Confiance Numérique - Coffre-Fort Électronique

M2 MQSE-PSI

CFA UTEC - UNIVERSITÉ PARIS EST

MARNE LA VALÉE

2014

Mémoire de Recherche

Le coffre-fort numérique

Mémoire M2 MQSE - PSI Coffre-fort numérique

1 Sefer AKBULUT, Olivier KAZ, Ariel SKABA.

Résumé

L’archivage dans un coffre-fort numérique se distingue d’un simple espace de stockage car il est à

vocation probatoire : les documents sont hautement protégés via un système de sécurité réalisé par un

tiers (signature électronique ou empreinte du document) afin de conserver leur valeur juridique et leur

lisibilité dans le temps.

Grand nombre de certifications et labels sont définis afin de cadrer et mettre en confiance le périmètre

de l’appellation « coffre-fort numérique ».

Nombreux sont les offres proposées sur la toile et un projet ambitieux du secteur public a pour objectif

de réaliser un socle administratif utilisant les technologies de dématérialisation afin de simplifier la

gestion des documents étatiques des citoyens. Pour mettre en place ce système, le service public

souhaite implémenter un coffre-fort numérique de taille nationale.

ABSTRACT

The archiving in an electronic online secure storage system is not different of an usual storage system

because the secure storage has a probative vocation: The files are highly secured with a security

system made by a third party ( with an electronic signature or stamped/marked folders) to keep its

juridical value and to be still able to read it in time.

A lot of certificate and labels have been made to frame and make it trustable the name of the "Online

secure storage"

There is lot of secure storage offer on internet and there is an ambitious project in the government

which aim to make a administration which use technology and dematerialization to simplify the

management of citizen's files. To make this system possible the government wish to create a national

secure storage.



Sommaire

I. Résumé ........................................................................................................................... 1 Introduction ........................................................................................................................... 4 II. DEFINITION .................................................................................................................... 5

A. Notions de coffre-fort ............................................................................................. 5

1. Coffre-fort ......................................................................................................... 5 2. Coffre-fort numérique ....................................................................................... 6 3. La coffre de confiance numérique .................................................................... 7 4. Les utilisations du coffre-fort ............................................................................ 8 5. La valeur des données numérique ................................................................... 10 6. Union des technologies ................................................................................... 12

B. Historique ............................................................................................................. 14 C. Tendances du marché ........................................................................................... 15

1. Usagers potentiels ........................................................................................... 15 2. Les tendances du marché ................................................................................ 16 3. Principales raisons d’utilisation d’un CFN ..................................................... 17

III. Normalisation ............................................................................................................... 18

A. Clarifications des certifications et labels .............................................................. 18 B. Abondance des certifications ................................................................................ 19

1. Obligation à la certification : Coffre-fort numérique des jeux en lignes ........ 20 2. Confiance managériale .................................................................................... 23 3. Confiance du produit : coffre-fort numérique ................................................. 27 4. Appellation de confiance délivré par la CNIL ................................................ 29

IV. Communication client .................................................................................................. 31

A. Certification, un label de confiance ...................................................................... 31 B. Nouvelle dimension .............................................................................................. 32

1. FNTC .............................................................................................................. 32 2. CNIL ............................................................................................................... 33

V. Les offres de coffre-fort numériques ............................................................................ 34

C. L’offre d’Allianz : un coffre-fort numérique dans les airs. .................................. 36 D. Dropbox : une bonne idée pour un coffre-fort numérique ? ................................. 37

VI. Etude d’un cas : Digiposte ............................................................................................ 38

A. Pour les particuliers .............................................................................................. 38

3. Partenariat avec les banques ........................................................................... 39 4. Partenariat avec l’offre mobile de La Poste .................................................... 39 5. Partenariat avec l’université UPMF ................................................................ 40 6. Partenariat avec les entreprises ....................................................................... 40

B. Pour les entreprises ............................................................................................... 40 C. Les dangers d’une telle offre ................................................................................ 41

VII. Conclusion .................................................................................................................... 42 VIII. Bibliographie ........................................................................................................ 43 IX. Glossaire ....................................................................................................................... 45



Figure 1 - Illustration coffre-fort ............................................................................................................. 5 Figure 2 - Exemple HTTPS ................................................................................................................... 12 Figure 3 - Schéma d'un accès client vers son coffre fort ...................................................................... 13 Figure 4 - Exemple d'utilisation RH ...................................................................................................... 15 Figure 5 - Croissance d'une entreprise de stockage ............................................................................... 16 Figure 6 - Coffre-fort des jeux en ligne, frontal et capteur. Source : Dossier des Exigences Techniques

de l’Autorité de Régulation des Jeux en Ligne (ARJEL))..................................................................... 21 Figure 7 - Logo ANSSI ......................................................................................................................... 21 Figure 8 - Logo certification CSPN....................................................................................................... 22 Figure 9 - Roue de Deming (PDCA) .................................................................................................... 24 Figure 10 - Logo certification ISO 27001 ............................................................................................. 25 Figure 11 - le « Cloud » fort .................................................................................................................. 27 Figure 12 - Logo certification NF ......................................................................................................... 27 Figure 13 - Logo FNTC ......................................................................................................................... 29 Figure 14 - Logo CNIL ........................................................................................................................ 29 Figure 15 - Signature électronique ........................................................................................................ 30 Figure 16 - Produit français ................................................................................................................... 30 Figure 17 - un exemple de guide de la confiance délivré par la FNTC ................................................. 32 Figure 18 - Strongbox : un coffre-fort numérique pour les lanceurs d’alertes ...................................... 34 Figure 19 - Extrait de la note d’intention du projet ............................................................................... 35 Figure 20 - Comment utiliser Strongbox ............................................................................................... 35 Figure 21 - Offre d'Airfrance / Allianz .................................................................................................. 36 Figure 22 - DropBox ............................................................................................................................. 37 Figure 23 - Offre DIGIPOSTE .............................................................................................................. 38 Figure 24 - Logo de la banque postale ................................................................................................. 39 Figure 25 - laposte mobile ..................................................................................................................... 39 Figure 26 - Logo de l'UPMF ................................................................................................................ 40 Figure 27 - Logo Laposte ...................................................................................................................... 40



Introduction

La dématérialisation étant croissante, la question de l’archivage électronique est un sujet d’actualité

récurrent. Et dans cette thématique, le concept de coffre-fort numérique devient incontournable.

Au départ, le coffre-fort numérique était un simple service proposé sur Internet ayant pour unique

objectif de stocker des documents. Or cette appellation était utilisée de façon inconsidérée et toutes

espaces de stockage se prétendaient « coffre-fort numérique », hautement sécurisé ou non.

Par la suite, différentes commissions du numérique se sont chargées du cadrage de cette appellation

spécifique. Dès lors, plusieurs labels et normes en ont découlé.

Les atouts du coffre-fort numérique (CFN) sont aujourd'hui nombreux et très attractifs et doivent se

distinguer de la gestion électronique des documents (GED). Le CFN peut être une de ces technologies

qui petit à petit s'imposera comme un socle administratif de la vie de tous les jours.

Le concept de coffre-fort numérique sera défini et détaillé dans un premier temps.

Ensuite, un éclaircissement du système de normalisation sera développé ainsi que la communication

afin de mettre en confiance le client.

Pour terminer, une étude de cas sera présentée avec une offre grandissante du marché de la société

LaPoste.



I. DEFINITION

A. Notions de coffre-fort

La notion de coffre-fort est très connue, nous avons tous eu à faire une fois dans notre vie à l'utilisation

de celui-ci. Pour éviter les vols dans les hôtels par exemple. Le coffre-fort en soit est un outil utilisé

depuis des siècles. Le sujet étant le coffre-fort numérique, Nous allons revenir aux bases et de redéfinir

ce qu'est un coffre-fort. Nous remarquerons ensuite que les bases du coffre-fort ont été reprises pour

créer le coffre-fort numérique.

1. Coffre-fort

Le coffre-fort est une base de la confiance. C’est en d'autres termes le lieu où l’outil dans lequel nous

pouvons y déposer toute notre richesse tout en étant sur de le récupérer intact par la suite sans que la

valeur n'ait changé.

Selon le Larousse:

“Armoire de métal blindée, munie de serrures de sûreté ou de dispositifs d'ouverture

à combinaison, utilisée pour renfermer des sommes importantes ou des objets de valeur.”

Selon Banque-info.com:

“Compartiment blindé et sécurisé permettant aux clients des banques de mettre en

lieu sûr leurs biens et valeurs qui représentent une certaine valeur marchande.”

Nous retrouvons donc la notion de "blindage" que nous retranscrirons en "sécurité". La notion de

protection de "biens de valeurs" que nous retranscrirons en "données". Nous déduisons également la

notion "d'intégrité".

Figure 1 - Illustration coffre-fort



2. Coffre-fort numérique

Le terme "Coffre-fort électronique" est une marque déposée par la société CDC Arkhinéo. Ce terme

est devenu au fil du temps un terme marketing utilisé par de nombreuses sociétés pour désigner un

coffre-fort virtuel ou physique mais avec un code numérique géré électroniquement. Cependant un

nouveau terme a été judicieusement pensé, celui-ci est Coffre-fort numérique.

Le coffre-fort numérique est une solution gratuite ou payante de stockage de documents électronique

sécurisé, accessible depuis internet. Les formats des documents peuvent varier (Textes, photos,

documents, scan).

Ces services s’adressent au grand public comme aux entreprises.

Le coffre-fort numérique doit être simple d'utilisation pour permettre à quiconque son utilisation. Le

CFN est accessible en ligne via internet.

Selon Wikipédia:

“Un coffre-fort numérique personnel correspond à un service hautement sécurisé pour archiver

facilement l’ensemble de ses fichiers numériques sensibles : documents administratifs, factures,

relevés, contrats, photos, etc. Ce service peut être accessible en ligne, via Internet”

Le coffre-fort numérique permet :

La concentration de ses documents dans un espace unique

La simplification d'interaction

L'édition des droits pour son accès

L'assurance de l'intégrité des documents

La gestion des documents

La possibilité d'échange avec l’extérieur de façons sécurisé

Le stockage de différents types de documents

C'est grâce à toutes ces possibilités que le coffre-fort numérique est devenu un service attirant et quasi

essentiel pour le monde de demain. Notamment car l'utilisation du papier et le fait de devoir envoyer

physiquement des choses est une contrainte que le coffre-fort numérique retire. L'interaction externe,

de manière très sécurisé mais également simplifié, entre nos données et une personne qui en a besoin.

Exemple/ Idée:

L'état vous demande des documents pour la création de votre passeport.

Vous avez, avec le coffre-fort numérique, la possibilité de lui envoyer un accès sécurisé aux

documents exacte qui ont été demandé cela vous évite de vous déplacer mais aussi de devoir imprimer

vos documents. L'opérateur de l'Etat télécharge vos données et les ajoutes au dossier.

Le coffre-fort numérique répond donc à des problématiques d'un nouvel air numérique et jouera un

rôle important dans ce nouveau monde qui se construit aujourd'hui. Les problématiques tels que la

suppression des données papier, le stockage de données confidentielles. La gestion citoyenne de

demain devra être redéfinit pour englober ces thématiques mais aussi faire en sorte que le passage et

l'utilisation soit accessible à tous. Un nouvel air numérique et citoyen sera créé d'ici quelques années.

Cet air est celui de la dématérialisation.



3. La coffre de confiance numérique

Le terme de "confiance" et "coffre-fort numérique" sont tous les deux liés.

La confiance est importante pour le marché du coffre-fort numérique. Sans celle-ci le principe même

du coffre-fort ne peut être exploité. C'est sur cet axe que les entreprises, qui offrent un service de

coffre-fort numérique, doivent se positionner. Gagner la confiance de l'utilisateur est le premier pas

vers l'utilisation du coffre-fort numérique.

En outre comme dit précédemment le coffre-fort repose donc sur une base de confiance, car c’est

dans un coffre-fort que l’on entrepose les choses les plus précieuses. Les SI et les banques ont donc

imaginés un moyen de créer un coffre-fort pour nos données numériques, de là est née l’idée de

“Coffre-Fort Numérique”.

La confiance qu'on "accorde" à un coffre-fort ne peut pas être transposée au coffre-fort numérique, car

celui-ci n'est pas physiquement visible par le monde. À l'exception du cas d'un coffre-fort numérique

personnel, présent chez le client et non relié sur internet. C'est pourquoi des normes ont été créées et

des commissions/fédérations supportent le coffre-fort numérique, en créant des labels et des "marques

de confiance", tel que la CNIL et les normes de l'AFNOR. Ces normes seront présentées plus loin

dans le mémoire de recherche.

Le coffre-fort électronique répond à des principes de sécurité essentiels. Du point de fonctionnel le

client voit, via le coffre-fort numérique, un espace de confiance sécurisé permettant d'archiver

électroniquement tous ses documents et d'y accéder à tout moment de n'importe quel endroit dans le

monde à partir d'un accès Internet et avec un code sécurisé.

Pour le client la différence perçue entre la sauvegarde personnelle et l'externalisation de sa sauvegarde

réside dans le fait que l'externalisation permet de mettre des documents à l'abri des pannes

d'ordinateurs, inondations, vol, incendie ou erreur matériel. Grace à la redondance et aux technologies

actuels les données sont logiquement dans l'impossibilité d'être perdu.

Le coffre-fort numérique utilise un type d’archivage qui s’avère donc pratique, durable, et sécurisé.

Mais quels en sont ses fondements ?

En bref ses principes fondamentaux sont axés sur:

La NAVIGATION (sécurisation de l'accès)

La SECURITE (sécurisation des serveurs)

L' INTEGRITE (vérification du non changement des données)

L' HORODATAGE (vérification de non modification)

La TRACABILITE (vérification de l'accès)

C'est principes seront présentés de manière plus détaillé, en partie quatre.



