Forum aaf preuve sécurité 22 mars 2013 (2)

Cloud computing :Défis ou opportunités

pour les archives ?

Jean-Daniel ZELLERArchiviste principal, Hôpitaux universitaires de Genève

Enseignant à la Haute école de gestion de Genève (département I&D)

Preuve & Sécurité

22 mars 2013 - Forum AAF - Preuve et SécuritéJean-Daniel ZELLER

Définitions actuelles:

Business Process as a Service

Software as a Service

Plateform as a Service

Infrastructure as a Service

Archiving as a Service


Typologie 1

Nuage publicLes services de nuage public permettent à l'infrastructure d’être utilisé par le

grand public et ils offrent aux utilisateurs les avantages d'évolutivité rapide et d’une faible mise en place initiale des coûts. Google Apps est une suite d'applications SaaS populaire mis à disposition à travers un nuage public.

Nuage privéUn nuage privé est possédé et exploité par un organisme ou un tiers pour le

compte d'une organisation. Pour cette raison, la plupart des avantages de l’infrastructure infonuagique tels que l'externalisation de l'infrastructure informatique et les économies d'échelle seront moins évidents, toutefois les risques de sécurité et les goulots d’étranglement dans le transfert des données peuvent être atténués.


Typologie 2

Nuage CommunautaireAvec les nuages communautaires l'infrastructure fournie est réservée à l'usage exclusif d'une communauté spécifique d'organisations qui ont partagé leurs préoccupations. Comme l'accès est restreint à des utilisateurs particuliers, les nuages communautaires peuvent présenter des risques de sécurité moindre que les nuages publics, mais avec des économies d'échelle plus limitées, ils ont tendance à être moins souple pour s'adapter aux besoins des utilisateurs et les coûts peuvent être plus élevés.Nuage hybrideLes nuages hybrides sont une composition de deux ou plusieurs infrastructures en nuage distinctes (privé, communautaire ou public) qui, tout en restant distincts, sont interconnectés pour permettre le transfert de données. Un nuage hybride privé-public peut être utilisé pour stocker des données sensibles en interne tandis que le stockage d'autres données est sous-traité.


Quel avenir ?

cloud et archives

J’ai un problème pour vous dire quel est votre futur dans

l’informatique, tout ce que je peux voir c’est des nuages!


Les usages du cloud en 2012 (Gartner)


Questions de base

Quelles garanties offre le cloud en terme de :

• Fiabilité - Sécurité• Continuité de services• Migration• Protection des données personnelles


Protection des données et cloud

• Les prestataires américains (qui forment l’essentiel des prestataires de services en nuage) sont soumis au Patriot Act et au FISAA qui rendent illusoire la protection des données personnelles au sens européen.

• Conséquence : ne pas mettre de données personnelles dans le nuage public

• Voir recommandations de la CNIL (public-cible : entreprises)


Réponses possibles 1

Des nuages privés nationaux :

• Offres Numergy et Cloudwatt, en France• Projet de politique de nuage de la Confédération

Suisse• Projet de nuage sécurisé subventionné par le

ministère de l’économie allemand (Sealed Cloud)


Réponses possibles 2

cloud et archives

Transcription cryptée

Base de données cryptée

Traitement étanche


Sécurité du cloud – Qui a le contrôle ?

cloud et archives

9 sociétés sur 10 pensent que la

sécurité des données relève de la

responsabilité de leur fournisseur de services cloud !


Faisabilité archivistique 1Les propositions réglementaire et procédurales

• Un certains nombre d’autorités archivistiques ont émis des recommandation quant à l’usage des services en nuages.

• Elles disent toutes que cet usage n’est pas exclu, mais les précautions contractuelles qu’elles proposent reviennent de fait à exclure l’utilisation de ces prestations.

• Voir, Regard de Janus : http://regarddejanus.wordpress.com/2011/07/17/archivistique-et-informatique-en-nuage-archiving-and-cloud-computing-premier-episode-%E2%80%93-recommandations-de-nouvelle-galles-du-sud-australie/


Faisabilité archivistique 2Propositions organisationnelles

Le JISC anglais a effectué une évaluation des types de contenus hébergeables dans le nuage. Bien que consacré aux données issues du monde académique, leur analyse peut être transposables aux autres organisations publiques.Après une analyse de l’offre disponible le rapport fourni un tableau des caractéristiques vantées du nuage (élasticité, service à la demande, accessibilité, intégrité des données, sécurité des données, optimisation des ressources, responsabilité, goulets d’étranglement) et de leur pertinence en terme de conservation.Voici quelques unes de leur conclusions :



Quelles sont les tâche de curation le plus viables dans le nuage ?La capacité d'obtenir et de transférer rapidement des ressources informatiques, peut être appropriée pour les tâches peu fréquentes et intensives. Toutefois, si la tâche implique le transfert de gros volumes de données, alors le nuage devient moins approprié.



