Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

FedISA : La protection du patrimoine informationnel

janvier 2008 par Marc Jacob

FedISA a organisé une conférence sur le thème de « la protection du patrimoine informationnel », animé par Philippe Rosé, journaliste. Ce séminaire fut l’occasion de faire le point sur la dématérialisation, l’archivage et la sécurité. Les personnalités se sont succédées à la tribune alternant les discours techniques, juridiques et commerciaux. De Jean-Marc Riestch, Président de FedISA, Maître Eric Caprioli, Avocat, à Alain Juillet, Haut Responsable à l’Intelligence Economique, tous ont mis en avant l’importance de la protection du patrimoine informationnel.

Après les remerciements d’usage aux participants, aux sponsors et aux deux partenaires CIGREF et Reed Expo, Jean-Marc Rietsch, Président de FedISA, la Fédération Européenne de l’ILM, de Archivage et du Stockage, a tout d’abord défini les principaux concepts en matière d’archivage électronique. Il a rappelé que la dématérialisation n’est pas que la numérisation des documents. C’est en fait, la mise en œuvre d’un processus complet qui permet de supprimer le papier, comme par exemple la TéléTVA, la TéléIR, les factures... C’est donc une remise en cause de l’existence du papier. Cette dématérialisation ne doit pas être vue comme une contrainte mais plutôt comme une voie pour améliorer la productivité des entreprises. La dématérialisation entérine donc la rupture entre l’information et le support. Il faut rappelé qu’avec le temps toute information sera amenée à changer de support durant son cycle de vie.

Balayant les différentes statistiques sur le marché de l’archivage (IDC, Gartner...), Jean-Marc Rietsch a montré que la volumétrie du nombre de mails stockés devrait rapidement dépasser les 7 peta-octets. De plus, toutes les législations en vigueur nécessitent plus de traçabilité mais aussi un accroissement de la volumétrie des données à stocker.

En termes de sécurité, la dématérialisation entraîne un accroissement des menaces. En effet, on constate des risques d’usurpation d’identité, de pertes d’information, de falsification de documents… Bien sûr, des réponses techniques existent, comme la cryptologie, le contrôle d’intégrité… On parle aussi de l’e-discovery qui est un processus par lequel une donnée doit être potentiellement cherchée, identifiée, trouvée et sécurisée.

Il faut faire la différence entre une donnée figée et une donnée transactionnelle

Lors du cycle de création d’une donnée, il faut différencier celle qui est figée et celle qui est transactionnelle donc qui pourra être amené à être modifiée. L’important est de maintenir la chaîne de confiance durant toute la vie de l’information. Pour cela, des nouveaux supports existent et sont proposés par les industriels comme les WORM : « Write Once, Read Many ». Ces supports évoluent afin de répondre entre autres à l’évolution des législations. Au niveau des formats logiques, l’un des remèdes au problème d’intégrité est la signature électronique. Elle permet d’identifier le signataire, de garantir l’intégrité technique et de répondre aux contraintes légales.

L’information doit être réorganisée

Devant l’augmentation du nombre d’information à stocker, on utilise les méta-données qui vont suivre les données et les accompagner durant tout leur cycle de vie. On va parler d’objet/paquet qui va prendre en compte les méta données de l’information et les méta données de gestion (durée de conservation, migration et protection). Ainsi, la politique d’archivage doit être conforme à la législation et régulièrement auditée afin de vérifier que les objectifs initiaux sont bien respectés. Elle doit s’appuyer sur la politique de sécurité de l’entreprise.

Ainsi, l’XAM « Xtensible Access Method » est une solution technique qui permet de réaliser une interface standard entre les applications et les supports de stockage. Une autre se trouve dans l’appel au tiers de confiance qui peut être de plusieurs types : Certificateur, Horodateur, Archiveur et Autorité de Gestion de Preuve (AGP). Jean-Marc Rietsch a décrit l’initiative européenne eWitness qui est le résultat d’une collaboration entre notaires de différents pays européens dont la France.

Cyril Van Agt, Netapp, a présenté SnapLock, une réponse technique aux contraintes d’archivage légal. Il a rappelé qu’en matière d’archivage légal le problème principal est la durée de conservation des données. En effet, elle est variable en fonction du secteur d’activité concernée. Elle peut aller d’un mois à plusieurs dizaines d’années, voire même dans certains cas indéfinie.