4. Les utilisations du coffre-fort

Le coffre-fort numérique peut avoir plusieurs utilités et se décline également en plusieurs "types"

Comme dit précédemment le coffre-fort numérique permet un stockage de documents administratif,

photos (par exemple photos d'identité), scans (par exemple scans de papiers d'identités). Il permet

également une interaction extérieure sécurisée. Les utilisations sont très nombreuses et son utilisation

sera sans doute très évolutive. Néanmoins il faudra garder en tête que le coffre-fort numérique doit

rester un espace de confiance et où seul le client doit en autoriser l'accès.

Nous pouvons donc deviner au moins deux différents types de coffre-fort numérique:

- Coffre-fort numérique de maison

- Coffre-fort numérique de banque (dans un DATACENTER)

Le coffre-fort numérique de maison est une solution à acheter ou à mettre en place par son

propriétaire. Celui-ci permet le stockage de données, et la sécurisation de celles-ci tout en étant

disponible sur internet. Le lieu de stockage peut avoir un effet sur la perception de confiance, en effet

nous pouvons penser que stocker ses données chez soi est une bonne idée. Nous avons nos données

« proche de nous » et le piratage de grand DATACENTER ne nous affectera pas. Néanmoins comme

il est dit précédemment le problème est que physiquement il reste plus à même d’être cambriolé ou

détruit par un quelconque événement (incendie, inondation, surcharge électrique).

Concernant le stockage de document à la maison, des solutions de stockage existent déjà tel que le

NAS (Network Attached Storage) et permettent un accès via internet des données stockées.

Néanmoins le NAS n'est pas une solution vraiment sécurisé, il faut pour cela, configurer et sécuriser

soit même sa solution de stockage. Ceci est le problème que le NAS peut rencontrer, il faut des

compétences techniques pour pouvoir le sécuriser.

Cette solution est donc a première abord simple, mais se révèle en fait peu sécurisé et avec des

connaissances / compétences technique, nécessaires, hautes. C'est pourquoi la solution du coffre-fort

numérique de banque ou de DATACENTER, géré par une société est plus préférable, celle-ci nous

dégage de toute la gestion technique et physique.

En terme de confiance le coffre-fort de maison n'est pas favoris c'est pourquoi l'utilisateur lambda se

tournera plus aisément vers une solution clé en main, qui lui permettra de profiter pleinement de sa

solution sans se soucier des problèmes lié à l'installation et à la maintenance de son coffre-fort

numérique.



Le coffre-fort numérique de banque est une solution mise en place par les banques et accessible

sous contrat, ou parfois gratuitement, il permet le stockage des données personnel avec un code de

sécurité propre à l’utilisateur. Tout ceci est stocké dans des DATACENTER hautement sécurisés

autant au niveau physique qu’informatique et électrique. Néanmoins les DATACENTER sont plus

favorisé par les cyber-attaques. L'utilisateur fait donc confiance à la société tierce pour garder ses

documents et celle-ci se justifie de sa sécurisation via des labels et normes.

Le coffre-fort numérique tout comme la gestion électronique de documents permet de transférer un

document administratif sans devoir les imprimer.

Autres exemple: Accès aux fiches de paie pour la retraite

Les coffres forts numériques de Datacenter peuvent se décliner en deux domaines:

- L'espace d'archivage non probatoire (système d'archivage basé sur une infrastructure

sécurisée) avec de la redondance et un accès sécurisé) mais qui ne permettra pas de

garantir l'intégrité des documents durant le temps de conservation. Ce coffre-fort n'est

pas un coffre de confiance car il ne répond pas aux critères.

Ce coffre-fort à premier abord sécurisé peut se révéler un faux ami. Nous verrons par la suite les

différentes méthodes de sécurisation.

- L'espace d'archivage à vocation probatoire (système d'archivage basé sur une infrastructure

sécurisée et horodaté avec empreinte du document et signature numérique). Cette

fonction est notamment très utilisée avec des tiers de confiance qui seront vu dans la

prochaine partie.

Le 8 décembre 2005 est marqué par l'ordonnance relative aux échanges électronique entre usagers et

l'état. Cette ordonnance constitue le fondement d'un espace de stockage gérer par l'Etat pour les

citoyens. Ce marché est émergent.

Un coffre-fort électronique est un espace de conservation et de confiance et la dématérialisation

croissante des documents encourage leur développement.

Un autre marché est également en pleine expansion. Celui du coffre-fort électronique du salarié celui-

ci. Pour toutes entreprises, il est maintenant possible avec la dématérialisation d'avoir une copie de ses

documents de ressources humaines dans un coffre-fort personnel et sécurisé disponible depuis

n'importe où.



5. La valeur des données numérique

Qu'elle valeur juridique peut avoir un document provenant d'un coffre-fort numérique? Est-ce

vraiment utile de se servir de cette technologie, ou est-ce seulement une fausse nécessitées ?

La valeur donnée aux fichiers numériques, issus de documents papier scannés, sont juridiquement les

mêmes que des copies. Il est donc possible de contester la sincérité et la fidélité d'un document venant

d'un coffre-fort numérique. Les experts regarderont les conditions de conservation de la copie. Les

documents dématérialisés au moment de leurs émissions, comme les factures, ont une valeur probante

s’ils sont adressés directement dans un coffre avec une signature électronique.

Par ailleurs, l'utilisation d'un tiers pour archiver ses documents papier se révèle pratique. L'utilisation

d'un coffre-fort est d'autant plus intéressant car ils vont devenir le centre des collectivités et des

entreprises (ex: Documents RH, bulletins de salaire), et il faut pouvoir conserver sur le long terme,

retrouver immédiatement un document, optimiser sa relation avec les clients et les fournisseurs,

partager l’accès à l’information, ou encore réduire les temps de manipulation.

Néanmoins un problème se pose sur la durée de conservation. Plus celle-ci va être longue, plus les

problèmes en termes d'intégrité risquent de se poser. Car de nombreux document tel que les bulletins

de paie doivent se conserver jusqu'à la retraite. De nombreux supports numériques actuels ont une

durée de vie d'environs 7 ans. Ces supports devront donc être changer tous les 4 à 5 ans. Autre

problème, un support mis sur un coffre-fort en 2008 sera au format .doc. Au fil du temps les standards

informatiques changeront et les logiciels de lecture de vieux standard existeront ils dans 50ans ?

Quelle est la valeur juridique d'un tel document, s'il celui-ci change plusieurs fois de support au cours

de son existence ?

Il faut savoir aussi que la Loi et la jurisprudence se sont encore que très peu prononcer sur ce nouveau

système de conservation des données. La CNIL a donné avis en matière de données personnel

archivées sur un tel support. Nous verrons ceci plus loin dans le mémoire.

Certains acteurs comme "Jericoa" se spécialisent dans des "niches", qui pour exemple a déjà séduit 7

000 abonnés avec son coffre-fort numérique nommé le "iVault for web". Ce dernier permet de

sauvegarder et d'accéder facilement à des informations critiques (code et numéro de carte de crédit,

identifiants et mots de passe... etc) Gratuit, le service est entièrement crypté et fonctionne dans un

navigateur web. Il est également disponible pour les utilisateurs de l'iPhone.

Ce genre d'application au coffre-fort numérique se développera surement à grande échelle et sera

intégré dans le monde de demain. Les utilisateurs font de plus en plus confiance aux technologie de

télécommunication et via cette génération les projets tel que celui-ci seront accepté aisément dans une

société où tout est connecté tout est disponible de n'importe où et à n'importe qu'elle heure. La

confiance aux technologies se fait donc plus aisément dans cette nouvelle génération de citoyens,

d'employés.



Les textes de lois :

Loi du 13 mars 2000 qui modifie le code civil, Art 1316-1 du code civil :

"Un document électronique a la même valeur probante qu’un document papier à deux conditions :

- Son auteur doit clairement être identifié

- Qu’il soit garanti et conservé dans des conditions de nature à en garantir l’intégrité."

Art 13136-4 du code civil :

La signature d’un document doit utiliser " un procédé fiable d’identification garantissant son lien

avec l’acte auquel elle s’attache ".

Décret du 30 mars 2001:

Définition du conseil d'état sur le procédé " cryptographique à clé publique ".

La certification de ce procédé est confiée à des prestataires (tiers de confiance, tiers horodateurs).

Ordonnance du 8 décembre 2005 articles 1316-1 et 1316-4 du code civil:

Article relatif aux preuves s’appliquent aux actes administratifs.

Cette ordonnance est mise en place par le référentiel général d’interopérabilité.

Référentiel général d'interopérabilité établi par l’arrêté en date du 9 novembre 2009 :

"La vérification de l’authenticité d’un document électronique n’incombe pas au service d’archives. Il

revient aux services versants d’effectuer cette opération.

Le rôle du service d’archives est de traiter, de conserver et de communiquer ces documents en en

préservant l’intégrité."

Décret 2005-972/973 relatifs aux actes authentiques de notaires et huissiers :

"La notion d’intégrité est définie juridiquement par le décret 2005-972/973, il répond à trois critères :

la lisibilité, la stabilité et la traçabilité du document.

les migrations n’affectent pas le statut d’original ".



6. Union des technologies

Avant l'air de la dématérialisation nous stockions nos données dans nos placards: nos DVD, nos CD,

nos albums photos, nos dossiers civils dans des classeurs, parfois même dans des boites. Nous avons

tous eu un doute quant à la sauvegarde de nos données sur CD ("Il va se rayer et il deviendra illisible")

comment faire confiance à de tels supports ? Aujourd'hui avec la dématérialisation nous n'utilisons

plus de toute cette place et nous maximisons de plus en plus nos données sur un stockage virtuel. Le

coffre-fort numérique a un grand rôle à y jouer. la notion de virtuel peut troubler la confiance. Car à

première vue c'est quelque chose que nous ne maitrisons pas, néanmoins une fois la solution en main

nous constatons que celle-ci est tout à fait réel.

En soit le coffre-fort numérique est un couplage de gestion électronique de documents et de signature

électronique. Le coffre-fort numérique est donc en soit un système de gestion électronique de

documents, accessible seulement par son propriétaire qui lui est authentifié par une signature

électronique.

Pour plus d'informations sur ces deux technologies, un mémoire de recherche a été créer pour

chaqu’un de ces deux thèmes.

Les principes fondamentaux

Le coffre de fort numérique utilise de nombreuses technologies et repose sur plusieurs principes qui

permettent sa sécurité et sa sureté. Plus ces points sont utilisées plus le coffre sera digne de confiance.

Nous appellerons ce coffre-fort : le coffre de confiance numérique.

NAVIGATION

Le coffre-fort numérique utilise une authentification et une navigation sécurisées.

La navigation web du coffre-fort numérique doit être sécurisé, pour cela il est nécessaire que

les données transitant de l'utilisateur au coffre-fort soient cryptées. L’utilisation du HTTPS en

est un exemple.

Figure 2 - Exemple HTTPS

Ceci est utilisé afin qu'un pirate potentiel ne puisse pas voir ce qui s'échange.

SECURITE

La sécurité se fait via de multitudes de procédés elle englobe la sécurité physique via la

redondance des liens d'accès, la redondance des alimentations, l'alimentation de secours, la

sécurisation des serveurs via des firewall, la sécurisation des serveurs via des algorithmes de

cryptage, la garde des locaux.



INTEGRITER

L'intégrité repose sur le principe de vérification de non modification ou de suppression d'une

donnée par un tiers ou par un transfert via internet. Pour cela les données sont envoyées avec

un champ qui indique le nombre de caractère envoyé depuis le serveur et comparé à l'arrivé et

cela permet de voir si des données sont manquantes. Il existe aussi bien sûr d’autre

technologie pour contourner ce problème.

HORODATER

Les données sont datés pour que l'utilisateur puissent savoir: quand est ce qu'il a mis ses

données sur le coffre-fort numérique, quand est ce qu'elles ont été lus pour la dernière fois,

quand est ce qu'elles ont été téléchargés et quand est ce qu'elles ont été modifié pour la

dernière fois.

TRACABILITE

La traçabilité permet aux utilisateurs de savoir qu'elle adresse IP ou qui a eu accès au coffre-

fort numérique. Ces données sont conservés donc l'utilisateur peut avoir un historique des

accès et peut donc constater que c'est bien lui qui a été le seul à y avoir accès.

Tous ces principes permettent aux clients de se sentir dans un cadre de confiance et de profiter

pleinement de ses données. Les sociétés vérifies également que des intrusions ne se soit pas produites

dans leurs serveurs et si c'est le cas ces sociétés chiffre la perte de données et la fuite de certaines et en

informe les clients.

Le client peut donc engager des procédures. Et celui-ci à une visibilité total sur ses données.

Figure 3 - Schéma d'un accès client vers son coffre fort



B. Historique

Le coffre-fort numérique est assez récent. Il est sur un marché émergèrent et se verra d'ici quelques

années, utiliser à grande échelle. Cependant d'autres technologies liées au coffre-fort numérique et

nécessaire à sa création date d'un certain temps.

- Au moyen âge les coffres fort sont utilisées pour garder des sommes d'argent à l'époque le coffre-fort

se nommais "huches" et était un meuble ferrer et cadenassé qui protégeais les objets des voleur

quelconques.

- 1835 Charles Chubb dépose un premier brevet pour un coffre-fort anti-effraction. Le but du coffre-

fort est de retenir le voleur ou de le décourager. Car les coffres forts ne sont jamais inviolables. Avec

le temps tout est possible. Mais le coffre-fort est lourd donc difficile à emmener. Il est fait de métal et

très résistant donc difficile à ouvrir il est parfois hermétique donc les objets à l'intérieur sont à l’abri.

- 1977 Création du chiffrage RSA. Le chiffrement RSA est un algorithme cryptage, est utilisé

généralement pour échanger des données confidentielles sur Internet. Cet algorithme a été décrit en

1977 par Ronald Rivest, Adi Shamir et Leonard Adleman.

