L’archivage électronique : une opportunité... Qui génère des risques

L’essor de la dématérialisation et de l’archivage électronique contribue à développer et valoriser le patrimoine informationnel des entreprises. Désormais, grâce aux solutions de gestion et d’archivage électronique, les collaborateurs d’une entreprise peuvent plus facilement avoir accès à un important volume d’informations bien référencées.

Cette richesse informationnelle est une source d’efficacité et de créativité pour l’entreprise et ses collaborateurs, mais elle accroît également les risques de divulgation et de corruption des données.

Définissez vos besoins de disponibilité et confidentialité

Un audit préalable à la mise en place de la politique d’archivage électronique permet d’identifier ces risques et de mieux cerner les attentes des collaborateurs par rapport au système d’archivage.

Deux notions, issues de la norme 27 001, sont utiles pour définir ses besoins : la disponibilité et la confidentialité.

Critère n° 1 la disponibilité : sous quel délai a-t-on besoin d’accéder aux documents ?

La disponibilité est la capacité donnée aux utilisateurs d’accéder à une information dans les délais utiles. Question à se poser : selon son activité, dans quel délai l’entreprise a besoin d’accéder à ses archives électroniques ?
Il est évident que pour être exploitable par les collaborateurs un document électronique doit être accessible. Reste à savoir dans quel délai. Celui-ci est en fait fonction du métier exercé. Il importe donc de bien analyser les exigences opérationnelles du travail de ses collaborateurs.

– Bien évaluer les besoins

La généralisation de l’informatique dans l’entreprise a parfois faussé la perception des besoins réels : on ne comprend pas que "puisque c’est informatisé", on ne puisse pas accéder "tout de suite" à un document. Sans se poser la question de savoir si on a réellement besoin "tout de suite" de ce document ou si "cela peut attendre".

Par exemple, un service de ressources humaines peut avoir besoin d’accéder à des dossiers du personnel dans un délai d’un à deux jours ouvrables. Dans ce cas, le taux de disponibilité est faible. A la rigueur, le recours à un archivage numérique n’est pas nécessaire. Un archivage papier serait suffisant pour être en mesure de consulter les documents dans le délai prévu.

– Définir son besoin en fonction des risques

Le taux de disponibilité est à définir en fonction des risques que ferait courir à l’entreprise le fait de ne pas pouvoir disposer du document dans le délai fixé. Par exemple, un laboratoire pharmaceutique américain qui ne peut pas fournir instantanément ses dossiers de production à la Food and Drug Administration (FDA) risque de perdre son accréditation à distribuer ses produits. Avec un résultat très conséquent sur son chiffre d’affaires, voire son activité. Dans ce cas, le degré de disponibilité attendu est très élevé : les documents doivent être consultables en temps réel, 24 heures sur 24 et 7 jours sur 7.

Critère n° 2 - la confidentialité : qui a le droit d’accéder a mes documents ?

La confidentialité est la capacité à limiter l’accès d’un document aux seuls utilisateurs autorisés, à gérer leurs droits d’usage et à mémoriser l’utilisation qu’ils en ont faite. Question à se poser : quels collaborateurs peuvent accéder à quels documents et pour quoi faire ?

Il est évident que pour être exploitable par les collaborateurs un document électronique doit être accessible. Reste à savoir dans quel délai. Celui-ci est en fait fonction de votre métier. Il importe donc de bien analyser les exigences opérationnelles du travail des collaborateurs.

– Analyser le risque lié aux documents

La notion de confidentialité est étroitement liée à celle de disponibilité. Les entreprises évoluant dans un univers concurrentiel, leurs documents sont forcément, à des degrés plus ou moins élevés, confidentiels. Il est donc impossible de donner à des personnes la possibilité de consulter un document sans devoir établir en même temps un contrôle sur ce droit de consultation. D’un autre côté, le passage à l’électronique a accru, d’une façon parfois injustifiée, les attentes des entreprises en termes de confidentialité. L’électronique, souvent mal comprise, génère des craintes voire des fantasmes : "et si un hacker mal intentionné s’emparait de mes fiches de paie ? Catastrophe !". Relativisons : le risque et ses éventuelles conséquences doivent être évalués à leur juste mesure...

– Analyser son métier et la criticité des documents

Il faut donc repartir de l’analyse de son métier, du caractère critique ou non des informations contenues dans ses documents, ainsi que de la taille de l’entreprise et de son organisation.

Le périmètre d’accès aux informations peut être organisé par typologies de documents, en fonction des métiers. Par exemple, dans une petite entreprise ne travaillant pas dans un domaine stratégique, on peut très bien envisager une organisation simple de la confidentialité, par métier. Dans ce cas, tous les contrats commerciaux seront accessibles à l’ensemble de l’équipe commerciale, toutes les factures par la comptabilité, toutes les fiches de paye par le service ressources humaines...

Il est bien sûr possible d’établir des règles d’accès beaucoup plus complexes, en établissant pour chaque document sa propre règle de confidentialité, encapsulée dans une métadonnée. Par exemple, dans un laboratoire de recherche et développement, seule la personne qui a créé le document et son supérieur hiérarchique pourront y accéder.

Quelle solution technique garantit à la fois disponibilité et confidentialité ?

Si l’on passe en revue les options existantes sur le marché, on constatera que seule une solution d’archivage électronique permet de répondre aux attentes d’une entreprise souhaitant à la fois offrir une disponibilité instantanée de ses documents et une maîtrise totale de leur confidentialité.

On peut compléter l’analyse des besoins de l’entreprise en l’enrichissant de deux autres critères : la pérennité et l’intégrité.