Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Ziad Wakim, Vice Président Solutions d’EVER TEAM : SAE et systèmes de stockage

avril 2011 par Ziad Wakim, Vice Président Solutions d’EVER TEAM

Avec l’arrivée des documents électroniques à valeur légale, les nouveaux enjeux pour les entreprises et les tiers archiveurs consistent à assurer la valeur probatoire dans le « temps probant » pour ces nouveaux types de documents. La difficulté liée à la volatilité des documents électroniques est réelle et nécessite de mettre en place un système performant apportant de véritables solutions liées aux contraintes imposés par un SAE :

 La prise en charge et la maitrise des versements des documents électroniques dans le SAE.

 L’intégrité des documents versés dans le SAE.

 La traçabilité des actions réalisées sur les documents électroniques et aux opérations réalisées au sein du SAE.

 La pérennité des documents électroniques et des traces associées au regard du temps pour permettre la lisibilité et l’audit des contenus.

 La réversibilité des contenus archivés dans le SAE

 La sécurité des documents électroniques et du SAE.

Le SAE gère les documents électroniques qui lui sont confiés par des applications externes. Pour le stockage des fichiers, il peut s’appuyer sur un « coffre-fort numérique » ou gérer directement le stockage sur des ressources disques qu’il pilotera. Les outils et mécanismes de stockage, qu’il soit mis en œuvre par le SAE ou par le « coffre-fort numérique » piloté par le SAE, doivent respecter les standards et ne pas utiliser des principes de chiffrement ou tout autre mécanisme propriétaire de gestion des fichiers. Les documents électroniques qui doivent être conservés pendant plusieurs dizaines d’années doivent être stockés de manière à ce qu’il soit facilement possible de les déplacer sur de nouveaux supports de stockage au bout de quelques années du fait de l’obsolescence rapide (moins de 10 ans) des technologies de stockage. Le SAE doit donc être le plus indépendant que possible du matériel utilisé pour le stockage afin de pouvoir facilement en changer lorsque ce matériel devient obsolète. Pour ce faire, le SAE doit être régulièrement contrôlés afin de vérifier que les technologies qu’il utilise restent pertinentes au regard des évolutions technologiques. Il doit permettre d’anticiper l’obsolescence afin de gérer le changement dans des conditions organisationnelles et financières optimales. Dans tous les cas, le SAE a la responsabilité des documents électroniques qui lui sont confiés et doit mettre en œuvre l’ensemble des moyens techniques et technologiques nécessaires pour répondre aux contraintes exposées ci –dessus

Le SAE dans le SI

Les applications métiers qui génèrent des documents papiers pour des tiers (rentrant dans le cadre des catégories de documents qu’il faut conserver) sont amenées à évoluer. Actuellement, ces applications utilisent en majorité des services d’impression et de mise sous pli des documents pour imprimer puis envoyer par courrier les documents aux tiers. Une copie est alors conservée dans le service d’archive ou directement aspirée par un outil de GED (Gestion Electronique de Documents) de type COLD. Les nouvelles générations d’application métiers permettent déjà pour certaines et vont permettre pour les autres, de générer des documents électroniques, de les signer pour en assurer l’authentification, et de les déposer sur des serveurs sécurisés pour que les destinataires puissent les récupérer. Certaines applications vont jusqu’à gérer l’envoi des données électroniques (EDI) vers les systèmes tiers. Cependant, ces applications métiers n’offrent pas la possibilité de gérer la valeur probatoire des documents électroniques car cette préoccupation est éloignée du cœur de l’application. De plus, les échanges multi latérales s’intensifient, et les entreprises reçoivent de plus en plus de documents électroniques par des canaux aussi difficiles à maitriser que la messagerie d’entreprise.

Afin de gérer les documents électroniques entrants et sortants qu’il convient de conserver au regard de la politique d’archivage de chaque entreprise, il devient nécessaire de mettre en place au service du système d’information de chaque entreprise, un SAE capable de gérer les documents électroniques en provenance des différents canaux et progiciels qui peuvent fournir ce type de document. Pour permettre aux applications du SI de déposer des documents électroniques dans le SAE d’entreprise, il est nécessaire de mettre en place des mécanismes de versements universels que toutes les applications existantes ou à venir dans le SI pourront utiliser afin de confier leurs documents.