- 1985 Apparition de la gestion électronique des documents dans le but de gérer les archives actives,

semi actives et inactives. La gestion électronique de documents est une technologie nécessaire au

coffre-fort numérique.

- Années 2000, éclatement de la bulle internet de nombreuses évolutions technologiques permettent

l'avancement de projet de stockage à grande échelle.

- 8 décembre 2005 ordonnance relative aux échanges électronique. Ceci a permis au marché du coffre-

fort numérique d'émerger et des sociétés se sont créer pour répondre aux demandes.

- 2008, premières offres de stockages en ligne de données non sécurisés.

- Mars 2009 La France à sa norme, Il s'agit de la norme AFNOR NF Z 42-013

La norme concerne les mesures techniques et organisationnelles à mettre en œuvre pour

"l'enregistrement, le stockage et la restitution de documents électroniques, dans des conditions qui en

garantissent l’intégrité" ce sont des spécifications de l'AFNOR.

- 2010 Lancement récent par Air France et Allianz du 1er coffre-fort numérique à destination des

voyageurs.

http://fr.wikipedia.org/wiki/Algorithmique

http://fr.wikipedia.org/wiki/Internet

http://fr.wikipedia.org/wiki/Ronald_Rivest

http://fr.wikipedia.org/wiki/Adi_Shamir

http://fr.wikipedia.org/wiki/Leonard_Adleman



C. Tendances du marché

1. Usagers potentiels

Le coffre-fort numérique ne sert pas qu’à la conservation de documents tels que les factures ou les

bulletins de paie. Les entreprises ont su trouver de nouveaux besoins tel que:

Les relations aux employés : L’archivage de documents RH qui suit l’employé tout au long de

sa carrière.

Grâce au coffre-fort numérique les services RH peuvent conserver des documents importants

et en laisser l'accessibilité aux employés. Cette démarche peut permettre une consommation en

papier moindre et un service accessible de n'importe où. De plus l'employer peut retrouver de

façon simple une archive de sa fiche de paie ou de son contrat, en cas de besoin.

Relation aux fournisseurs : Un coffre‐fort numérique destiné aux fournisseurs afin d’y

conserver différents documents de relation

Cela permet aux clients d'avoir accès a un contrat de n'importe où, d'un bon de commande ou

autres document que celui-ci échange avec le commercial. Le commercial peut

Relation aux clients : Permettant aux clients d’y conserver des documents personnels.

Relation citoyen : Mis en place par les administrations publiques qui souhaitent proposer un

coffre-fort numérique à leurs citoyens.

L'interfonctionnement des CFN d'un utilisateur.

Figure 4 - Exemple d'utilisation RH



2. Les tendances du marché

Selon l’étude sur l’univers numérique mené par IDC. Une augmentation du volume de données de

l'ordre de 62% entre 2008 et 2009 aurait été constatée. IDC affirme que celui-ci atteindra 35 Zo d’ici à

2020, soit de 45 % par an.

Nous pouvons donc constater que l'échange et le stockage de donnée ne connait pas la crise et est de

plus en plus utilisé.

Le marché des coffres forts numérique se porte très bien. De plus en plus

d'entreprises l'utilise et y stock leurs document. Les banques et assurances

proposent de nombreuses offres aux particuliers (voir les offres plus bas). La

CNIL surveille le marché et permet d'harmoniser les offres en termes de

sécurité. Tout

En quelques années, le nombre de documents placé en coffre-fort a plus que

triplé. Le coffre-fort numérique a montré qu'il était répondait a de nombreux

usages dans les entreprises : conservation de factures dématérialisées, bulletin

de paie électronique, écritures comptables en cas de contrôle fiscal etc...

Le marché du coffre-fort se porte de mieux en mieux, baisse des coûts de

stockage, dématérialisation en progression. Le coffre-fort est sur une bonne

lancée.

Il faut tout de même faire attention aux ambiguïtés. Plusieurs noms prêtent à

confusion, coffre-fort électronique, coffre-fort numérique, espace de stockage,

backup, e-vault. Le livre blanc publié en 2011 met en garde les entreprises

"Nous constatons que le marché de la dématérialisation tente de s’approprier

le monde du coffre-fort électronique. Cette appropriation, facilitée par

l’ambiguïté entretenue entre les notions de coffre-fort électronique, d’espaces

de stockage, de backup, d’archivage ou encore d’archivage à valeur probante

est de nature à semer la confusion parmi les utilisateurs ".

L’archivage électronique est dorénavant rentré dans les mœurs de nombreuses organisations. Et en

progressera encore dans un marché tout juste en pleine expansion. La France à un grand rôle à jouer

dans ce secteur grâce aux rapprochements de l'Etat vis à vis du coffre-fort numérique. Celui-ci est un

marché majeur de ces prochaines années. Les entreprises françaises doivent marquer le coup et investir

dans ce secteur qui est un investissement fiable et lucratif.

Figure 5 - Croissance d'une

entreprise de stockage



3. Principales raisons d’utilisation d’un CFN

Sur une étude de Markess international de 78 personnes (DSI)

Conserver à long terme des documents et des données : 58%

La conservation doit obligatoirement être possible à long termes, car une personne entreposant

ses bulletin de paie en aura besoin en fin de vie pour justifier sa retraire. Hors si celle-ci n'est

plus disponible ou perdu cette personne sera en très mauvaise posture et des poursuite seront

entreprises.

Réduire le volume de papier : 56%

Il permet notamment de diminuer la déforestation mais également de conserver de la place

dans la maison de l'utilisateur. Il est également plus simple de trier ses données sur un

ordinateur que de les retrouver dans un tas de dossiers.

Fiabiliser la conservation des documents: 54%

La conservation de document est importante pour les entreprises car elle permet de revenir en

arrière et de s'appuyer sur le passer pour effectuer des choix stratégiques c'est pourquoi il est

utile d'utiliser un coffre-fort numérique.

Prolonger logiquement la dématérialisation: 53%

La dématérialisation est inévitable dans le monde d'aujourd'hui les entreprises sont dans un

processus de dématérialisation il est donc logique d'utiliser un coffre-fort numérique pour

renforcer ce point.

Partager l’accès aux documents et données: 33%

Le partage avec des clients de données de façons sécurisé est très demandé. Généralement il se

fait via l'échange d'une clé USB (pour les données volumineuses), qui celui-ci est un objet

physique et nécessite un transport (risque++) le coffre-fort numérique peut donc être très utile

à ce sujet.

Répondre à une demande interne: 33%

Se mettre en conformité avec le contexte légale/réglementaire: 33%

La réglementation française impose de garder des données de certains documents sur plusieurs

années. Actuellement ces dossiers physiques ou non sont conservé sous forme de papier ou K7

en coffre de banque. Il nécessite un déplacement et donc une perte de temps.



II. Normalisation

Les acheteurs sont à l'affût des signes de qualité et surtout de sécurité avant d’acheter. Dans la vie

quotidienne, pour acheter une simple mayonnaise ou un achat immobilier de grande valeur, les labels

et certificats sont une garantie de mise en confiance et les clients seront alors plus enclins à acheter ce

produit.

Le coffre-fort numérique n’échappe pas à cette règle. Il existe de très nombreux labels, plus ou moins

connus…

Certification NF 461 Système d’archivage électronique, certification NF Logiciel coffre-fort

numérique, Label Coffre-fort numérique, Label Tiers-Archiveur, Certificat de sécurité de premier

niveau pour les coffres-forts, agrément pour la conservation d'archives publiques courantes et

intermédiaires, certification ISO 27001 management de la sécurité de l’information, … : en matière de

certifications et labels relatifs à l’archivage électronique, ce n’est pas ce qu’il manque. Comment s’y

retrouver ?

Le paysage des labels et certifications applicables à l’archivage électronique et plus précisément au

coffre-fort numérique suscite une complexité accrue ce qui est tout de même un comble pour des

technologies et services de confiance.

Dans un premier temps, un effort de clarification afin de dissiper le brouillard sur le sujet sera réalisé.

Puis dans un second temps, une analyse des différents labels et certifications en relation avec

l’appellation coffre-fort numérique sera présenté.

Rappel :

Agréments, certifications et labels reposent tous sur une organisation similaire. On y retrouve à chaque

fois un référentiel, qui définit des exigences, ainsi que des auditeurs indépendants qui vont vérifier la

conformité d’une organisation, d’un service ou d’un produit à ces exigences. Sur la base du rapport

d’audit, une autorité va délivrer une marque distinctive que l’entreprise pourra alors afficher

publiquement.

A. Clarifications des certifications et labels

Dans le domaine des technologies et services de confiance, le sujet est d’importance car les normes

jouent souvent un rôle essentiel et la certification permet alors de garantir une conformité.

Le dispositif est proche de celui en vigueur pour les examens en milieu scolaire avec le programme à

maîtriser (liste des exigences), le jury (auditeurs indépendants) et le diplôme (certification). On

soulignera également que ces dispositifs ont le plus souvent un caractère facultatif.

La certification CSPN délivrée par l’Agence nationale de sécurité des systèmes d’information

(ANSSI) constitue une exception, elle est obligatoire pour les coffres-forts mise à disposition des

opérateurs de jeux et paris en ligne.

Au-delà de ces similitudes, les différents dispositifs ont également des différences. Le premier critère

permet de distinguer d’une part les agréments et d’autre part les certifications. Les agréments



correspondent à une autorisation d’exercer une activité alors que les certifications se limitent à être des

marques de confiance.

Pour poursuivre la comparaison avec l’univers scolaire, l’agrément serait l’équivalent d’un concours

qui donne des droits alors que les certifications correspondraient à un diplôme qui témoigne d’un

niveau.

Une fois cette première distinction opérée, on peut ensuite analyser ce que recouvrent les

certifications. Peuvent être en effet certifiés un produit, un service ou encore une organisation.

La certification ISO 27001 management de la sécurité de l’information va se situer à un niveau

managérial.

La certification NF 461 d’AFNOR Certification ou le label Tiers-Archiveur de la Fédération Nationale

des Tiers de Confiance (FNTC) concernent la dimension services.

Enfin, le label coffre-fort numérique de la CNIL, de la FNTC et la certification NF Logiciel d’AFNOR

Certification sont applicables aux produits.

Une dernière distinction peut enfin être effectuée entre les autorités qui décernent les certifications

selon qu’il s’agit d’organismes publics ou de représentants d’une profession. Ce critère permet de

distinguer AFNOR certification pour le premier type et la Fédération Nationale des Tiers de Confiance

pour le second.

B. Abondance des certifications

Cette clarification étant opérée, la question de l’abondance des certifications n’en reste pas plus claire.

Et l’unicité des certifications n’est pas vraiment envisageable car les différents dispositifs ne

recouvrent pas les mêmes choses.

Pour illustrer la différence qu’il peut exister entre un produit (coffre-fort numérique) et un service

(tiers-archivage), on peut quitter l’univers scolaire pour rejoindre celui de la cuisine. Il est tout à fait

possible d’avoir d’une part des produits alimentaires et d’autre part des restaurants labellisés. Les deux

types de labels ne seront pas équivalents car les démarches qui consistent à acheter un produit

alimentaire ou à choisir un restaurant sont foncièrement différentes même si elles ne sont pas

totalement sans rapport.

On perçoit également facilement avec cette illustration qu’il est possible d’accéder à des produits

alimentaires labellisés sans être obligé d’aller au restaurant ou encore qu’un restaurant peut

parfaitement être labellisé sans être forcé d’utiliser uniquement des produits labélisés.

Il y a donc bien une véritable complémentarité entres les dispositifs concernant les niveaux

management, services et produits. Celle-ci se recouvre naturellement dans les textes qui régissent les

différentes certifications.

A titre d’exemple, les règles de certification de services NF 461 relatives au Système d’Archivage

Electronique (SAE) prévoient que les audits puissent être allégés si le demandeur de la certification

met en œuvre un produit bénéficiant de la certification produit NF Logiciel.

L’ensemble est perçu comme complexe mais en attendant, la CNIL souhaite endosser ce cher rôle de

simplificateur des certifications en relation de l’archivage électronique et plus précisément du coffre-



fort numérique. Il souhaite au passage l’appropriation exclusive de l’appellation « coffre-fort

numérique ».

Il est toujours possible de regarder qui possède la certification la plus appropriée ou qui dispose du

plus grand nombre de labels. Mais en première analyse, il est toujours pertinent de considérer que les

sociétés qui bénéficient d’au moins une certification sont à considérer avec plus d’attention que celles

qui n’en ont aucune.

1. Obligation à la certification : Coffre-fort numérique des jeux en lignes

Depuis l’adoption, au printemps 2010, de la loi n° 2010-476 relative à la concurrence et à la

régulation du secteur des jeux d’argent et de hasard en ligne, les opérateurs de jeux en ligne doivent

obtenir les agréments de l’Autorité de Régulation des Jeux En Ligne (ARJEL).

Il leur faut notamment répondre aux impératifs techniques qui découlent de la loi avec la mise en

œuvre d’un coffre-fort numérique certifié répondant à un cahier des charges très strict.

L’ARJEL précise dans son dossier des exigences techniques que le coffre-fort est « un élément dont la

fonction est d’horodater, de chiffrer et d'archiver les données tracées afin d’en garantir l’intégrité et

l’exhaustivité dans le temps. » (Source : Dossier des Exigences Techniques de l’Autorité de

Régulation des Jeux en Ligne (ARJEL)).

Le coffre-fort est une composante frontale* du service de jeu en ligne définit comme « un dispositif de

recueil et d’archivage sécurisé des données en vue du stockage d'une liste définie d’événements et de

données clé issus des échanges entre joueur et plateforme » de jeux en ligne. Le produit doit également

comporter un capteur dont la fonction est l’enregistrement de traces. La fonction de création de traces

correspond au formatage des données circulant entre le joueur et la plateforme de jeu puis au transfert

de ces données vers le module coffre-fort.

