façon intelligible par l’homme et non par la machine Identification de l’auteur Garantie d’intégrité Pérennité, respecter les durées de conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions Fiabilité du procédé technique d’archivage : Contrôle par le juge de la conformité du système d’archivage avec les normes techniques en vigueur, bonnes pratiques Labellisation Recours aux experts informatiques 21 Novembre 2007 StorageExpo 34 Problématique archivage « légal » Les normes n’ont pas de caractère obligatoire. Elles ne constituent qu’un indice de la fiabilité du système. La loi ne traite pas des formes et des modalités d’archivage. Quel degré de sécurité ? Uniformité ou spécificités ? Respect du principe de neutralité technologique Élimine le risque d’obsolescence Rappelons de la même façon qu’aucun texte ne précise les conditions de conservation des écrits « papier » en imposant par exemple l’utilisation de méthodes contre les insectes, les bactéries, les incendies... Quid du coût de l’archivage en terme de support et de durée ? 21 Novembre 2007 StorageExpo 35 2.3 Contraintes sécuritaires Identification, authentification Confidentialité, contrôle d’accès Disponibilité, communication Accessibilité, habilitation Intégrité Pérennité, durée de conservation Tracabilité, conservation des traces 21 Novembre 2007 StorageExpo 36 3. Solutions génériques - Méthodes de gestion de l’information - Gestion projet d’archivage - Infrastructures - Tiers de confiance 3.1 Méthodes de gestion de l’information A. B. C. D. E. Plan de classement Règles de nommage Qualification de l’information: métadonnées Accompagner le cycle de vie Normes 21 Novembre 2007 StorageExpo 38 A. Plan de classement Classement selon l’organisation bureau A, bureau B,… mais réorganisations… Classement thématique domaines de recherche, contenus Classement par forme papier, document électronique, données, e-mails Classement par valeur de l’information documents à valeur fiscale/comptable, susceptibles d’être requis lors d’un contentieux, valeur d’information temporaire Combinaison possible de plusieurs classements 21 Novembre 2007 StorageExpo 39 B. Règles de nommage Nom du document explicite Version renommer le document validé Code de classement indication du dossier ou de la valeur Cas des messages électroniques objet indiquant l’affaire ou la criticité 21 Novembre 2007 StorageExpo 40 C. Qualification de l’information Métadonnées Métadonnées : de contexte / source de contenu de forme / format de sensibilité d’accès de durée de vie 21 Novembre 2007 StorageExpo 41 Métadonnées Les métadonnées sont aux données ce que l'étiquette est à un médicament nom du médicament, du fabricant, composition chimique, nombre de comprimés ; posologie ; date de péremption du médicament ; précautions à prendre, effets secondaires,… Jean Denègre, EN Sciences Géographiques 21 Novembre 2007 StorageExpo 42 D. Accompagnement du cycle de vie Évolution du caractère vital / critique perte ou acquisition Évolution de la confidentialité à la baisse ou à la hausse Gérer la durée de conservation validité pour l’action =/= validité pour la preuve destruction à terme (CNIL), prolongation, révision réactivation par suite d’une évolution de la législation ou d’un contentieux 21 Novembre 2007 StorageExpo 43 E. Normes Normes Utilisation ISO 15489 - Records stratégie globale pour la traçabilité de l'information management et des responsabilités (Model functional requirements for electronic MoReq (Commission records management) exigences et spécifications européenne) pour un système d'archivage électronique conservation et intégrité des documents NF Z42-013 dématérialisés organisation et fonctionnement d'un centre ISO 14721 - OAIS d'archivage de données ISO 19005 - PDF/A format de conservation des documents ISO 27001 sécurité 21 Novembre 2007 StorageExpo 44 3.2 Grands processus de l’archivage (records management) 1- Identifier et capturer ce qui ne doit plus être système d’archivage modifié 3- Mettre l’information à disposition des utilisateurs 2- Conserver l’intégrité jusqu’à la destruction ! 4- Intervention spécifique (catastrophe, contentieux, cession…) 21 Novembre 2007 StorageExpo 45 Mise en œuvre d’un projet d’archivage 1 Décrire la cible : ce que l’on doit ou veut archiver + modalités 3 2 + Existant : ces exigences sont-elles satisfaites? Cahier des charges : fonctionnalités souhaitées et contraintes techniques 4 Choix d’une solution et mise en oeuvre 5 Audit et mise à jour des exigences 21 Novembre 2007 StorageExpo 46 Politique d’archivage 21 Novembre 2007 StorageExpo 47 C. Outils complémentaires C a h i e r Outil d’aide au contrôleur moyens mis en œuvre pour atteindre les objectifs de .la politique d’archivage. mise en œuvre du système .d’archivage électronique. 21 Novembre 2007 StorageExpo d e s c h a r g e s 48 Organisation autour de la PA Évolutions législatives et réglementaires Vérification Politique d’archivage Audit Système d’archivage électronique 21 Novembre 2007 StorageExpo 49 3.3 Infrastructures A. Plates formes B. Comment choisir ? 21 Novembre 2007 StorageExpo 50 A. Plates formes 1, 2, 3 sites Accès Services versant Utilisateurs Accès SITE 2 SITE 1 Serveur frontal Serveur Web Serveur applicatif/stockage Réseau sécurisé Données de gestion Serveur applicatif Paquets archivés Réseau Serveur stockage Données de gestion 21 Novembre 2007 Paquets archivés SITE 3 StorageExpo 51 B. Critères de comparaison Objectif: Etablir une matrice en fonction des risques résiduels Architecture Risques Évaluations Coût de l’architecture financière (description) résiduels (définitions) des risques (probabilité occurrence) 21 Novembre 2007 StorageExpo 52 3.4 Tiers de confiance, leurs engagements: A. Certificateurs (autorité, opérateur) B. Horodateurs C. Date et heure Archiveurs D. Validité certificat Intégrité, pérennité Autorité de gestion de preuve 21 Novembre 2007 Attestation de preuve StorageExpo 53 Merci pour votre attention Pour en savoir plus : [email protected] +33 (0)6 07 58 81 17 www.fedisa.eu 21 Novembre 2007 StorageExpo 54