Eric Caprioli, En matière de preuve, seul le juge peut recevoir un document

Eric Caprioli, Avocat à la cours de Paris et Expert aux Nations-Unis, a fait un panorama des législations en vigueur en matière d’archivage légal et de preuve. En préambule, il a énoncé qu’en matière de droit : « la preuve est la démonstration d’un fait ou d’un acte ». Il a rappelé que la valeur probante repose sur l’identification de la personne et la garantie de l’intégrité du document. Pour lui, en droit « tout est gris » rien n’est ni noir, ni blanc. En matière de signature électronique, il a affirmé qu’il n’y a pas de distinction de niveaux. Elle doit permettre l’identification de l’auteur, la manifestation du consentement de l’acte et elle confère l’authenticité de l’acte. Ainsi, le procédé fiable d’identification qui garantit le lien avec l’acte auquel il s’attache c’est un lien logique et non physique. « Pour la DCSSI, pour être certifié, un document doit être vérifié à l’aide de deux certifications électroniques qualifiées. En pratique, peu de documents répondent à cette obligation. Toutefois, la gestion de la preuve n’est pas une activité juridiquement définie, mais pourtant elle est essentielle car son objectif est de convaincre le juge. Ainsi, l’AGP (Autorité de Gestion de la Preuve) permet d’assurer la validité des données au moment de l’émission d’une attestation de la preuve. En effet, une AGP repose sur un service de veille technologique et juridique, un management juridique des risques, un organisme solide financièrement et le service LegalMix ». Mais, il ne faut pas oublier que dans tous les cas, seul le juge peut valider ou non une preuve. » A-t-il conclu son intervention.

Loïc de la Cochetière, président de l’Imprimerie Nationale, a dressé un bref historique de son entreprise et a présenté les nouveaux services qu’il a mis en œuvre : chronoservice et surtout son AGP, la plate-forme de confiance SAKARAH dont l’objectif à fin 2008 est de trouver 8 partenaires et d’ouvrir 300 000 comptes d’entreprises.

Puis Robert Mahl, Professeur à l’Ecole des Mines de Paris, a présenté un ouvrage réalisé en collaboration avec le Cigref : « Challenge pour les DSI » édité par Dunod. Paul de Kervasdoué a, lui, résumé son ouvrage « La pérennité du SI » paru également chez Dunod.

Didier Lambert, Président du Cigref et DSI d’Essilor, présentant son ouvrage « Dématérialisation et archivage électronique », a donné sa vision de l’évolution des SI, de la sécurité et des problèmes d’archivage. Pour lui, l’accroissement du nombre de données à conserver double chaque année. L’un des problèmes est non seulement la conservation mais aussi l’effacement des informations. En effet, comment peut-on effacer définitivement un mail alors qu’il peut se trouver selon la taille de l’entreprise dans plus de 50 boîtes aux lettres différentes ? De plus, le problème n’est pas seulement d’archiver, mais aussi de retrouver facilement des fichiers. Ainsi, des méthodes d’archivage doivent être mises en œuvre mais aussi il faut améliorer la formation des dirigeants. Il a conclu son intervention en estimant que pour éviter les piratages, il faut rendre les informaticiens heureux !

Jean-Marie Giraudon, vice-Président de Gemalto, a dressé un tableau de l’évolution des transactions électroniques qui vont de paires avec l’augmentation des menaces de pirates informatiques. Pour lui, pour retrouver la chaîne de confiance en l’économie numérique, il est nécessaire de fournir des systèmes simples à utiliser et efficaces comme la carte à puce.

Alain Juillet, Haut Responsable à l’Intelligence Economique, a conclu cette conférence en rappelant que nous sommes rentrés dans la guerre de la connaissance. Elle passe par la sécurisation et le contrôle des informations pour éviter tout vol ou corruption des données. Avant 10 ans, ils estiment que le nombre de pays capables de concurrencer les pays de l’OCDE sera au moins de 100 conduisant à une multiplication des situations concurrentielles sur tous les marchés. Un équilibre est donc à trouver entre ouverture des marchés et protection du patrimoine informationnel. Des réponses techniques existent déjà, comme par exemple les solutions de cryptage, mais il faut aussi sensibiliser tous les acteurs économiques en particulier dans les PME pour les amener à protéger leurs données stratégiques.




Voir les articles précédents

    

Voir les articles suivants