* un frontal désigne une interface d'entrée uniformisée, elle permet une interaction entre les différents

utilisateurs et le service

La traçabilité du jeu en ligne a pour but principal de protéger les joueurs. L’ARJEL a

normalisé le frontal destiné à capter l’ensemble des flux de jeu en provenance du poste

du joueur, et à les déposer en temps réel, sous un format normalisé, dans un coffre-fort

numérique, qui en réalise un scellement cryptographique, et les met à disposition

exclusive de l’ARJEL pendant 12 mois.

Les événements ayant lieu concernant coffre-fort des jeux en ligne et les échanges

avec ses clients (dépôt, retrait de copie conforme, création d’utilisateurs, attributions

de rôles, …) vont permettre de :

Fournir des éléments justificatifs dans un contexte de contrôle diligenté par les

autorités publiques (pouvant aller jusqu’au code source du logiciel du jeu en

ligne) ;

Fournir des éléments de preuve dans un contexte de contentieux.

En cas d’indisponibilité du frontale de traçabilité, l’activité du site en ligne doit être interrompue.

Tout est donc mise en œuvre pour garantir une parfaite transparence des flux du jeu, la valeur probante

des traces recueillies, ainsi qu’une parfaite disponibilité du service de traçabilité. L’intégrité doit être

parfaite.



Figure 6 - Coffre-fort des jeux en ligne, frontal et capteur. Source : Dossier des Exigences Techniques de l’Autorité de

Régulation des Jeux en Ligne (ARJEL))

Le coffre-fort numérique des jeux en ligne permet donc la conservation à des fins de contrôle

d’éléments de preuves nativement électroniques déposés par un opérateur de jeux et paris en ligne

client du système.

Comment certifier ses bonnes pratiques ?

Le coffre-fort des jeux en lignes est un secteur d’utilisation spécifique à son domaine de service

administré par une autorité gouvernementale. L’ARJEL n’étant pas un expert dans la sécurité et la

technologie numérique, elle a transféré cette responsabilité un organisme externe de confiance.

Le coffre-fort doit obtenir une Certification de Sécurité de Premier

Niveau (CSPN) délivrée par l'ANSSI, l’Autorité National de se la

Sécurité et des Systèmes d’Information, une autre autorité

gouvernementale (http://www.ssi.gouv.fr). Si cette certification n’est pas

encore obtenue lors de la demande d’agrément, l’opérateur doit préciser le

calendrier d’obtention de cette certification. Dans tous les cas, le dossier de

demande doit avoir été déposé à l’ANSSI lors du dépôt de la demande

d’agrément.

Figure 7 - Logo ANSSI

http://www.ssi.gouv.fr/



Cette certification est obligatoire pour tous les coffres forts numériques disposés dans les jeux en

lignes, et, est une preuve de confiance pour les différentes parties prenantes aux services (clients,

opérateurs, fournisseur, ARJEL (gouvernement)).

La certification CSPN vise à attester que le produit a subi avec succès une évaluation sécurité par des

centres d’évaluation agréés par l’ANSSI, dans un temps et une charge contraints, conduisant à une

certification.

Le commanditaire rédige au préalable une cible de sécurité décrivant l’usage du produit et son

environnement de fonctionnement, les biens sensible qu’il est censé de protéger et les menaces contre

lesquelles le produit offre une protection. Il décrit également les fonctions de sécurité mises en place

pour protéger les biens sensibles face à ces menaces. Pour réaliser cette cible de sécurité, il est

intéressant de mener une analyse de risque.

Les mécanismes de sécurité présents dans ces fonctions feront l’objet de l’évaluation par un centre

agréé choisi par le commanditaire. Dans le cas de l’implémentation de mécanismes cryptographiques,

le commanditaire doit pouvoir présenter des jeux de test unitaires afin d’en mesurer rapidement leur

conformité par rapport à leurs spécifications.

Une fois cette cible rédigée, et le centre agrée choisi, la demande d’évaluation est envoyé à l’ANSSI

qui analyse la demande afin de vérifier que la cible de sécurité est valable et que le produit à évaluer

n’est pas d’une complexité trop élevée pour être évalué en temps contraint. Un point important :

l’ANSSI vérifie que les mécanismes cryptographiques utilisés dans les fonctions de sécurité du produit

sont issue de standard connus (pour détails, voir mémoire sur la signature électronique : chapitre

cryptographie).

Cette CSPN prend en compte les grands éléments suivants :

au niveau des menaces : le dépôt ou l’injection d’enregistrements, l’altération

d’enregistrements, le vol de données, le déni de services ;

au niveau des fonctions de sécurité : l’authentification forte des utilisateurs et administrateurs,

le chaînage des évènements, le chiffrement et la signature des évènements, résistance du

produit a des attaques directes ;

au niveau physique : nécessité des serveurs de se situer en France.

Jusqu’à aujourd’hui, uniquement 39 services (sur 81 évaluations) sont certifiés CSPN. Afin de mettre

en confiance, la certification est fièrement affichée sur les différents sites de prestataire de coffre-fort

numérique des jeux en ligne.

La liste complète est mise à disposition de tous sur le site gouvernemental :

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/

Figure 8 - Logo

certification CSPN

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-certifies-cspn/



2. Confiance managériale

Un des principaux problèmes dans les nouvelles technologies réside en la sécurité informatique. La

plupart des utilisateurs et entreprises pensent qu’une protection optimale demande des infrastructures

matérielles onéreuses et de nombreux mots de passe.

Contrairement aux idées reçues, même s’il est vrai qu’il faut utiliser ces types de sécurité, il s’agit

d’une infime partie, réduite à néant lorsque d’autres mesures ne sont pas effectuées. Je pense ici à

l’ingénierie sociale, ou plus concrètement, à la manipulation, l’escroquerie.

Car ce ne sont ni les malwares, ni les hackers, encore moins les spams qui représentent la véritable

menace en matière de sécurité informatique des entreprises, mais bel et bien le facteur humain.

La sécurité de l’information est bien plus qu’une question de technologie. De nombreux risques de

sécurité sont liés au facteur humain. Les outils techniques n’ont aucune valeur s’ils ne sont pas - ou

mal - utilisés. Une sécurité de l’information de qualité est donc avant tout une question de

conscientisation des collaborateurs, tant au niveau des employés que du management.

Dans de nombreuses entreprises, le téléphone est le moyen de communication le plus utilisé. Et par ce

biais circulent de nombreuses informations, plus ou moins confidentielles. Dans tous les cas, à moins

de connaître son interlocuteur (ce qui arrive uniquement dans les PME), il est impossible de vérifier

son identité. Ce qui n’est pas le cas, par exemple, des courriels, qui nécessitent un mot de passe pour

fonctionner.

S’ils sont utilisés à mauvais escient, les outils technologiques n’ont aucune valeur. Une sécurité de

l’information de qualité est donc avant tout une question de conscientisation des collaborateurs, tant au

niveau des employés que du management.

La grande est question est donc : à quoi servent les énormes protections logicielles (pare-feu, etc.)

et matérielles (portes blindées, caméras, etc.), si n’importe qui, moyennant une connaissance du

jargon, peut se procurer n’importe quelles données?

L’information est à prendre au sens large du terme. Elle doit être étudiée sous toutes ses formes

indépendamment de son support, humain, papier, logiciel, etc.

La norme ISO27001 ou, pour être complet, ISO/IEC 27001:2013 Management de la sécurité de

l'information, est un standard de la sécurisation de l’information s’appliquant à tous types

d’organisations. Elle spécifie les exigences relatives à la mise en place, au fonctionnement, à la

surveillance, à la mise à jour et à l’amélioration d’un Systèmes de Management de la Sécurité de

l'Information (SMSI), une instance chargée de garantir la confidentialité, l’intégrité et la disponibilité

des informations :

Confidentialité : seuls les entités, personnes et processus autorisés, ont accès à l’information.

Intégrité : l’information ne peut être modifiée que par ceux qui en ont le droit.

Disponibilité : l’information doit être accessible à l’entité, la personne ou le processus qui a

un droit d’accès.

Ces trois principes de sécurité peuvent être étendus telles que l’authentification, la traçabilité, la non-

répudiation, l’imputabilité qui constituent des mécanismes de sécurité déployés en fonction des

besoins de sécurité de l’organisme.



Le PDCA ISO 27001

L'installation d'un Système de Management de la Sécurité de l'Information ne se déroule pas en un

temps unique. Le système se doit de s'inscrire dans une démarche plus globale de progrès continu du

type roue de Deming ou PDCA. La démarche n'est pas sans rappeler, dans son principe en tout cas, la

mise en place d'un référentiel ISO d'entreprise plus classique comme 9000 ou 14000. On retrouve ainsi

non seulement le coutumier PDCA mais aussi l'approche processus.

Figure 9 - Roue de Deming (PDCA)

Le PDCA propose 4 temps : Plan Do Check Act

Plan : Elaboration de la politique sécurité des SI, précision du périmètre d'intervention,

définition des objectifs, analyse et maîtrise des risques, identification et évaluation,

cartographie.

Do : Plan et déploiement des mesures de sécurité, élaboration et application des procédures

spécifiques, sensibilisation et formation, sélection des indicateurs et réalisation des tableaux de

bord de la sécurité.

Check : Audit et contrôles internes, revue

Act : Action corrective, identification des voies d'amélioration, bouclage.

Le facteur humain dans l’ISO 27001

Pour opérer ce système de gestion de la sécurité des systèmes d'information, la norme ISO 27001

préconise d’employer son annexe A ou la norme ISO 17799 pour identifier les mesures de sécurité à

mettre en œuvre au cours de l’étape de planification.

La norme internationale ISO 17799 est un guide de bonnes pratiques regroupant 39 objectifs de

sécurité, décomposés en 133 mesures de sécurité, et relatifs à 11 domaines (politique de sécurité,

sécurité du personnel, contrôle des accès…). Les objectifs de sécurité présentent un but à atteindre et

les mesures de sécurité présentent les activités permettant d’y parvenir, expliquant les actions à mettre

en œuvre pour implémenter ces mesures.

Dans notre cas, nous avons privilégié l’annexe A. Dans le chapitre A.8 sur la sécurité, nous retrouvons

toutes les bonnes pratiques à entreprendre liée aux ressources humaines. La formation et la

sensibilisation des utilisateurs est la règle d’or qui ressort.



Vous retrouverez en annexe la liste complète des objectives sécurités à respecter ainsi que les mesures

à entreprendre pour chaque objectif.

En règle générale, toute entreprise dispose d’une charte interne de la sécurité

en informatique regroupant ces informations, mais aucun label reconnu ne

peut être prétendu. Le modèle international qu’est l’ISO est un signe fort de

notoriété et de confiance. De plus, après audit, il est possible de se faire

certifier et d’afficher fièrement le label sur son produit.

A.8 Sécurité liée aux ressources humaines

A.8.1 Avant le recrutement

Objectif : Garantir que les salariés, contractants et utilisateurs tiers connaissent leurs responsabilités et qu’ils

conviennent pour les fonctions qui leur sont attribuées et réduire le risque de vol, de fraude ou de mauvais usage des

équipements.

A.8.1.1

Rôles et responsabilités

Mesure

Les rôles et responsabilités en matière de sécurité des salariés,

contractants et utilisateurs tiers doivent être définis et documentés

conformément à la politique de sécurité de l’information de l’organisme.

A.8.1.2

Sélection

Mesure

Qu’il s’agisse de postulants, de contractants ou d’utilisateurs tiers, les

vérifications des informations concernant tous les candidats doivent être

réalisées conformément aux lois, aux règlements et à l’éthique et doivent

être proportionnelles aux exigences métier, à la classification des

informations accessibles et aux risques identifiés.

A.8.1.3

Conditions d’embauche

Mesure

Dans le cadre de leurs obligations contractuelles, les salariés,

contractants et utilisateurs tiers doivent se mettre d’accord sur les

modalités du contrat d’embauche les liant et le signer. Ce contrat doit

définir leurs responsabilités et celles de l’organisme quant à la sécurité

de l’information.

Figure 10 - Logo certification ISO

27001



A.8.2 Pendant la durée du contrat

Objectif : Veiller à ce que tous les salariés, contractants et utilisateurs tiers soient conscients des menaces pesant sur

la sécurité de l’information, de leurs responsabilités financières ou autres, et disposent des éléments requis pour

prendre en charge la politique de sécurité de l’organisme dans le cadre de leur activité normale et réduire le risque

d’erreur humaine.

A.8.2.1

Responsabilités de la

direction

Mesure

La direction doit demander aux salariés, contractants et utilisateurs tiers

d’appliquer les règles de sécurité conformément aux politiques et

procédures établies de l’organisme.

A.8.2.2

Sensibilisation,

qualification et formations

en matière de sécurité de

l’information

Mesure

L’ensemble des salariés d’un organisme et, le cas échant, les

contractants et utilisateurs tiers doivent suivre une formation adaptée sur

la sensibilisation et doivent recevoir régulièrement les mises à jour des

politiques et procédures de l’organisme, pertinentes pour leurs fonctions.

A.8.2.3

Processus disciplinaire

Mesure

Un processus disciplinaire formel doit être élaboré pour les salariés

ayant enfreint les règles de sécurité.

A.8.3 Fin ou modification du contrat

Objectif : Veiller à ce que les salariés, contractants et utilisateurs tiers quittent un organisme ou changent de

poste selon une procédure définie.

A.8.3.1

Responsabilités en fin de

contrat

Mesure

Les responsabilités relatives aux fins ou aux modifications de contrats

doivent être clairement définies et attribuées.

A.8.3.2

Restitution des actifs

Mesure

Tous les salariés, contractants et utilisateurs tiers doivent restituer la

totalité des actifs de l’organisme qu’ils ont en leur possession à la fin de

leur période d’emploi, contrat ou accord.

