Archivage légal et coffre-fort électronique

Lorsqu'on souhaite conserver sur le long terme des fichiers numériques, nous sommes confrontés à des questions de sécurité et de restitution des documents. Quels sont les moyens à mettre en place ? Quelles solutions ? Est-ce dans un cadre juridique ?

Nous parlons alors de coffre-fort électronique et d'archivage légal.

Le coffre-fort électronique :

Un coffre-fort est un dispositif technique visant à sécuriser les objets numériques déposés pour garantir leur intégrité, par des mécanismes d'identification des accédants et de traçabilité. Le label Coffre-fort est distribué par la CNIL.

Pour être labellisé « coffre-fort » :

• Les données doivent être chiffrées à chaque étape du processus
• Le dispositif du chiffrement doit répondre aux exigences de l'ANSSI (Agence nationale de sécurité des systèmes d'information)
• Mécanisme d'authentification forte

L'Archivage légal :

Cela consiste à mettre en place des précautions particulières qui permettront d'identifier un document et son auteur afin qu'il puisse être utilisé comme une preuve.

L'archivage légal pose plusieurs problématiques : la durée dans le temps, une restitution fidèle des documents (garantir l’authenticité des fichiers).

Ne pas confondre avec le stockage de données. L'archivage légal a pour objectif de recueillir, classer et conserver des documents à des fins de consultations ultérieures (consulter ces documents par exemple dans 10 ans).

Pour mettre en place une solution d'archivage légal il faut respecter la norme NF Z 42-013 ou ISO 15489 :

• fiabilité de l'intégration,
• sécurisation (redondance des systèmes, duplication des données...),
• pérennisation (il s'agit de conservation pendant des durées très longues, voire illimitées),
• confidentialité (ni plus, ni moins que pour un document papier, sauf qu'un système informatique ouvert sur le monde est peut-être plus vulnérable),
• accessibilité (performance indispensable des dispositifs, tant au niveau de la certitude de retrouver un document, que de la vitesse à laquelle une telle opération peut être effectuée, notamment pour des gros volumes),
• qualité de restitution (c'est très simple dans son principe : à l'identique),
• destruction : pour les documents qui ne doivent plus être conservés, destruction certaine, y compris tous les exemplaires de sécurité,
• traçabilité : capacité à suivre les différentes phases de constitution et de consultation d'un document.

Quelques notions :

Garantir authenticité :

• non-réinscriptibilité du support
  • disque optique non réinscriptible (CD-Worm, DON, DVD-Worm.…)
  • disques magnétiques non réinscriptibles (comme le système Centera)

Pérennité :

• vérification préalable des supports vierges,
• gravure sur CD-R en 2 exemplaires suivant un processus précis
  • fabrication des CD chez des fournisseurs qui garantissent des lots homogènes, avec, par exemple, 1200 CD d'un lot A et 1200 d'un lot B.
  • on grave 1 exemplaire dans chaque lot,
  • sur les 2 lots, il y en a toujours un moins vieux qui sert de master pour regraver un lot.
• stockage dans des lieux distincts
• tous les 6 mois on prélève des exemplaires dans chaque lot pour tester la validité du support.

Tiers archiveur

Le recours à un tiers archiveur (coffre-fort électronique) est un moyen simple de régler la plupart des problèmes techniques et réglementaires liés à l'archivage légal.

• intégrité et fidélité des documents numérisés (qualité des systèmes mis en œuvre),
• authentification à l'aide d'un tiers de confiance (distinct),
• sécurité (redondance, duplication, contrôle technique..),
• pérennité (point important, incluant notamment la migration périodique des technologies),
• conforme aux réglementations et normes de contrôle qualité.

Sources:

www.cnil.fr : le premier label coffre-fort

www.ssi.gouv.fr

www.numeria.fr/archivage-legal

www.guideinformatique.com

Wikipedia : Archivage électronique

Wikipedia : Coffre-fort numérique