Avis d'expert : Quelle place pour le coffre-fort numérique dans la problématique de conservation...
2
Click here to load reader
Transcript of Avis d'expert : Quelle place pour le coffre-fort numérique dans la problématique de conservation...
Avis d'expert : Quelle place pour le coffre-fort numérique dans
la problématique de conservation de l’information des entreprises ?
Par Noureddine LAMRIRI, chef de produit
Conserver l’information numérique des entreprises équivaut en synthèse à se prémunir contre les
risques, en particulier contre le risque de non disponibilité des archives. Mais quelle est la place du
coffre-fort numérique dans cet enjeu ? Ce concept, à la fois porteur et flou, a donné naissance à une
pluralité d’offres hétérogènes. Au-delà des fonctionnalités liées à la valeur probatoire et aux enjeux de
confidentialité des données archivées, les entreprises doivent prendre en compte d’autres critères
(pérennité financière, destruction des archives…) et inscrire le coffre-fort numérique au sein d’un
système d’archivage électronique aux objectifs plus vastes.
Un concept porteur mais une offre hétérogène
Le coffre-fort numérique est avant tout un concept porteur. Dans l’esprit de tous, c’est la transposition du coffre-
fort physique à l’information numérique. La définition générique proposée par FedISA est « un espace virtuel de
stockage et de conservation sécurisé et réputé inviolable permettant de restituer ce qui y a été déposé sans
altération. »
Mais concrètement, le concept de « coffre-fort électronique » laisse une large part à l’interprétation. A titre
d’illustration, l’on peut noter la différence d’interprétation faite par la CNIL et l’AFNOR au sujet du « coffre-fort
numérique »(CFN) . En effet, la CNIL se positionne sur les coffres-forts dédiés à une personne physique alors
que l’AFNOR , via la norme NF 42-020, définit la couverture du CFN pour la conservation des documents
numériques stratégiques des entreprises. Tous les acteurs du monde informatique s’engouffrent dans la brèche,
ce qui amène une offre très hétérogène sur le marché : solution logiciel, service en mode SaaS, système
physique type WORM-logique… A cela s’ajoute un niveau de qualité logiciel très variable allant d’un système très
sécurisé à un système très ouvert, centré sur la confidentialité, un autre sur l’intégrité/la pérennité.
Dans ce contexte, comment et pourquoi mettre en œuvre un coffre-fort numérique ?
Un outil de gestion des risques
C’est la gestion du risque, plus exactement le besoin de se prémunir contre le risque d’indisponibilité des
archives, qui justifie dans la majorité des cas la mise en place d’un coffre-fort numérique et non le besoin de
dégager du ROI.
Pour cela, le coffre-fort doit assurer l’intégrité et la pérennité des archives, mais également la sécurité et la
confidentialité. Ces objectifs sont d’autant plus complexes à atteindre qu’il est souvent délicat d’obtenir le meilleur
compromis entre options de sécurité (lisibilité et réversibilité des archives) et exigences de confidentialité
(cryptage des archives, accès complexes), notamment pour les archives les plus sensibles. Il existe ainsi une
opposition entre la nécessité d’empêcher tout accès aux archives par des intrusions directes via les composants
d’infrastructure (ex : base de données) par les acteurs internes ou externes comme le DBA, et la nécessité de
disposer d’un système ouvert, pérenne, totalement réversible.
Néanmoins, une ligne de compromis existe pour chaque projet, permettant de répondre à ces enjeux.
Mais un outil avec des limites
Paradoxalement, le coffre-fort numérique porte intrinsèquement un risque lié à son périmètre restreint de
couverture. En effet, le coffre-fort s’est imposé comme un espace applicatif sécurisé permettant d’assurer
l’intégrité et la pérennité des archives. Or, ces caractéristiques sont insuffisantes pour permettre une parfaite
intégration de ces outils au sein des entreprises. A titre d’exemple, une fonction de base comme la recherche ou
le dépôt, déterminante pour tout utilisateur, est souvent proposée de manière extrêmement sommaire au sein des
solutions de coffre-fort. Face à ce constat, les entreprises complètent leur coffre-fort de briques fonctionnelles
additionnelles complexifiant la chaîne de liaison entre l’archive et l’utilisateur et générant, de ce fait, du risque (par
exemple : l’usurpation de session).
Autre aspect déterminant, le coffre-fort n’intègre pas conceptuellement de référentiel d’archivage. Or, cette
fonctionnalité est primordiale pour toute approche d’archivage au sein d’une entreprise.
Un composant du système d’archivage électronique
Quelle est donc la place du coffre-fort et comment peut-il rendre service aux entreprises ?
Pour y répondre appuyons-nous sur le constat fait par l’AFNOR qui positionne le coffre fort numérique comme un
composant qui, de ce fait, ne peut pas être considéré comme un système autonome. Dans ce cadre, le coffre-fort
s’inscrit naturellement comme une brique intégrée à un système d’archivage global (SAE) idéalement conforme à
la norme NF Z42-013 et au cadre de certification de la marque NF 461. Cette approche permet de centraliser en
un système unique l’ensemble des problématiques d’archivage rencontrées (papier, électronique, valeur
probatoire, archivage de masse…). L’entreprise dispose alors d’une solution sécurisée permettant d’appliquer
aisément la politique d’archivage en vigueur.
En savoir plus sur la solution d’archivage EverSuite Compliance