A.8.3.3

Retrait des droits d’accès

Mesure

Les droits d’accès de l’ensemble des salariés, contractants et utilisateurs

tiers à l’information et aux moyens de traitement de l’information

doivent être supprimés à la fin de leur période d’emploi, ou modifiés en

cas de modification du contrat ou de l’accord.



3. Confiance du produit : coffre-fort numérique

Le besoin de conservation d'objets numériques (dossiers administratifs, plans, cartes, factures,

vidéogrammes, enregistrements téléphoniques, etc.) est lié à diverses considérations d'ordre

réglementaire, juridique, patrimonial ou historique. Ces objets numériques peuvent être aussi bien des

données nativement numériques qu’issues d’un processus de numérisation. Ce besoin de conservation

peut être à plus ou moins long terme, c'est à dire de quelques heures à plusieurs centaines d'années.

Dans ce contexte, il existe le besoin d'un outil apte à assurer l’intégrité des objets numériques qui lui

sont confiés de leur dépôt et jusqu’à leur destruction : le coffre-fort numérique. Vu comme un

composant d’un système d'archivage électronique, ce peut être un progiciel exploité sur une ou

plusieurs plate-forme(s) matérielle(s) ou un ensemble progiciel et matériel exploité comme un tout.

Une norme spécifie les caractéristiques d'un système d'archivage électronique : il s'agit de la norme

française AFNOR NF Z42-013. Celle-ci a été transposée en norme

internationale ISO 14641-1 début 2012 après un long processus.

L'archivage électronique dispose ainsi d'un texte de référence. Comme

toute norme, elle va continuer à évoluer, au rythme des révisions, afin de

s'adapter aux besoins des différents acteurs du marché. De surcroît, un

processus de certification en Marque NF 461 de cette norme vient d'être

défini par l'AFNOR, grâce au Service Interministériel des Archives de

France (SIAF) et aux organisations professionnelles du secteur

(APROGED, FEDISA, FNTC).

Mais un coffre-fort numérique est bien plus qu’un simple système

d’archivage électronique (dit aussi gestion électronique des documents (GED), voir le mémoire

concerné pour plus d’information). Comme dit dans le premier chapitre de présentation, multiples

notions sont spécifique à ce secteur. La traçabilité, la pérennité, l’intégrité, la sécurité et la valeur

probatoire des documents doivent être les points considérés.

Depuis juillet 2012, un nouveau texte normatif a fait son entrée au catalogue de l'AFNOR : la norme

Z42-020 - Spécifications fonctionnelles d'un composant coffre-fort numérique destiné à la

conservation d'informations numériques dans des conditions de nature à en garantir leur intégrité dans

le temps.

La norme NF 42-020 rédigée par la commission de normalisation AFNOR Z42C "Archivage

électronique", en coopération avec la FNTC*, a pour but de définir les fonctions minimales que doit

posséder un composant coffre-fort numérique destiné à la conservation d'objets numériques dans des

conditions de nature à en garantir leur intégrité dans le temps. Elle est destinée aux

concepteurs/intégrateurs de logiciels, éditeurs de solutions de coffre-fort numérique et auditeurs de ces

systèmes.

Que dit la norme Z42-020 ?

Cette norme définit les spécifications fonctionnelles d'un composant coffre-

fort numérique (CCFN) destiné à la conservation d'objets numériques dans

des conditions de nature à en garantir leur intégrité dans le temps.

La notion de composant coffre-fort numérique (CCFN) s'éloigne de la vision

de service. Le CCFN s'apparente plus à un tiroir sécurisé permettant de

construire une salle des coffres.

Figure 11 - le « Cloud » fort

Figure 12 - Logo certification NF



Il y a bien deux concepts derrière ce terme coffre-fort numérique :

un service permettant d'archiver en toute sécurité des documents qui permettront

ultérieurement à son propriétaire de faire valoir ses droits ;

un composant à intégrer dans une application.

Et la norme Z42-020 traite uniquement du dernier point : le composant.

Et ce mot composant est important parce qu’il démontre que ce composant a vocation à être intégré

dans un système plus large est plus parfait : notamment un système d’archivage électronique mais il

peut aussi être intégrer dans un système d’information de ressources humaines ou d’un ERP pour

conserver, communiquer de façon à tracer des facture, des fiches de paie et autres informations à

connotation confidentielle.

NOTA BENE : avant de continuer la description de la norme, nous souhaitons ajouter une petite

précision sur le sujet. Dû à un problème budgétaire, nous n’avons pas eu l’occasion d’acheter la

norme en question afin de l’analyser.

Sur le site de l’AFNOR, la norme française Z42-020 est disponible à partir de 63,20€ HT or, de

notre côté, le budget alloué au mémoire est de 0,00€.

http://www.boutique.afnor.org/norme/nf-z42-020/specifications-fonctionnelles-d-un-composant-

coffre-fort-numerique-destine-a-la-conservation-d-informations-numeriques-dans-des-

/article/796213/fa176610

Et aucun exemplaire gratuit n’a été trouvé.

Sur la suite de ce chapitre, nous reprenons uniquement les retours de multiples articles de la toile.

La norme Z42-020 décrit les fonctions minimales que doit posséder ce composant : déposer / détruire /

lire / lire métadonnées techniques / contrôler / lire journal / lister / restituer / vider / contrôler le CCFN.

Chacune des fonctions y est décrite, ainsi que ses paramètres d'appel et le résultat attendu. Les

quelques métadonnées techniques que doit au minimum posséder un objet numérique (identifiant,

déposant, heure de dépôt, empreinte) y sont définies ainsi qu'un journal enregistrant les opérations

effectuées sur le CCFN.

Les rôles utilisateurs y sont spécifiés ainsi que quelques fonctions d'administration : administrateur

technique / administrateur fonctionnel / simple utilisateur.

Les exigences concernant la sécurité du composant sont aussi présentes : Sécurité des accès, intégrité

et confidentialité des messages échangés.

Et enfin, le dernier chapitre concerne le plan de la documentation technique du CCFN.

Comme dit auparavant, la norme Z42-020 n'est pas une norme d'archivage. Beaucoup d'aspects relatifs

à l'archivage ne sont pas abordés dans cette norme. En particulier, la confidentialité des données, leur

pérennité, leur disponibilité, leur sécurité (destruction, perte, altération). La certification d’un produit

à cette unique norme ne certifie en rien le respect de tous les points décrits plus haut.

Mais il est explicitement mentionné dans le document, cette norme ne traite pas des systèmes

d'archivage électronique, mais d’un composant CCFN destiné à être piloté par un Système

d'Archivage Électronique (SAE).

http://www.boutique.afnor.org/norme/nf-z42-020/specifications-fonctionnelles-d-un-composant-coffre-fort-numerique-destine-a-la-conservation-d-informations-numeriques-dans-des-/article/796213/fa176610





* La Fédération Nationale des Tiers de Confiance (FNTC) est aujourd'hui

reconnue comme un acteur essentiel de la sécurisation des échanges

électroniques et de la conservation des informations, maillons essentiels à la

maîtrise de l'ensemble de la vie du document électronique.

Créée en 2001, la FNTC regroupe les professionnels de la dématérialisation : les

opérateurs et les prestataires de services de confiance (acteurs de l'archivage

électronique, de la certification, de l'horodatage et des échanges dématérialisés); les éditeurs et

intégrateurs de solutions de confiance ; les experts et les représentants des utilisateurs ainsi que les

institutionnels et les professions réglementées.

La FNTC a pour but d'établir la confiance dans l’espace numérique, de promouvoir la sécurité et la

qualité des services et de veiller au respect d’une charte d’éthique de la profession.

Pour de plus amples informations sur le rôle d’un tiers de confiance, vous retrouvez les détails

attendus dans le mémoire sur la signature électronique.

4. Appellation de confiance délivré par la CNIL

Afin de proposer un véritable indicateur de confiance en la matière, la CNIL a donc décidé, sur la base

de ses recommandations adoptées le 19 septembre 2013, d’élaborer un nouveau référentiel sur les

services de coffre-fort numérique. Le label permettra ainsi aux utilisateurs d’identifier et de privilégier

les services de coffre-fort numérique qui garantissent un haut niveau de protection de leurs données

personnelles grâce notamment à des mesures de sécurité appropriées.

La Commission Nationale de l’Informatique et des Libertés (CNIL)

est chargée de veiller à ce que l’informatique soit au service du citoyen et

qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme,

ni à la vie privée, ni aux libertés individuelles ou publiques. Elle exerce

ses missions conformément à la loi informatique et libertés qui la

qualifient d'autorité administrative indépendante (de l’Etat).

En analysant les solutions de coffre-fort disponibles sur le marché, la CNIL a constaté que la majorité

des services de coffre-fort numérique n'étaient pas suffisamment sécurisés. Et à ce jour, n’importe qui

peut proposer un tel service du jour au lendemain. Il lui est apparu utile d'alerter les utilisateurs, qui

peuvent être induits en erreur par l'appellation de " coffre-fort ", sur les précautions à prendre avant de

souscrire à une offre. Elle a également souhaité rappeler aux fournisseurs les bonnes pratiques à

adopter sur les données, les destinataires, les durées de conservation, l'information des personnes, les

mesures de sécurité.

Jusqu’à maintenant, les utilisateurs de ces nouveaux services n’avaient pas forcément les

moyens de vérifier l’intégrité, la disponibilité et la confidentialité des données stockées.

De ce fait, la CNIL propose que l'appellation " coffre-fort numérique ", ou " coffre-fort électronique ",

soit réservée à une forme spécifique d'espace de stockage numérique, dont l'accès est limité à son seul

utilisateur et aux personnes physiques spécialement mandatées par ce dernier. Une appellation qui est

réservée à de véritables "coffres-forts ".

Figure 14 - Logo CNIL

Figure 13 - Logo

FNTC



De façon générale, les services de coffre-fort numérique doivent garantir l'intégrité, la disponibilité et

la confidentialité des données stockées et impliquer la mise en œuvre des mesures de sécurité décrites

dans la recommandation. Un haut niveau d’exigence en matière de sécurité est requis.

Le dispositif de chiffrement, notamment la taille de la clé utilisée, doit répondre aux exigences de

l'ANSSI (Agence nationale de sécurité des systèmes d'information). Vous pouvez vous référer au

premier chapitre de cette partie pour plus d’information. Et les mécanismes d'authentification des

utilisateurs et des tiers mandatés doivent garantir une authentification forte (mots de passe à usage

unique, envoi de codes par SMS, etc....).

De plus, les fournisseurs de ce type de service ne doivent pas être

techniquement en mesure d'accéder au contenu d'un coffre-fort, ni à ses

éventuelles sauvegardes, sans le consentement exprès de l'utilisateur concerné.

L’accès aux données strictement doit rester totalement encadré. Et la clé de

déchiffrement doit être maîtrisée uniquement par l'utilisateur du coffre et

éventuellement par un tiers de confiance (voir mémoire sur la signature

électronique pour plus d’information).

De plus, le stockage des données de santé est réglementé. L'hébergement de

données de santé nécessite l'obtention d'un agrément spécifique du ministère de

la santé, délivré après avis de la CNIL. Sans cet agrément, le fournisseur de coffre-fort ne peut

proposer ou organiser le stockage de données de santé, par exemple en prévoyant par défaut un dossier

intitulé "Santé". Il devra donc déconseiller à ses utilisateurs de stocker ce type d'informations. Et

comme à son habitude, l'utilisation du numéro de sécurité sociale est à proscrire. Il n'est pas possible

d'identifier les coffres en utilisant le numéro de sécurité sociale des utilisateurs. La CNIL recommande

donc aux prestataires de recourir à un système basé sur l'attribution d'un numéro unique non signifiant,

à l'image de ce que font les banques avec les relevés d'identité bancaire.

Enfin la recommandation publiée par la CNIL a surtout pour but de mieux informer les

consommateurs. Car un « coffre-fort numérique » doit effectivement être robuste et répondre à des

critères tels que l’impossibilité d’accéder aux fichiers déposés par le fournisseur lui-même, une clé de

chiffrement unique à disposition de l’utilisateur, le chiffrement des données lors de transfert pour les

back-ups par exemple, etc.

Ces contraintes techniques s’adressent à l’ensemble des services de coffre-fort numérique proposés

aux particuliers par des sociétés établies sur le territoire français. Mais

aussi aux entreprises établies en dehors du territoire de l’Union

européenne dès lors qu’elles utilisent des moyens de traitement en

France. Et une des contraintes techniques proposée par la CNIL sur

l’appellation coffre-fort numérique, qui a son sens après l’affaire

PRISM, est que les serveurs physiques soient localisés sur le territoire

français. Il est très important pour la CNIL de garder les informations

critiques et personnelles que peut comporter un coffre-fort numérique

sur son sol.

Ce nouveau label vient s’ajouter aux deux labels CNIL déjà existants,

en matière de formation et de procédure d’audit de traitements. Depuis

2012, la CNIL a déjà reçu près d’une cinquantaine de demandes et délivré une trentaine de labels.

Or, à ce jour, aucun fournisseur du service dit de coffre-fort numérique n'est agréé par la CNIL.

Il n’est pas impossible, qu’à terme, la CNIL délivre des labels à des solutions offrant toutes les

garanties de sécurité et de confidentialité pour les utilisateurs.

Figure 15 - Signature électronique

Figure 16 - Produit français



III. Communication client

Avec la dématérialisation, la majeure partie des documents produits et échangés dans le cadre de

l’activité personnelle prêtent à être pousser sous le format numérique.

Le stockage des données sur un simple disque dur d’ordinateur personnel ou de serveur n’offre pas les

garanties d’intégrité, de pérennité, de traçabilité et de confidentialité attendues d’un système

d’archivage électronique.