ECM - GED – SAE

Le système d’archivage électronique (SAE) est un sous ensemble des technologies de la gestion de contenu (ECM). La gestion électronique des documents (GED) est également un sous ensemble de la gestion de contenu (ECM). Les deux types d’application (GED et SAE) gèrent des documents électroniques. Il semble donc à priori étonnant de devoir mettre en œuvre un SAE lorsqu’une GED est en place ou de mettre une GED en place lorsqu’un SAE est en place. Pourtant le périmètre d’un SAE est totalement différent de celui d’une GED.

Un document électronique possède une durée de vie globale souvent qualifié dans les normes de durée administrative (DUA). Cette durée de vie est elle-même constituée de deux périodes différentes. La durée d’utilité courante et la durée d’utilité intermédiaire. La durée d’utilité courante est la durée durant laquelle l’accès au document est souvent fréquent du fait des actions à réaliser liées au document et au contenu qu’il porte. Les systèmes de GED sont souvent mis en œuvre pour gérer les documents pendant cette période du cycle de vie du document. Le temps moyen de cette durée est très variable selon le type de document. Il peut s’agir de quelques jours jusqu’à quelques années. Une fois la durée d’utilité courante passée, le document entre dans sa période appelée durée d’utilité intermédiaire. Il s’agit alors de préserver le document tant qu’il est nécessaire de le conserver par rapport aux obligations légales. Bien souvent, cette durée est importante, et il devient inutile de saturer les systèmes de GED avec ces documents puisqu’ils n’ont plus aucune utilité.

Le SAE doit être utilisé dès le début du cycle de vie du document électronique et donc le plus tôt possible après sa création. Plus le SAE prend en charge le document rapidement, meilleur est sa valeur probatoire. Il ne faut pas attendre la fin de la durée utile du document pour le verser dans le SAE mais il faut le verser dès sa création. Bien entendu, une copie électronique peut vivre en même temps dans un système de GED. Mais le document original doit être déposé au plutôt dans le SAE qui reste le garant de son intégrité. Dans le cas de la mise en œuvre d’une GED qui produit des documents à valeur probatoire comme un courrier électronique signé, il est alors important que la GED puisse verser le document dans le SAE après signature du document par son auteur. Une copie du document peut néanmoins rester dans la GED pendant sa durée de vie utile

Conformité aux spécifications normatives et aux exigences

Toute solution technologique complète pour mettre en place un SAE doit être conforme aux spécifications techniques de la norme NF Z42-013:2009 en appliquant toutes les exigences techniques minimales de la norme conformément aux principes exposés dans le paragraphe 8.2 de ce document. Du fait de sa capacité à gérer des documents électroniques mais également des « records », la solution ES-Compliance, lorsqu’elle est couplée avec un système informatique de gestion des transactions financières est parfaitement conforme à l’article 313-50 de l’AMF puisqu’elle permet facilement de reconstituer chaque étape clé du traitement de toutes les transactions dont la trace est versée dans le SAE qui en assure alors l’intégrité, la sécurité et la pérennité en dehors de l’application métier.

Un SAE s’intégrant au SI

Quelque soit le Système d’information et le schéma d’architecture en place ou souhaité,
La solution d’Archivage Electronique doit s’intégrer au SI comme un simple service complémentaire à la disposition des applications de l’entreprise. Les documents électroniques à valeur probatoire de l’entreprise peuvent être envoyés dans un coffre-fort électronique externe (tiers-archiveur) ou dans le coffre-fort électronique de l’entreprise (système de stockage propre à l’entreprise piloté par le SAE).

LA solution d’Archivage Electronique doit être positionnée au sein du SI comme une solution transverse du système d’information qui permet à toutes les applications de l’entreprise de déposer des documents électroniques. Mais il est également possible de positionner ES-Compliance comme une solution dédiée à l’archivage des documents électroniques d’une application particulière du SI. Dans tous les cas, le SAE est le garant de la sécurité, de l’intégrité et de la pérennité des documents archivés. Il est également le responsable de la constitution des journaux liés au cycle de vie des documents et aux évènements d’exploitation du système.

