Jean-Marc Rietsch

En guise d’introduction, Jean-Marc Rietsch a dressé un rapide panorama des actions de FedISA. Il a annoncé pour la fin de l’année la création d’une certification pour les systèmes d’archivage électronique. « De plus, FedISA Luxembourg est en cours de création, ainsi qu’un FedISA à Monaco dans la mouvance de la mise en place de la carte d’identité électronique. Un livre blanc sur le thème de la preuve électronique et un second sur le thème Identification/authentification seront disponibles avant la fin de l’année 2009 » a-t-il conclu sa présentation de FedISA.

Puis, il a rappelé les définitions et concepts d’ILM. 

– Le I de ILM est l’Information et concerne donc l’ensemble des documents. Le cycle de vie de l’information commence par les données « actives » qui sont susceptibles d’être modifiées avant de passer à l’état « figé ». Dans cet état, les données deviennent statiques. Elles seront archivées pour des durées comprises entre un an et 100 ans suivant le type de données et les obligations légales liées.
– M comme Management permet d’avoir une vue d’ensemble de l’information produite et conservée. Elle permet aussi de pouvoir évaluer les risques, de sécuriser les données actives et figées et de maîtriser les coûts.

Jean-Laurent Santoni

Puis, il a cédé la parole à Jean-Laurent Santoni qui a expliqué la difficulté d’évaluer le prix des données et donc l’importance de mettre en œuvre une stratégie de conservation des données. Pour illustrer son propos, il a présenté l’e-discovery qui est une politique de conservation des données qui se développe aux Etats-Unis.

Pour lui, la problématique du risque est l’analyse de la valeur de la donnée plutôt que la cause du sinistre. Il est important pour les entreprises de se mettre en conformité de la législation en vigueur, mais aussi au diapason du marché et des nouvelles technologies. Il regrette le manque d’outils qui permettent de quantifier la valeur de la donnée. Il y a bien sûr quelques pistes, a-t-il rappelé : ce sont les sytèmes qui s’attachent à évaluer la criticité des données et des valeurs qui y sont attachées. Ainsi, ce sont les outils qui touchent aux problématiques de sauvegarde, de PRA et de récupération des données les plus critiques. « C’est sans doute pour cela que la gouvernance par le risque est en train d’émerger en rapport avec Sox, Bâle 2, la LSF… » explique t-il. Il a recensé les principaux niveaux clés de mesure des risques :
Le niveau de SLA
Le niveau de protection de l’information
Le niveau de rationalisation des capacités de stockage
Le niveau de diversification des supports de stockage et l’optimisation de leur utilisation
Le niveau de garantie et de disponibilité
Le niveau des outils de SRM pour faciliter les relations contractuelles
Le niveau de réutilisation des systèmes actuels.

Avec la dématérialisation des données, une nouvelle approche légale est en train de naître. Le problème pour le juge est de pouvoir évaluer l’intégrité des preuves produites. Pour les plaignants c’est de pouvoir produire leurs preuves dans les délais fixés. Il a ainsi recensé les principaux risques inhérents à l’e-discovery :

1) La volumétrie des données
– Le nombre de copies non conformes du fait du nombre de versions
– Les larges volumes en mémoire
– Le nombre d’emplacements possibles pour les documents (disque dur, disque externe, Smartphones, clé USB…)

2) Les risques liés à la volatilité des données
– les risques de falsification ou d’endommagement des données
– les systèmes informatiques qui recyclent et réutilisent automatiquement les espaces mémoires
– l’obsolescence rapide et récurrente des matériels et applications

3) Les risques liés à la nature des documents
– les métadonnées avec leurs informations sur l’horodatage de toutes modifications sur les données dès leur création
– les données systèmes : ce sont les données enregistrées concernant l’enregistrement des modifications sur les PC
– les données présumées effacées qui ne sont pratiquement jamais effacées définitivement. Ces traces permanentes peuvent être à l’avantage de l’un ou l’autre des plaignants.

4) Les coûts de récupération des données

Dans certains cas, ce coût peut-être très élevé comme ce cas aux Etats-Unis ou la récupération de 93 bandes avait couté 6,2 millions de $.

Il a conclu son intervention en insistant sur la nécessité de mettre en œuvre une véritable stratégie de conservation et de récupération des données avec, bien sûr, un système d’organisation de ces archives pour pouvoir les récupérer le plus facilement possible. Il est aussi important d’avoir un système de destruction automatique des données non sensibles et d’adjoindre un plan d’action « litigation hold » afin qu’en cas de requête judiciaire, ces processus puissent être stoppés. Selon lui, il faut prévoir deux systèmes, l’un qui pourra être gelé en cas de réquisition et un second pour pouvoir poursuivre l’activité de l’entreprise.

Jean-Noël Piedanna

Jean-Noël Piedanna, Principal Consultant Information Governance et Storage chez CA, a rebondi sur cette recommandation en présentant les outils de « fédération » de conservation des données. Ces solutions permettent de préparer des PRA/PCA jusqu’à l’archivage des données figées, voire leur suppression en fin de vie. Ces solutions permettent, en premier lieu, de classifier les données avec CA SRM. Les solutions Caxosoft, CA ARC Serve, CA Manager complètent le dispositif jusqu’à l’archivage. CA Manager est conçu sur la norme publique RFC822. Concernant l’e-discovery CA Record Manager et e-discovery permet de corréler les données sur tout le SI.

Chris Palmer

Chris Palmer, Principal Consultant Information Governance EMEA chez CA, a présenté quelques cas clients.