Afin de satisfaire aux besoins du domaine de l’archivage, la notion rassurante de « coffre-fort

numérique » a été créée pour désigner un système garantissant, sur la base de spécifications précises et

de manière certaine, l’ensemble des sécurités et des fonctionnalités nécessaires à la conservation, la

rechercher et la restauration à long terme des documents.

Les différents organismes se basent sur ces notions fidèles et recherchées par les clients afin de créer

un environnement propice à confiance.

A. Certification, un label de confiance

Concrètement, tout repose sur la mise en œuvre d’une technologie : la cryptographie, qui associe le

chiffrement des données, les empreintes d’intégrité, la signature électronique ou encore les jetons

d’horodatage. La mise en œuvre de cette technologie se fait dans le respect de normes relatives à

l’archivage électronique, voire aux textes de référence spécifiquement consacrés au coffre-fort

numérique (partie précédemment énoncée).

Plutôt que d’autoproclamer la conformité à ces exigences normatives, il est nécessaire d’apporter des

garanties aux utilisateurs par les certifications ou les labels. C’est de cette raison que la majorité des

coffres-forts numériques bénéficient du label « coffre-fort numérique » de la fédération nationale des

tiers de confiance (FNTC) ou de la Certification de sécurité de premier niveau (CSPN) délivrée par

l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Pour l’utilisateur, le coffre-fort numérique est non seulement un dispositif d’archivage mais aussi une

technologie de protection des données à caractère personnel, ce que les Anglo-Saxons désignent sous

le terme de PET ou Privacy Enhancing Technology.

Actuellement en pleine crise de la sécurité en raison des programmes d’espionnages rendus publics

(PRISM), les français sont toujours plus nombreux à utiliser des services numériques, ils marquent

aussi une méfiance plus importante vis-à-vis de ceux-ci. La certification, aperçu comme une garanti de

protection, apporte confiance et sécurité au coffre-fort numérique.



B. Nouvelle dimension

Le coffre-fort numérique permet également de donner à l’archivage une dimension active qu’il n’a pas

avec le papier, en favorisant la diffusion maitrisée par l’utilisateur de ses contenus numérique.

Pour les grandes institutions de confiance en relation avec le public, telles que les mutuelles et

compagnies d’assurance, un service de coffre-fort numérique, au profit de leur clients potentiels ou

assurés, se traduit par la mise à disposition d’un service innovant qui favorise une relation dans la

durée. Ces coffres forts constituent alors le socle sur lequel se bâtiront les futures applications de

dématérialisation qui seront des sources de création de valeur pour les utilisateurs et de réduction des

couts pour les entreprises proposant ce service.

Le coffre-fort numérique fait l’objet d’une attention accrue de la part des décideurs du secteur public.

Il participera au prolongement logique de la dématérialisation de l’administration française (vous

référencez au mémoire sur l’administration électronique).

Les grands acteurs de la confiance numérique sont la FNTC et la CNIL.

1. FNTC

La FNTC (Fédération Nationale des Tiers de Confiance) publie régulièrement des guides à l’attention

des personnes qui s’intéressent à la dématérialisation des documents et des échanges, et plus

généralement à la confiance numérique.

Le sujet est vaste : des coffres-forts numériques aux bulletins de paie, du vote électronique à la facture,

de l’archivage à la signature électronique… ces guides de la confiance disponible sur le site de la

FNTC regroupent nombreux thèmes sur la dématérialisation.

Depuis la création en 2007 du premier guide juridique de la dématérialisation des documents –

élaboré sous la tutelle de Maître Éric Caprioli, avocat à la Cour de Paris et vice-président de la FNTC

– le cadre juridique de la dématérialisation n’a cessé d’évoluer, au point que ce guide en est

aujourd’hui à sa cinquième édition.

Qu’il s’agisse de la dématérialisation dans la sphère publique ou dans la

sphère privée, le cadre juridique applicable au numérique concerne de

plus en plus notre quotidien.

Dans la sphère privée, qui concerne les actes qualifiés de B2B (entreprise

à entreprise), B2C (entreprise au consommateur), la dématérialisation

touche aux contrats sous forme électronique; les contrats par voie

électronique ; les commandes en ligne et l’e-commerce ; l’archivage

électronique ; la protection des données à caractère personnel ; la banque,

les courriers électroniques, les jeux etc.

Dans la sphère publique, nous retrouvons le RGI (Référentiel Général

d’Interopérabilité) et le RGS (Référentiel Général de Sécurité), les

téléprocédures, les actes réglementaires, les marchés publics, les données

de santé, l’archivage public, la CNIE (Carte Nationale d’Identité

Électronique), le permis de conduire, etc.

Autant dire que de plus en plus de domaines du quotidien sont concernés

par la dématérialisation des actes et contrats, l’authentification, la preuve

et l’archivage. Tous ces domaines s’appuient sur des règles et règlements que ce guide juridique

s’emploie à nous faire découvrir et nous mettre en confiance.

Figure 17 - un exemple de guide de la

confiance délivré par la FNTC



En bref, la FNTC nous offre une multitude de guides de confiance triés par thème, et cela

gratuitement. Un aperçu exhaustif et documenté de tout ce que nous devrions savoir du cadre juridique

et règlementaire de la dématérialisation des documents et de la valorisation des documents

numériques.

Les guides de confiance sont disponibles sur le site de la FNTC, voici un lien direct vers cette

librairies : http://www.fntc.org/fr/publications/les-guides/les-guides-de-la-confiance/.

2. CNIL

La CNIL est l’autorité en charge de veiller à la protection des données personnelles en France. A ce

titre, elle dispose notamment d’un pouvoir de contrôle et de sanction. Jouant aussi un rôle d’alerte et

de conseil, elle a pour mission de veiller à ce que le développement des nouvelles technologies ne

porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés

individuelles ou publiques. Une autorité gouvernementale qui se relève de confiance pour les français.

Elle est la police de l’information numérique et très bien reconnu sur le territoire français.

La CNIL a pour mission principales :

Informer : la CNIL est investie d’une mission générale d’information des personnes sur leurs

droits et leurs obligations ;

Réguler : la CNIL régule et recense les fichiers, autorise les traitements les plus sensibles

avant leur mise en place ;

Sanctionner : la CNIL peut infliger des sanctions financières aux responsables de traitements

qui ne respectent pas la loi ;

Protéger : banque, travail, consommation, administration, internet, ... la CNIL aide les

citoyens dans l'exercice de leurs droits ;

Contrôler : la CNIL contrôle les fichiers et vérifie si les responsables de fichier respectent la

loi informatique et libertés ;

Anticiper : la capacité à comprendre et anticiper les développements technologiques est

désormais indispensable aux autorités de protection des données.

http://www.fntc.org/fr/publications/les-guides/les-guides-de-la-confiance/



IV. Les offres de coffre-fort numériques

Le marché actuel propose énormément de solutions pour quiconque serait intéressé par l’ouverture

d’un coffre-fort numérique. En vrac, on peut citer toutes les offres de banques se ressemblant en

définitive, toutes les offres diverses et variées d’entreprises spécialisées ou encore toutes les offres

proposées par divers sites, assurances et autres.

Dans le cadre d’une étude de marché rapide, nous avons retenu trois possibilités d’offres, toutes assez

différentes :

- La première est l’offre proposée par le magazine The New-Yorker : Strongbox

- La seconde est l’offre proposée par Allianz pour les voyageurs d’Air France

- Enfin, la dernière est une étude un peu particulière puisqu’elle examine la possibilité d’utiliser

ou non Dropbox comme un coffre-fort numérique.

Les trois offres seront donc décrites de manières succintes afin de présenter leurs particularités ou

leurs possibles intérêts d’utilisations en tant que coffre-fort.

Figure 18 - Strongbox : un coffre-fort numérique pour les lanceurs d’alertes

Strongbox (qui veut dire « Boite Forte » dans la langue de Molière) est une offre qui a été lancée par le

magazine américain The New-Yorker. L’idée derrière la création de cet outil est de fournir aux

journalistes ainsi qu’à toutes personnes désirant communiquer des documents dits « sensibles » (un

peu à la manière des documents qu’Edward Snowden a partagé).

Il faut savoir que Strongbox représente le dernier combat mené par Aaron Swartz, homme qui s’est

suicidé en janvier 2013 soit trois mois avant un procès où le procureur du Massachusetts avait retenu

contre lui treize chefs d’accusation dont le vol, la fraude informatique et l’accès illégal à des

informations protégées. L’homme s’est donc pris la vie face au risque de 35 ans de prisons avec une

amende d’un millions de dollars. Néanmoins, c’est dans ce combat qu’est née l’idéologie derrière

Strongbox :

Libérer les données publiques, partager gratuitement le savoir, empêcher les obstacles à la

propagation des données. Le nom derrière ces idéologies qui ont mené à la naissance de ce nouveau

coffre-fort électronique se nomme le Datalove.

Pour bien comprendre le fonctionnement du dit outil, il faut savoir que tout a commencé il y a 3 ans.

Un journaliste du magazine américain Wired a demandé à Aaron Swartz s’il pouvait créer un coffre-

fort électronique anonyme et open-source. La réponse d’Aaron fut alors Deaddrop (devenu depuis

Secure Drop). Comme il est indiqué dans la note d’intention du projet (fig. 1.1), « DeadDrop a été

créé avec l’objectif d’un lieu de dépôt sécurisé à la portée de n’importe qui dès qu’ils en ont le

besoin. », le tout sous la licence GNU. Cette affirmation montre surtout que, même si n’importe qui

aura accès à Deadrop et toutes les technologies qui en découleront, il faut se rappeler que rien au

monde n’est inviolable.



Figure 19 - Extrait de la note d’intention du projet

Le fonctionnement de Deaddrop (sur lequel, rappelons-le, Strongbox se base) est similaire à de

nombreux coffres forts électroniques. Trois serveurs sont utilisés :

- Un serveur public qui permettra l’hébergement de l’interface utilisateur, il s’agira donc par

définition du serveur avec lequel les utilisateurs interagiront sans que ledit serveur n’héberge

quel que fichier que ce soit.

- Un serveur privé qui permettra l’hébergement de tous les fichiers dans le coffre-fort

numérique. Par définition, celui-ci sera sécurisé et il n’y aura pas d’accès direct pour le ou les

utilisateurs

- Enfin un troisième serveur qui s’occupera de gérer la sécurité des deux autres serveurs.

De plus, tous les échanges sont chiffrés via clefs PGP (Pretty Good Privacy, un système d’encodage

semi-libre créé par Philip Zimmermann). Il est aussi à noter que pour utiliser Strongbox, l’utilisateur

est dans l’obligation d’utiliser The Onion Ring (TOR), un navigateur web via proxy permettant un

certain anonymat sur internet (voir fig. 1.2).

Figure 20 - Comment utiliser Strongbox

Il est aussi à noter que ce système de coffre-fort numérique a inspiré une solution française : la

solution créée par Mediapart, Frenchleaks, mis en place par Nicolas Silberman. A la différence de

Strongbox, Frenchleaks n’oblige pas l’utilisateur a utilisé The Onion Ring pour naviguer, le

conseillant uniquement. On se retrouve donc face à deux coffres forts numériques similaires dans

l’idée (une protection pour tous les lanceurs d’alertes, et être sûr que leurs documents puissent être

publiés sans soucis), mais proposant des modes d’accès différents.

En effet, The Onion Ring permettant une grande forme d’anonymat malgré de nombreuses contraintes,

et surtout n’étant un navigateur développé par l’équipe fournissant le coffre-fort numérique, la

question de l’obligation d’une utilisation d’un tel navigateur reste d’actualité.



C. L’offre d’Allianz : un coffre-fort numérique dans les airs.

Figure 21 - Offre d'Airfrance / Allianz

Depuis le 17 février 2010, Allianz en partenariat avec Air France propose une offre quelque peu

particulière dans l’univers bien régulé des coffres forts numériques. En effet, la particularité de l’offre

proposée est qu’elle n’est disponible que pour les voyages effectués avec Air France.

De base, il faut savoir que l’offre proposée n’est pas développée en interne par Allianz, mais qu’il

s’agit d’une offre de Cecurity.com sélectionnée par la société d’assurance. Il s’agit donc d’un véritable

coffre-fort numérique, reconnu et certifié en tant que tel.

Comme indiqué précédemment, cette offre n’est disponible que pour les voyageurs d’Air France.

Ainsi, en s’inscrivant sur le site d’Air France, on peut alors avoir accès au coffre-fort. L’une des

particularités de ce coffre face à d‘autres offres et qu’elle permet l’accès à divers documents par le

service médical de Mondial Assistance, afin de protéger le client de quelques problèmes médicaux que

ce soit, tout en fournissant l’accès au tiers de confiance autorisé par le client.

Le reste des options proposées reste fidèle à tout ce que peut proposer un coffre-fort numérique. En

l’état, ce service montre toute son utilité pour les voyageurs qui souhaiteraient protéger leurs données,

leurs billets et autres papiers important étant donné qu’il leurs suffira juste d’avoir accès à une

connexion internet pour récupérer tous les documents nécessaires à l’évolution du produit.

Il est à noter que les pluparts des fonctionnalités proposées par ce coffre-fort numérique sont

semblables à de nombreuses autres. L’offre se basant sur une infrastructure externe à la société

(Cecurity.com) qui est, elle, reconnue par la CNIL en tant que solution de coffre-fort numérique. En

examinant cette offre, on a donc un examen possible sur de nombreuses offres proposant un service

simialire.



D. Dropbox : une bonne idée pour un coffre-fort numérique ?

Figure 22 - DropBox

Parmi toutes les offres publiques et gratuites, certains pourraient avoir l’idée d’en utiliser comme

coffre-fort numériques. Ainsi, dropbox pourraient paraître comme une utilisation intelligente pour

certains (un espace gratuit de base pour les documents, un dossier publique accessible au tout venant

et la possibilité de créer divers dossier privés utilisables uniquement par l’intéressé et les tiers de

confiance qu’il a habilité) mais de nombreux problèmes se posent.