Capture des documents et flux électroniques

La solution doit permettre d’assurer la capture des documents papiers (fichiers numérisés) ou électroniques (fichiers électroniques ou messages électroniques avec ou sans fichiers attachés). Pour la capture des documents électroniques, La solution doit permettre de déclarer des flux d’archivage. Il s’agit pour chaque type de flux candidat de paramétrer ses caractéristiques et de définir les règles d’import qui lui seront associées. D’une manière standard, le SAE est en mesure de capturer des flux déposés par des applications tiers dans des répertoires disques dédiés mais également de capturer des flux arrivant sur des serveurs de messagerie électronique. Son interface de capture extrêmement paramétrable permet lorsque c’est nécessaire de développer spécifiquement des mécanismes de capture différents.

 Capture des métadonnées associées aux documents électronique : Pour pouvoir intégrer un document électronique dans le SAE, il est obligatoire de le décrire préalablement avec des métas-données associées conformément aux exigences des normes en vigueur. Selon le cas, les métadonnées peuvent se trouver directement intégrées dans le document électronique ou se trouver dans une structure XML accompagnant le document électronique à archiver. Lorsqu’un fichier porte ses métadonnées en son seing, la fonction de capture du SAE peut extraire ces données s’il s’agit d’informations structurées au format XMP (eXtensible Metadata Platform). Cette technologie permet d’ajouter des données relatives à un fichier directement dans le fichier lui-même, et ce sous forme de balise XML. L’avantage de cette technologie spécifiée par Adobe est de rendre indissociable le fichier et ses métadonnées. De nombreux formats de fichiers supportent les balises XMP (PDF, TIFF, JPEG, GIG, PNG, HTML, AI, SVG, PSD, EPS, AVI, MOV, MP4, WMA, …).

 Vérification du format de fichier : Conformément à la norme NF Z42-013, le SAE doit posséder une table des formats de fichiers électroniques qu’il accepte de prendre en charge. Cette table évolutive permet de limiter volontairement l’import de documents électroniques ayant des formats standards et de refuser les fichiers dont le format ne serait pas accepté par le SAE.

 Conversion de format en entrée : Bien que pas toujours souhaitable, Le SAE peut être en mesure de convertir des documents électroniques lors de leur import. Cependant, la norme NFZ 42-013 préconise dans ses exigences minimales liées à la pérennité d’utiliser des « formats normalisés ou standardisés et utilisable librement ». Si à l’origine, les documents électroniques versés n’utilisent pas ce type de format, la norme permet au travers des exigences complémentaires liée à la pérennité, de réaliser des « conversions des formats à l’entrée ». Le choix du nouveau format de conservation et les modalités de conversion doivent en tout état de cause éviter la perte involontaire d’informations significatives. La réalisation et les caractéristiques de la conversion sont contrôlées et enregistrées par le SAE dans son journal des évènements.

 Contrôle d’unicité des métadonnées dans le SAE : Afin d’éviter les doublons involontaires, le SAE doit mettre à disposition un mécanisme de contrôle de doublons basé sur les métadonnées associées aux documents versés.

 Numériser les documents papiers : Très souvent, l’image numérique imprimée des documents papiers associée aux informations de traçabilité démontrant l’intégrité de ces documents sera suffisante en cas de besoin de fourniture de justificatif. En effet, pour plus de 80% des cas, la fourniture d’une copie d’un document papier est suffisante en cas de litige. Il n’est que très rarement nécessaire de devoir produire un document original. De ce fait, la numérisation des documents papiers pour en réaliser une archive électronique tout en conservant l’original papier est une solution très économique et profitable. Le classement à moindre frais chez un tiers ou dans des emplacements peu couteux remplaceront avantageusement un classement interne et méticuleux des documents papiers à conserver sur des périodes plus ou moins longues. La conservation numérique assurera également une préservation de la qualité du document. Même si l’image numérique d’un document papier à valeur légale ne peut donner qu’une valeur de preuve limitée, la mise en place d’un SAE apporte un véritable gain organisationnel suffisant à économiser les coûts associés à la préservation des documents papiers dans des conditions suffisantes à leur exploitation.