Quel modèle de service (privé-public) convient-il le mieux ?Le modèle public représente des risques qui font pencher vers le modèle privé, ce qui diminue les avantages économiques du cloud. Une solution infonuagique commerciale peut être utile pour les opérations par lots rares sur les données stockées ailleurs, mais elle peut être inappropriée pour le stockage de données sensibles ou personnelles.



Quels sont les risques et les avantages ?Déplacer de grands volumes de données depuis et vers le nuage peut être difficile et si ce stockage est à l'extérieur de l'organisation propriétaire des données, et en particulier si elle est dans une juridiction différente, elles peuvent être exposées à d'importants risques juridiques.



Est-ce que le nuage en-soi pose des problèmes de conservation ?L'adoption accrue des services en nuage à travers le paysage informatique est susceptible de conduire à la perte de données et à l'inaccessibilité dans certains cas, comme une conséquence des nombreux facteurs commerciaux et technologiques en jeu


Faisabilité archivistique 3Propositions techniques

Preserving Records in the Cloud. Etudes japonaise sur les couches du nuage et le modèle OAIS Le concept en couche rend le nuage compatible avec OAIS moyennant certains aménagements. L’avantage avancé et l’existence dans un même dépôt virtuel des archives courantes et définitives, ce qui réduit le processus de versement à un simple transfert d’URI et l’ajout de métadonnées.La correspondance entre les deux monde pourrait être assurée par un « Packager » que l’équipe de recherche est en train de développer, selon le schéma suivant :


Faisabilité archivistique 3Propositions techniques

cloud et archives


Dépenses mondiales delogiciels de stockage en $

Dépenses mondiales de matériels de stockage en $

Coût du Go sur disque en $

La problématique des coûts


Conclusions (provisoires)

En terme de pérennité et d’intégrité:• En l’état, le cloud offre des fonctionnalités de

stockage, pas des fonctionnalités d’archivage.• L’absence de garantie de réversibilité rend quasiment

impossible le transfert des données vers un autre prestataire ou le contractant (vendor lock-in).


Conclusions (provisoires)

En terme de sécurité et de traçabilité :• Bien que le niveau sécuritaire des prestataires soit

parfois bien supérieur à celui des PME, les données restent exposées à des pertes ou des ruptures de service auxquelles les CGU n’offrent aucunes garanties.

• La protection des données personnelles n’est actuellement pas garantie compte tenu de la soumission des prestataires au doit état-unien


La suite….

Blog Le Regard de Janus :www.wordpress.regarddejanus.comCatégorie :

Informatique en nuage et cloud computing

[email protected]

http://www.wordpress.regarddejanus.com/

Signature électronique et archivage à valeur probante

Quelles solutions ?

Philippe BazinAvocat au Barreau de [email protected]

Preuve & Sécurité

mailto:[email protected]

22 mars 2013 - Forum AAF - Preuve et SécuritéPhilippe BAZIN

Arrière plan de la question (1)

• Archiver = conserver• Conserver pourquoi ?

– Archivage patrimonial– Archivage probatoire


Archivage patrimonial

• Comment conserver ?– Obsolescence des systèmes – Obsolescence des supports – Localisation des supports – Durée de la conservation

• Conserver pour consulter • Problématique centrale : l’intégrité dans le temps


Archivage probatoire

• Prouver devant qui ? • Le juge• Prouver quoi ?

– Fait juridique et liberté de preuve– Acte juridique et légalité de la preuve


Evolution du régime légal de la preuve

Jusqu’ à la loi du 13 mars 2000 Depuis la loi du 13 mars 2000

Support papier Indifférence des supports : papier ou électronique

Original Disparition de l’original au profit du fichier natif

Signé Identification et consentement


1316

• La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission.


1316-4 al 1 Signature

• La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte.


1316-4 al 2Signature électronique

• Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache.


1316-4 al 2 Signature électronique sécurisée

• La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat.


1316-1= égalité probatoire

• L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité.


Le quadrille infernal de la preuve légale

• Problématique centrale de l’archivage probatoire• Intégrité• Identité • Traçabilité• Pérennité


L’impasse de la signature électronique

• L’imposture de la neutralité technologique• L’impérialisme (vain) de la signature électronique

sécurisée • La durée de vie limitée des certificats• La damnation de la « re » signature • L’astuce de la conservation limitée aux empreintes


Porter un regard nouveau sur l’archivage probatoire

• Accepter l’idée d’une preuve « relative »• Faire l’inventaire de ses besoins réels en preuve

« forte » (hypothèse et durée)


Gérer l’archivage probatoire comme un risque

• Pendre exemple sur les banques et les assureurs• Mettre en place un système probatoire

proportionnel au risque encouru• Accepter l’idée d’une signature électronique

« simple » • Pour répondre à des besoins « simples »


Simplifier

• Prendre acte de l’impasse techno/économique de la SES

• Etudier la proposition de règlement européen du 4 juin 2012

• « Identification électronique et services de confiance »

• 3ème type de signature électronique : qualifiée


Relativiser

• Archivage et signature électronique : oui• Mais pas exclusivement !!!