De base, Dropbox n’affiche aucune des normes qui lui permettraient d’être mandaté comme coffre-fort

numérique par la CNIL. De plus, de nombreux problèmes de sécurités sont affichés pour cette solution

de cloud :

- La société utilise les services de cloud Amazon S3 plutôt que ses propres infrastructures. De

fait, elle ne peut vraiment maîtriser la gestion du réseau de stockage des fichiers et reste

dépendante du bon vouloir d’Amazon (qui peut donc se permettre de couper les accès du jour

au lendemain si un différend entre les deux sociétés finit par apparaître).

- Dropbox utilisant un processus de déduplication des fichiers pour ne les sauvegarder qu’une

seule fois. Cela implique qu’il n’y a donc pas de chiffrements par une clé unique, ce qui va à

l’encontre même du principe d’un coffre-fort numérique, puisque l’utilisateur n’a pas de clé de

chiffrement unique qui lui est destinée et à laquelle il serait le seul à avoir accès (en dehors de

ses tiers de confiance).

- La société ne dépend que de la législation américaine pour tout ce qui est du stockage des

fichiers, et ce même si l’utilisateur est en europe. Un coffre-fort numérique devant être déclaré

en tant que tel par la CNIL pour avoir le droit à une telle dénomination, on se retrouve alors

avec les soucis des normes françaises et européennes à appliquer à un tel outil

- La mise en ligne de fichier passe uniquement par l’API Dropbox, il n’y a aucune autre

solution à l’heure actuelle. Si la société décide de changer du jour au lendemain toutes ses

conditions, on se retrouvera alors avec de nouvelles disparités.

L’outil Dropbox est donc un outil fort sympathique pour tout ce qui est d’un outil de partage et de

sauvegarde cloud pour un utilisateur lambda. A partir du moment où une personne voudrait l’utiliser

pour protéger des documents importants ou secrets, il vaut donc mieux se tourner vers une véritable

offre de coffre-fort numérique !



V. Etude d’un cas : Digiposte

Figure 23 - Offre DIGIPOSTE

Lancé en 2010, le service de coffre-fort numérique proposé par La Poste se nomme Digiposte. Ce

coffre-fort numérique s’implique dans le plan économique engagé par le groupe La Poste afin de

trouver diverses alternatives pour augmenter le chiffre d’affaires.

En effet, il est bon de rappeler que le climat socio-économique de la première entreprise française (en

nombre d’employé) est dans le déclin, dû à la baisse d’utilisation du produit principal de la boite, le

courrier. Dans cette optique, la société a donc diversifié ses offres, via la banque postale ou notamment

Digiposte, cas qui nous intéresseras.

Il est aussi intéressant de noter que le service est développé en interne. En effet, là où bon nombre de

sociétés comme les banques qui finissent par proposer un service de coffre-fort numérique passent par

un tiers comme Cecurity.com, Digiposte a été développé en interne par une partie de La Poste

Courrier : Docaposte. La finalité est que tout ce qui en découle, les possibles évolutions, sont dans les

mains de La Poste.

L’offre de Digiposte se divise actuellement en deux catégories d’offres : celle à destination des

particuliers, et celle à destination des entreprises. Chacune de ces offres seront examinées en détail.

A. Pour les particuliers

Pour commencer, il faut déjà savoir ce qui définit un particulier pour qu’il puisse souscrire à l’offre

Digiposte qui lui sera dédié. En regardant dans les conditions générales d’utilisations de l’outil, on

peut voir qu’un abonné désigne toute personne physique ou morale disposant de la pleine capacité

juridique ayant ouvert un compte Digiposte et l'utilisant à des fins non professionnelles. Ainsi,

n’importe qui peut ouvrir un coffre-fort numérique auprès de la société, et même essayer le coffre-fort

numérique gratuitement, avec une limite d’archivage gratuit de 3 Giga-octets.

Une fois le compte ouvert, de nombreuses options sont alors proposées pour les utilisateurs ainsi

connectés :

- Tout d’abord, la possibilité d’enregistrer les mails reçus que l’on reroute vers le coffre-fort.

Ainsi, comme avec tout espace de stockage de mail, on peut les classer automatiquement via

une utilisation de mots-clefs. De plus, on peut aussi enregistrer automatiquement tous les

documents qui sont envoyés, afin de garder trace de tous les documents importants que l’on

récupère via voie électronique.

- Un avantage bien sûr lié à de nombreux coffres forts numériques est bien sûr la possibilité de

réduire la place physique prise par tous les papiers que l’on peut désormais recevoir par voie

numérique. Ainsi, tous ces documents qui sont maintenant enregistrés de manière

électroniques sont tous stockés dans un même lieu sûr virtuel.



- Le coffre-fort numérique proposé par la poste est reconnu en tant que tel. C’est-à-dire que

l'archivage de documents reçus par les expéditeurs ou les documents personnels qu’ils auront

numérisés bénéficient d'un archivage à valeur probatoire selon la norme NF Z 42-013, norme

qui a été décrite plus tôt dans le mémoire. Rappelons qu’il s’agit d’un ensemble de

spécifications de l’AFNOR (Association Française de NORmalisation) et qui se destine, dans

le cas présent, aux entreprises souhaitant héberger des fichiers en lignes pour des particuliers

ou d’autres entreprises de telle façon que la fidélité et l’intégrité des documents stockés par

rapport aux documents d’origine soient assurée.

- L’inscription sur Digiposte comme indiqué tout à l’heure est gratuite pour l’option basique.

Néanmoins, si l’utilisateur décide de s’orienter vers une autre solution de stockage numérique,

il peut à tout moment clore son compte et son adhésion, et ce dès la première minute

d’inscription.

De plus, l’offre de Digiposte propose de nombreux partenariat avec diverses entreprises afin de

faciliter la vie du particulier. Il faut se rappeler que l’offre fut l’une des premières à être créée en

France, ce qui explique notamment tous ces partenariats.

3. Partenariat avec les banques

Trois banques proposent un partenariat avec l’offre du groupe La Poste actuellement :

- En toute logique, on peut tout d’abord citer La Banque Postale. De base, il aurait

été étonnant qu’une société qui cherche à s’étendre n’utilise l’une de sa propre

filiale. Ainsi, tous les clients de La Banque Postale peuvent recevoir directement des copies de

leurs relevés de compte électronique dans leur coffre Digiposte. De plus, on peut déclarer ses

sinistres via l’utilisation d’un iPhone, permettant la certification des photos envoyées depuis

l’appareil et facilitant le traitement de la déclaration.

- De la même façon, le crédit mutuel Arkea et la banque Reunica proposent le même service

pour ce qui est des relevés de compte mais rien quant aux sinistres. Il est à noter néanmoins

que les autres « grandes » banques françaises ne proposent pas forcément d’offre dans

Digiposte, étant donnée qu’elles ont chacune leurs propres solutions de coffre-fort numérique

En y regardant bien, il est logique que La Banque Postale puisse accorder sa confiance à Digiposte.

Comme dit plus haut, il s’agit développé par un service de La Poste Courrier (Docaposte pour être plus

exact), et ces deux sociétés étant des filiales du même groupe, la confiance finale se retrouve donc

logiquement. Il est par contre intéressant de noter que le crédit mutuel Arkea et Reunica proposent une

solution créée en interne par la poste, et non une solution éditée par une société tierce comme

Cecurity.com, chose que de nombreuses banques font à l’heure actuelle.

4. Partenariat avec l’offre mobile de La Poste

De la même façon que pour les copies de leurs relevés de compte, le partenariat avec La

Poste Mobile permet d’enregistrer directement toutes les factures reçues ainsi que tous

les documents se rapportant à la création du compte chez La Poste Mobile sur le coffre-

fort.

Toujours dans l’optique d’une étude de la confiance numérique, La Poste Mobile étant un opérateur

téléphonique dit virtuel (un opérateur qui utilise le réseau d’autres sociétés pour établir le sien), et

appartenant aussi au groupe La Poste, ce choix de partenariat avec Digiposte n’est guère étonnant

finalement.

Figure 25 - laposte mobile

Figure 24 - Logo de la

banque postale



5. Partenariat avec l’université UPMF

L’université Pierre-Mendès France propose depuis la rentrée 2013 de fournir un

accès à Digiposte à ses 17000 étudiants. Ainsi, les relevés de notes, diplômes et tout

autre document important pour la vie de tous les jours des étudiants sont stockés de

manières électroniques et reconnues. Ainsi, l’étudiant n’a plus à avoir peur de

perdre ses relevés de notes, ses diplômes et toutes autres choses importantes.

On peut donc remarquer qu’ici, la confiance accordée à ce service est énorme, surtout de la part d’une

université. En effet, les documents stockés par Digiposte sont des documents extrêmement importants

pour les étudiants. Les documents stockés sur le service de stockage sécurisé en ligne de La Poste sont

des documents qui suivront les étudiants pendant de nombreuses années. Et donc pour autoriser une

société tierce à héberger ces fichiers de manière externe à la société, la confiance numérique proposée

se montre donc propice à de telles actions et mise en place.

6. Partenariat avec les entreprises

De nombreuses entreprises, parmi lesquelles toutes les filiales de la poste mais aussi

Acadomia, JCDecaux, ou encore Veolia ont choisi de proposer à leurs employés de

recevoir bulletin de paie au format PDF directement dans un coffre-fort numérique.

On peut tout de même observer ici que les entreprises proposant ce service acceptent la confiance de la

poste. En effet, pour tous les employés d’une firme passant un tel accord avec la poste et acceptant

d’envoyer leurs fiches de paie dans un coffre-fort numérique, Digiposte pourrait extraire les données

pour obtenir des informations sur la masse salariale, voir tenter de débaucher des employés en

fonction de ce que rapporte la fiche de paie. Néanmoins, il n’en est rien ici. En effet, les normes

attribuées au coffre-fort numérique de la poste font qu’elle ne peut légalement y avoir accès, et les

risques en tentant de le faire illégalement seraient bien trop grand (entre les procès et la perte de

confiance de la clientèle).

Bien sûr, tous les partenariats mentionnés plus hauts se ressemblent, et permettent de stocker

directement tous les documents physiques que l’on peut égarer au jour le jour sur un serveur sécurisé

où l’on n’aura aucun mal à les ressortir. On touche alors à l’un des gros avantages du coffre-fort

numérique : le stockage des données importantes. Il faut néanmoins toujours faire attention : que se

passeras-t-il le jour où tous les serveurs seront déconnectés, et que la personne qui aura tout laissé sur

un cloud n’aura plus aucun diplôme, n’aura plus aucune fiche de paie passée ? Bien sûr, ces questions

sont mentionnées par les normes, et il serait étonnant qu’une offre reconnue par la CNIL comme celle

de La Poste Courrier avec Digiposte. Un autre souci serait une panne globale de serveur, ou bien une

panne électrique à un moment où l’utilisateur aurait réellement besoin d’avoir accès à ses relevés.

B. Pour les entreprises

De la même façon que pour l’utilisation de Digiposte à destination d’un particulier, Digiposte

entreprise propose des services similaires et quelques particularités. Ainsi, on se retrouve de nouveau

devant un coffre-fort numérique qui enregistrera directement tous les documents liés au travail de la

personne, et ce dans la limite légale de rétention (soit 5 ans pour les relevés de compte bancaire, ou à

vie pour les bulletins de paie par exemple). On retrouvera aussi l’application dédiée sur iPhone ou

encore le partage vers un tiers de confiance.

De plus, l’offre pour entreprises offre quelques avantages. Outre les possibilités mentionnées plus

haut, La Poste propose directement un ensemble de fichiers à présenter afin de convaincre l’entreprise

de choisir l’offre Digiposte. De plus, une fois l’offre admise et installée, une application payante peut

être obtenue afin d’avoir des modules d’accompagnements pour mener à bien un audit interne.

Figure 26 - Logo de

l'UPMF

Figure 27 - Logo Laposte



Enfin, l’avantage de passer à un coffre-fort numérique pour tout ce qui aurait pu être papier est une

baisse des couts, d’autant que l’offre étudiée ici se targue d’être un engagement Eco-Responsable, un

engagement qui va donc de pair avec la norme ISO 14001. Certes cette norme n’est aucunement liée

aux problèmes de sécurisations d’un coffre-fort numérique, il n’empêche qu’elle reste un point

important pour beaucoup de sociétés tenant à aller de l’avant en montrant patte blanche et un future

plus écologique.

L’intérêt d’un tel choix est de voir que des sociétés concurrentes à La Poste peuvent employer les

services de la société sans avoir de craintes de vols de documents. En effet, rappelons que depuis

2001, La Poste a été privatisée, et le marché s’est ouvert peu après à des concurrents. Et comme le

rythme d’envoi du courrier baisse au jour le jour, la société tente de se recadrer et de s’ouvrir au plus

de méthode possible afin d’améliorer son chiffre d’affaire (preuve en est avec des services comme

Digiposte en définitive).

La confiance numérique qu’inspire Digiposte est donc quelque chose d’assez intéressant. Que la

société soit une possible concurrente au groupe La Poste, un client du groupe ou tout simplement une

société travaillant sur un secteur sur lequel La Poste ne mettra jamais les pieds, toutes les sociétés qui

peuvent décider d’utiliser Digiposte sont donc des sociétés qui accepteront de mettre elur confiance

dans les mains du groupe La Poste.

C. Les dangers d’une telle offre

L’un des dangers de toute offre similaire est simple : comme mentionné plus haut dans le cas de

Strongbox, aucune protection n’est inviolable, aucune sécurité n’est totale. Ainsi, peu après l’arrivée

du service Digiposte, une faille est apparue sur le site internet dans l’interface utilisateur via XSS

(Cross Site Scripting) et entrainant de nombreux problèmes tels la redirection vers un site pirate afin

de mettre en place du phishing, vol de session, etc. Le problème principal étant que l’inscription

gratuite permettait à n’importe qui d’exploiter la faille afin de récupérer l’un des précieux sésames, les

documents censés être protégés.