Profils d’archivage

Conformément à la norme NF Z42-013, il est nécessaire de définir, au moment de chaque dépôt, l’ensemble des règles applicables à celui-ci. Pour ce faire, le SAE permet de définir des profils d’archivage. Comme le mentionne le paragraphe 5.1 de la norme, « Un profil d’archivage est un ensemble de règles applicables à des documents partageant les mêmes critères de confidentialité, de durée de conservation, de destruction et de droits d’accès pour déposer, consulter ou détruire. »

Profils Utilisateurs

Des droits d’accès doivent permettre de définir les fonctionnalités accessibles dans le SAE pour chaque catégorie d’utilisateur. A minima, un « auditeur » doit avoir la possibilité de rechercher et consulter les archives ainsi que d’accéder à l’ensemble des journaux associés aux documents et à l’ensemble des traces soigneusement conservées par le SAE. Le « record manager » doit avoir les mêmes possibilités que l’auditeur mais doit pouvoir également paramétrer et gérer les profils de documents. L’administrateur technique doit pouvoir se charger du suivi des jobs de capture et du suivi du système.

Stockage des documents électroniques et des données associées

Le SAE dépose les informations et les fichiers qu’il prend en charge dans son système de stockage. L’évolution des solutions d’archivage électronique, à l’instar des modifications apportées à la norme française sur l’archivage électronique, permet de substituer aux traditionnels supports physiques non réinscriptibles, des supports logiques non réinscriptibles (Worm logique) voire des supports réinscriptibles. L’emploi de supports Worm logique, dont le caractère non réinscriptible est assuré par des dispositifs matériel et/ou logiciel intrinsèques a pour avantage de répondre aux besoins fonctionnels d’un système d’archivage électronique tout en interdisant la destruction, l’altération ou la modification de l’information.

Ces supports réinscriptibles non amovibles, compte tenu des dispositifs de protection embarqués, y compris contre la suppression, paraissent donc admissibles au même titre que le Worm physique, d’autant que, à la différence de ces derniers, le Worm logique permet de gérer l’exigence du droit à l’oubli, imposée par la loi Informatique et libertés, passée la durée de conservation initialement assignée. Le recours aux supports dits réinscriptibles non Worm, au regard de la norme précitée, permet d’établir, sous réserve de se conformer à un ensemble d’exigences supplémentaires, la traçabilité de toute modification, c’est à dire l’intégrité des enregistrements, dès lors que la notion d’intégrité se limite à l’altération ou la modification mais non la suppression, intentionnelle ou non, d’une information. Le choix du support de stockage peut être également guidé par d’autres considérations, comme les temps d’accès ou le coût total de possession (« Total cost of ownership » ou « TCO », en anglais). L’exigence d’intégrité pourrait être appréciée par l’Autorité au cas par cas dans le cadre des enquêtes et ce, par application du principe de proportionnalité excipé du Règlement général de l’Autorité. Dès lors, il pourrait être envisagé le recours à des supports de stockage réinscriptibles non Worm, sous réserve de répondre aux exigences de la norme NF Z 42-013 :2009, c’est à dire de mettre en œuvre les moyens cryptographiques, qui y sont exigés, tout en précisant le niveau de sécurité acceptable au regard des exigences du Règlement général de l’Autorité. Relevons néanmoins que la SEC a, dès 2003, explicitement exclut le recours aux supports réinscriptibles. Quoiqu’il en soit, il serait erroné de penser que la conformité d’un système d’archivage électronique dépend uniquement des supports de stockage.

Dans tous les cas, le SAE doit assurer le pilotage et l’intégration des événements d’exploitation des systèmes de stockage. L’ensemble des opérations qui sont réalisées au sein des systèmes de stockage sont capturées par le SAE afin d’assurer une parfaite traçabilité de toutes les opérations critiques. Afin d’être conforme à la norme et pour sécuriser le stockage, le SAE doit utiliser un mécanisme d’archivage en Y (archivage en miroir). Chaque document électronique doit être stocké dans deux espaces situés dans deux lieus géographiquement différents. Ainsi, à tout moment, il doit toujours exister au moins deux copies de chaque fichier. Le SAE doit vérifier régulièrement l’intégrité des deux copies en comparant les empreintes des copies. Au moment de la prise en charge des documents électroniques par le SAE, chaque fichier fait l’objet d’une prise d’empreinte et d’une signature par le SAE. Cette empreinte qui est unique pour chaque fichier peut permettre également le dé-doublonnage des fichiers lors de la capture des documents. Lors de l’enregistrement des métadonnées de description d’un document dans la base de données du SAE (création d’un record), une signature est également générée sur les données qui constituent le record, soit sur l’ensemble des métadonnées associées. Enfin, pour permettre de conserver l’association « document – métadonnées », le couple « signature du document - signature de l’enregistrement » est pris en compte afin de générer une troisième signature (signature globale). La vérification des signatures porte sur la signature de chaque élément, documents attachés et métadonnées, et sur la signature globale. Ces signatures permettent d’assurer l’intégrité des données lors de toute demande d’affichage des documents. Chaque fichier stocké dans le SAE est accompagné d’un fichier XML comportant l’ensemble des métadonnées associé au document ainsi que les trois signatures associé à chaque document.