Michel THOMAS

Présentation du Référentiel Général de Sécurité (RGS)

Preuve & Sécurité

22 mars 2013 - Forum AAF - Preuve et SécuritéMichel THOMAS

Objectif du RGS

• Donner confiance dans les échanges numériques– Renforcer et encadrer la sécurité des échanges

électroniques entre les usagers et les autorités administratives, ainsi qu’entre les autorités administratives.

⇛Recueil de règles et de bonnes pratiques en matière de sécurité des systèmes d’information


A qui s’adresse le RGS ?

• Autorités administratives – ministères, établissements publics, organismes de

sécurité sociale, collectivités locales, etc…• Professionnels qui les assistent dans la sécurisation

de leurs systèmes – éditeurs de produits de sécurité, autorités de

certification, etc…


Le texte fondateur• Ordonnance 2005-1516 du 8 décembre 2005

– Chapitre IV : Dispositions relatives à la sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives et entre les autorités administratives.

• Article 9– Règles des fonctions d'identification, de signature électronique, de

confidentialité et d'horodatage– Niveaux de sécurité (protection)– Qualification de produits et de prestataires

• Article 10– Validation de certificats électroniques pour l’identification

– Chapitre V : Dispositions relatives à l'interopérabilité des services offerts par voie électronique.

• Article 12– Référencement de produits et de prestataires pour les niveaux de sécurité


Le décret d’application• Décret 2010-112 du 2 février 2010

– Application des articles 9, 10 et 12– Pour un service donné, l’autorité administrative :

• Identifie les risques• Fixe les objectifs de sécurité :

– Disponibilité– Intégrité– Confidentialité– Identification

• Déduit les fonctions de sécurité et leur niveau– Conformément au Référentiel Général de Sécurité


Les arrêtés• Arrêté du 6 mai 2010

– Approbation de la version 1.0 du référentiel général de sécurité• Arrêté du 18 janvier 2012

– Approbation de la version 1.0 du cahier des charges de référencement– Conditions du référencement

⇛ Prestataires référencés– Plusieurs en cours – Un référencé : Dhimyotis

Nom du produit ou de l'offre

Emetteur OID de la PC FonctionNiveau de sécurité

Date de référencement

Certigna Authentification PRIS ***

Dhimyotis 1.2.250.1.177.1.12.1.3 Authentification * * * Juillet 2012

Certigna ID PRIS *** Dhimyotis 1.2.250.1.177.1.8.1.4 Signature * * * Juillet 2012

http://www.dhimyotis.com/


Principes de la sécurité d’un SI (SSI)• 6 grands principes :

– Adopter une démarche globale de sécurisation des systèmes d’information

• Matériels, logiciels, organisation– Gérer les risques SSI

• Méthode EBIOS de la norme ISO 27005– Adapter la SSI selon les enjeux et les besoins de sécurité des autorités

administratives• Guide relatif à la maturité du SI

– Élaborer une politique de sécurité• Guide d’élaboration de politiques de sécurité des systèmes d’information

– Utiliser des produits et prestataires labellisés SSI• Catalogue des produits qualifiés

– http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/

– Viser une amélioration continue• Démarche ISO 27001 adaptation continue aux menaces

http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/


Recommandations supplémentaires

• Intégrer la SSI dans le cycle de vie des systèmes d’information– GISSIP (Guide d’Intégration de la Sécurité des

Systèmes d’Information dans les Projets)• Procéder systématiquement à l’homologation de

sécurité– Homologation de sécurité par une autorité

d’homologation désignée par l’autorité administrative


Fonctions et niveaux de sécurité


Structure du RGS

RGS 1.0


Qualification et référencement


Calendrier

RGS 1.0


Organismes habilités au référencement

Statut

Organisme évaluateur

Identité Point de contact Portée

Habilité depuis le 2 mai 2012

LSTI http://www.lsti-certification.fr PSCO *

* PSCO : prestataires de services de certification électronique (PSCE) délivrant des certificats électroniques, destinés aux particuliers et aux agents de l’administration, conformes aux exigences des niveaux ** et *** pour les fonctions de sécurité « Authentification » et « Signature » tels que définis dans le RGS

http://www.lsti-certification.fr/

http://www.lsti-certification.fr/


Prestataires qualifiés

RGS 1.0

Agence de Services et de PaiementAgence Nationale de Traitement Automatisé des Infractions