Ainsi, même si la faille a été rapidement colmatée, il montre que même pour un logiciel dédié à la

sécurité, celle-ci peut être négligée à un endroit qui semble inutile, oubliant que la moindre faille d’un

mur peut le faire tomber. Même si d’autres problèmes ne sont pas apparus depuis, il ne faut pas oublier

que l’offre Digiposte a eu ses problèmes de failles, et peut toujours en avoir. Aucune protection n’est

inviolable, aucune sécurité n’est totale.

Néanmoins, comme indiqué plus haut et à plusieurs reprises, les clients qui suivent Digiposte ont,

semble-t-il, accordé une certaine confiance numérique à la société. En effet, même s’il y a eu des

failles au début de la mise en place de l’application et qu’on peut supposer que des dangers puissent

toujours exister, la base d’une telle offre se base sur la confiance que peut inspirer la société sur le

sujet. Et il semblerait que la confiance que La Poste inspire via le transit de courrier au jour le jour se

retrouve aussi dans la confiance



VI. Conclusion

Avec la dématérialisation, la majeure partie des documents produits et échangés sont poussés sous le

format numérique. Dans cette continuité avec les documents de valeur juridique il est venu le temps de

dématérialiser la confiance.

Récent, simple d’utilisation et sécurisé, le coffre-fort numérique est le système de stockage centralisé

idéal et nombreux labels et certifications tendent à mettre en confiance l’utilisateur. Les offres de

coffre-fort numérique fleurissent sur la toile.

Néanmoins, une énigme reste non survolée sur la dématérialisation. De nos jours, faire de l'archivage

dans le Cloud est quelque chose de possible et maitrisé. Et conserver ou archiver dans le Cloud ne

présente vraisemblablement pas un risque à la perte des données parce que le Cloud est censé répliquer

les données et informations quasi infini (telle est la promesse).

En revanche il y a un risque certain, le risque de ne plus pouvoir bénéficier du droit à l'oubli des

informations. Et c'est un sujet qui peut être très important notamment en matière de données

personnelle, médicales et judiciaire. Tout est enregistré et archivé à vie.

Dès lors qu’un jugement est devenu obsolète, comment avoir la garantie que nous allons pouvoir

gommer dans le Cloud ces informations ? Ces archives vont ils nous suivre toute notre vie ? Le droit à

l’oubli est-elle une idéologie techniquement envisageable ?



VII. Bibliographie

Articles web :

Appellation Coffre-Fort Numérique mandatée par CNIL

http://www.numerama.com/magazine/27599-le-coffre-fort-numerique-appellation-reglementee-par-la-

cnil-maj.html

http://www.cnil.fr/nc/linstitution/actualite/article/article/adoption-dune-recommandation-sur-les-

coffre-forts-electroniques/

http://www.cecurity.com/fr/avis-d-expert-cecurity-2014/65-contenus-fr/avis-d-expert/2014/186-

creation-du-label-cnil-services-de-coffre-fort-numerique

Campagne de dénigrement contre DropBox – problème de sécurité

http://www.numerama.com/magazine/25353-dump-dropbox-une-campagne-de-denigrement-contre-

dropbox.html

Site officiel de la FNTC : Fédération du Tiers de Confiance Numérique

http://www.fntc.org/fr/defininition-d-un-tiers-de-confiance-numerique/

Avis d'expert sur CFN

http://www.cecurity.com/fr/avis-d-expert-cecurity-2013

Nouvelle approche de la confiance dans le web

http://fing.org/?-Nouvelles-approches-de-la-

Les règles de la confiance sur le web

http://www.lemonde.fr/technologies/article/2011/03/18/les-regles-de-la-confiance-sur-

internet_1495419_651865.html

Coffre forte numérique dans le service public

http://blog.administrationnumerique.markess.com/2013/04/recours-a-des-coffres-forts-numeriques-

logique-prolongement-de-la-dematerialisation-selon-les-decideurs-du-secteur-public/

Formation aux services numériques

http://www.netpublic.fr/liste/ressources-netpublic/formation-numerique/

Coffres Forts Numériques : Une valeur juridique à vérifier

http://lexpansion.lexpress.fr/high-tech/coffres-forts-numeriques-une-valeur-juridique-a-

verifier_230959.html?p=1

Etude Markess International sur le CFN

http://www.arcsys-software.fr/wp-content/uploads/2013/04/Etude-Markess-Arcsys-COFFRE-

FORT.pdf

Définition Coffre fort :

http://www.banque-info.com/lexique-bancaire/c/coffre-fort

Certification CSPN

http://www.ssi.gouv.fr/IMG/cspn/anssi-cspn_2010-06fr.pdf

http://linagora.com/LINSECURE-CERTIFICATION-CSPN (jeux en ligne)

http://www.numerama.com/magazine/27599-le-coffre-fort-numerique-appellation-reglementee-par-la-cnil-maj.html

http://www.numerama.com/magazine/27599-le-coffre-fort-numerique-appellation-reglementee-par-la-cnil-maj.html

http://www.cnil.fr/nc/linstitution/actualite/article/article/adoption-dune-recommandation-sur-les-coffre-forts-electroniques/

http://www.cnil.fr/nc/linstitution/actualite/article/article/adoption-dune-recommandation-sur-les-coffre-forts-electroniques/

http://www.cecurity.com/fr/avis-d-expert-cecurity-2014/65-contenus-fr/avis-d-expert/2014/186-creation-du-label-cnil-services-de-coffre-fort-numerique

http://www.cecurity.com/fr/avis-d-expert-cecurity-2014/65-contenus-fr/avis-d-expert/2014/186-creation-du-label-cnil-services-de-coffre-fort-numerique

http://www.numerama.com/magazine/25353-dump-dropbox-une-campagne-de-denigrement-contre-dropbox.html

http://www.numerama.com/magazine/25353-dump-dropbox-une-campagne-de-denigrement-contre-dropbox.html

http://www.fntc.org/fr/defininition-d-un-tiers-de-confiance-numerique/

http://www.cecurity.com/fr/avis-d-expert-cecurity-2013

http://fing.org/?-Nouvelles-approches-de-la-

http://www.lemonde.fr/technologies/article/2011/03/18/les-regles-de-la-confiance-sur-internet_1495419_651865.html

http://www.lemonde.fr/technologies/article/2011/03/18/les-regles-de-la-confiance-sur-internet_1495419_651865.html

http://blog.administrationnumerique.markess.com/2013/04/recours-a-des-coffres-forts-numeriques-logique-prolongement-de-la-dematerialisation-selon-les-decideurs-du-secteur-public/

http://blog.administrationnumerique.markess.com/2013/04/recours-a-des-coffres-forts-numeriques-logique-prolongement-de-la-dematerialisation-selon-les-decideurs-du-secteur-public/

http://www.netpublic.fr/liste/ressources-netpublic/formation-numerique/

http://lexpansion.lexpress.fr/high-tech/coffres-forts-numeriques-une-valeur-juridique-a-verifier_230959.html?p=1

http://lexpansion.lexpress.fr/high-tech/coffres-forts-numeriques-une-valeur-juridique-a-verifier_230959.html?p=1

http://www.arcsys-software.fr/wp-content/uploads/2013/04/Etude-Markess-Arcsys-COFFRE-FORT.pdf

http://www.arcsys-software.fr/wp-content/uploads/2013/04/Etude-Markess-Arcsys-COFFRE-FORT.pdf

http://www.banque-info.com/lexique-bancaire/c/coffre-fort

http://www.ssi.gouv.fr/IMG/cspn/anssi-cspn_2010-06fr.pdf

http://linagora.com/LINSECURE-CERTIFICATION-CSPN



Label : CNIL FNTC

http://www.cnil.fr/coffres-forts-numeriques/

http://www.fntc.org/actualites/fntc/item/124-la-fntc-accorde-son-label-coffre-fort-electronique-a-

docapost-dps/

Legifrance, adaptation d’un référentiel pour la délivrance de label CFN

http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D31550E6D31BCC31771412DB62DA7D2A

.tpdjo01v_3?cidTexte=JORFTEXT000028569235&categorieLien=id

MARKESS : L’archivage des contenus électroniques à vocation probatoire, un projet stratégique

http://blog.markess.fr/2012/04/larchivage-des-contenus-electroniques-a-vocation-probatoire-un-projet-

strategique.html

Agrément pour la conservation d'archives publiques courantes et intermédiaires

http://www.archivesdefrance.culture.gouv.fr/gerer/gestion-externalisee-des-archives/

Les guides de la confiance numérique délivrée par le FNTC

http://www.fntc.org/fr/publications/les-guides/les-guides-de-la-confiance/orderby,4/page,1/?itemid=0

Article en lien avec la norme AFNOR NF Z42-020

http://blog.ever-team.com/archivage-electronique-papier/la-norme-nf-z42-020-perimetre-et-utilite/

http://www.archimag.com/demat-cloud/2014/04/25/marche-coffre-fort-numerique-blinde

http://www.archiveslegalsolutions.com/medias/SS11G%20ARCHPROB%20Synthese%20Cecurity%2

0com.pdf

http://www.journaldunet.com/solutions/expert/52262/la-nouvelle-norme-afnor-nf-z42-020-sur-le-

composant-coffre-fort-numerique--ccfn----positionnement-et-limites.shtml

Article sur la monté du coffre-fort

http://www.lenouveleconomiste.fr/lesdossiers/archivages-coffre-fort-numerique-12341/

Livres :

Sécurité de la dématérialisation: De la signature électronique au coffre-fort numérique, une démarche

de mise en œuvre

Dimitri Mouton | Edition Eyrolles

La relation numérique de confiance, des enjeux des identités numériques

Association de l’Economie Numérique | ACSEL

Qualité des produits de SSI, les labels français

Michaël CHOCHOIS et Nicolas MAGNIN

http://www.cnil.fr/coffres-forts-numeriques/

http://www.fntc.org/actualites/fntc/item/124-la-fntc-accorde-son-label-coffre-fort-electronique-a-docapost-dps/

http://www.fntc.org/actualites/fntc/item/124-la-fntc-accorde-son-label-coffre-fort-electronique-a-docapost-dps/

http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D31550E6D31BCC31771412DB62DA7D2A.tpdjo01v_3?cidTexte=JORFTEXT000028569235&categorieLien=id

http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=D31550E6D31BCC31771412DB62DA7D2A.tpdjo01v_3?cidTexte=JORFTEXT000028569235&categorieLien=id

http://blog.markess.fr/2012/04/larchivage-des-contenus-electroniques-a-vocation-probatoire-un-projet-strategique.html

http://blog.markess.fr/2012/04/larchivage-des-contenus-electroniques-a-vocation-probatoire-un-projet-strategique.html

http://www.archivesdefrance.culture.gouv.fr/gerer/gestion-externalisee-des-archives/

http://www.fntc.org/fr/publications/les-guides/les-guides-de-la-confiance/orderby,4/page,1/?itemid=0

http://blog.ever-team.com/archivage-electronique-papier/la-norme-nf-z42-020-perimetre-et-utilite/

http://www.archimag.com/demat-cloud/2014/04/25/marche-coffre-fort-numerique-blinde

http://www.archiveslegalsolutions.com/medias/SS11G%20ARCHPROB%20Synthese%20Cecurity%20com.pdf

http://www.archiveslegalsolutions.com/medias/SS11G%20ARCHPROB%20Synthese%20Cecurity%20com.pdf

http://www.journaldunet.com/solutions/expert/52262/la-nouvelle-norme-afnor-nf-z42-020-sur-le-composant-coffre-fort-numerique--ccfn----positionnement-et-limites.shtml

http://www.journaldunet.com/solutions/expert/52262/la-nouvelle-norme-afnor-nf-z42-020-sur-le-composant-coffre-fort-numerique--ccfn----positionnement-et-limites.shtml



VIII. Glossaire

Archivage

Fait de recueillir et classer des documents, des informations

Certification

Fait de certifier, garantie écrite.

CFN

Coffre blindé servant à conserver les biens précieux, l'argent.

CNIL

Commission national de l'informatique et des libertés.

Datacenter

Centre de donnée, Endroit où est stocké un très grand nombre de serveurs d'entreprise.

Dématérialisation

Fait de dématérialiser ou d'être dématérialisé, d'être immatériel.

FNTC

Fédération National des Tiers de Confiance

GED

Gestion électronique de document

Horodatage

Fait que la date et l'heure soient imprimées automatiquement.

Intégrité

Caractère de ce qui est intègre, d'une probité absolue.

ISO

Organisme international de normalisation.

La toile

Plus communément appelé internet.

Label

Marque spéciale introduite par une organisation professionnelle pour identifier et pour garantir

l'origine et un niveau de qualité.

NAS

Network Attached Storage / Serveur de Stockage Réseau.



Normalisation

Ensemble des règles techniques établies afin d'améliorer le rendement dans tous lesdomaines

de production.

Norme

Règle précisant les prescriptions techniques à respecter dans la fabrication d'un produit.

PDCA

PLAN DO CHECK ACT. Roue de Deming qui permet l'amélioration continue.

RH

Ressource Humaines, service de recrutement et de gestion du personnel.

Signature électronique

Signature numérique créer par un ordinateur et indéchiffrable.

Tiers de confiance

Personne étrangère.

Traçabilité

Fait de pouvoir connaître l'origine et suivre le parcours d'un produit.

Vocation probatoire

Garantie l'authenticité, l'intelligibilité, l'intégrité.

Confiance Numérique - Coffre-Fort Électronique

Documents

Transcript of Confiance Numérique - Coffre-Fort Électronique