Traçabilité et journaux quotidiens

Toutes les actions faites sur les archives et tous les évènements d’exploitation du SAE doivent être enregistrés. Il faut donc être en mesure de produire les types de journaux suivants :

 un journal quotidien des évènements du SAE, qui est archivé,

 un journal quotidien du cycle de vie des archives, qui est archivé,

 un journal d’archive par document archivé, qui est généré ponctuellement par l’utilisateur et n’est pas archivé en tant que tel,

 un journal des logs des systèmes de stockage.

Le processus de journalisation peut reposer sur l’enregistrement en base de données de certains évènements et la génération de listing de ces évènements selon un critère de date (quotidien) ou sur un objet précis (document ou type d’évènement). Le SAE doit générer automatiquement et quotidiennement un journal des évènements qui peut être au format PDF/A-1 et qui comporte une ligne chronologique et horodatée par évènement décrivant l’opération réalisée. Lorsqu’une ligne du journal concerne une archive, l’identifiant unique et chronologique de l’archive concernée par l’opération doit être mentionnée.

Le journal (fichier PDF/A-1) doit être lui-même archivé au sein du SAE accompagné de trois autres fichiers :

 Fichier des métadonnées techniques concernant l’archivage du journal,

 Fichier des métadonnées de description du journal, issues de l’enregistrement dans la table des journaux,

 Fichier des métadonnées techniques concernant l’archivage des métadonnées de description du journal.

Les mécanismes d’empreintes et de signature mis en œuvre pour assurer la vérification d’intégrité des fichiers stockés dans le SAE doivent également s’appliquer aux journaux archivés.

Le mécanisme d’horodatage utilisé par le SAE dans le cadre de l’enregistrement des événements se produisant dans le SAE, doit répondre aux exigences de la norme NF Z42-013:2009. La norme reprend les éléments de la norme ISO 8601:2004 concernant la représentation des dates et des heures. Cet horodatage est effectué sur la base du Temps Universel Coordonné. Les différentes horloges du réseau, et par conséquent les composants du système, doivent être synchronisés via un serveur de temps (NTP par exemple).

Audit et contrôle d’intégrité

A tout moment, il doit être possible de rechercher des documents dans le SAE et de vérifier leur intégrité ainsi que celle des métadonnées associées et des journaux.

Processus de destruction

Le SAE doit être livré avec une documentation du processus de destruction des archives qui doit décrire le mécanisme de destruction des documents du SAE.

La suppression des documents archivés dans le cadre de l’application résulte de plusieurs processus.

 Destruction des métadonnées dans la base de données du SAE

 Destruction des documents archivés au niveau des deux supports d’archivage (archivage en Y).

Conformément à la norme, la destruction ne doit pas être automatique et doit nécessiter une validation externe d’un utilisateur habilité. Le processus de destruction se déroule donc en deux étapes, la première automatique (transfert des documents à éliminer vers un profil adapté), la seconde manuelle ( validation externe après vérification de la liste des documents à éliminer). Chaque destruction entraine un ensemble de traces complémentaires dans les journaux quotidiens (attestation de destruction). Les journaux associés aux documents détruits ne doivent jamais être détruits.

Réversibilité des systèmes de stockage

Le SAE doit être livré avec une documentation de réversibilité afin de permettre d’extraire des systèmes de stockage du SAE tous les documents qui y sont archivés ainsi que toutes les métadonnées associées. La réversibilité permet d’éviter la dépendance du client par rapport à la solution d’archivage en lui permettant de migrer l’ensemble des archives d’une SAE vers un autre


Voir les articles précédents

    

Voir les articles suivants