Agence Nationale des Titres SécurisésAssemblée Permanente des Chambres de Métiers

ATOS WorldlineCaisse des Dépôts et Consignations

CERTEUROPECERTINOMIS

Chambersign FranceClick & Trust

Conseil Supérieur de l'Ordre des Experts ComptablesConseil Supérieur du Notariat

Crédit Agricole Cards & PaymentsCRYPTOLOG International

DHIMYOTISKEYNECTIS

Le Groupe La PosteMinistère de la Justice et des Libertés

NATIXISSGTrust


Réglementation (rappel)• Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d'offres de

prestataires de services de confiance• Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant

les modalités de mise en œuvre de la procédure de validation des certificats électroniques (dit "arrêté RGS")

• Décret n°2010-112 du 2 février 2010 (dit "décret RGS")• Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques

entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives

• Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation

• Décret n°2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique

• Loi n°2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000025388642&fastPos=1&fastReqId=1937257962&categorieLien=cid&oldAction=rechTexte

http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000025388642&fastPos=1&fastReqId=1937257962&categorieLien=cid&oldAction=rechTexte


Evolutions• RGS 2.0

– adapter le Référentiel aux usages des autorités administratives, au contexte et aux nouvelles missions de l’ANSSI ;

– permettre la qualification de nouveaux types de prestataires, dont les auditeurs;

– harmoniser les annexes avec les nouvelles versions des normes ETSI correspondantes ;

– corriger ou préciser certaines inexactitudes ;– rendre plus lisible les différentes annexes ;– référencer les nouveaux textes de l’ANSSI.

Le coffre-fort électronique :positionnement de l’offre

par rapport au marché

Laurent PREVELAPROGED

Preuve & Sécurité

22 mars 2013 - Forum AAF - Preuve et SécuritéLaurent PREVEL

Angers, le 22 mars 2013


Système d’archivage à valeur probatoire

• Garantir la fiabilité de la capture, y compris lorsqu’il s’agit de papier

• Identifier les documents

• Contrôler les droits des utilisateurs

• Garantir la conservation des documents : pérennité, intégrité, sécurité, traçabilité


Système d’archivage électronique (SAE)

Politique et pratiques d’archivage

Procédures métiers Procédures d’archivage

CaptureCapture GestionGestion ConservationConservation StockageStockage ExploitationExploitation


SAE spécifié par la NF Z42-013 (2009)

Angers, le 22 mars 2013

TechnologiesMatérielsLogiciels

Procédures

ContrôlesAx

es P

.I.S.

T.


Coffre-fort électronique ?

a) Coffre-fort électronique ?

b) Coffre-fort numérique (composant) ?

c) Service d’archivage via coffre-fort électronique ?


« Coffre-fort électronique »

• Composant technique destiné à conserver des objets numériques, quelle que soit leur nature, en garantissant leur intégrité à court ou long terme

• Fonctions de base (logicielles) : Déposer, Lire, Contrôler, Détruire, Lister, Compter

• Doit être intégré dans un système capable de gérer les documents déposés, par exemple un SAE

• Norme NF Z42-020 (2012) : CCFN, pour un Composant Coffre-fort Numérique


SAE Z 42-013 CCFN Z 42-020

Contenus gérés Documents avec métadonnées (MD)

Objets numériques avec MD techniques

Niveaux d’exigence Oui Non

Journalisation Cycle de vie des archives et événements du système

Cycle de vie des archives

Flux d’entrée Documents nativement numériques ou sur supports physiques

Objets numériques quelconques

Gestion de l’environnement d’exploitation et sauvegarde

Oui Non

Supports de stockage WORM physique, WORM Logique, Réinscriptibles

Réinscriptibles

Application à des tiers Oui Non significatif

Certification Oui Non


Des cas concrets vs. usages (risques)

• La dématérialisation de la facture pour le particulier

• La dématérialisation du bulletin de salaire pour le salarié

• La dématérialisation des notifications pour le copropriétaire


Certification des SAE

• Marque NF 461 Archivage électronique• Délivré par AFNOR Certification (Cofrac)• Audit basé sur des règles élaborées à la demande du SIAF

en partenariat avec APROGED et FNTC• En référence aux normes NF Z 42013 et ISO 14641• Bénéficiaires

– Entités utilisant une solution d’archivage interne– Entités agissant pour le compte de tiers dans une

position de prestataire de services


Mercide votre attention

Questions ?

Forum aaf preuve sécurité 22 mars 2013 (2)

Documents

Transcript of Forum aaf preuve sécurité 22 mars 2013 (2)