Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hervé Lemai, Cimail, Lille : Archivage sécurisé des mails, un enjeu majeur pour les entreprises

juillet 2014 par Hervé Lemai, Directeur Produits, Cimail, Lille

La messagerie électronique s’est imposée en quelques années comme un outil indispensable pour les entreprises, qui l’utilisent désormais massivement, 99% dans le cadre de leur activité, 90% pour répondre à des demandes de clients, 70% pour négocier des contrats, 34% dans le cadre de litiges. Devenue le moyen de communication stratégique et usuel en inter comme en intra entreprise, la messagerie électronique est un outil nouveau, facile et convivial qui fait toutefois émerger un certain nombre de problématiques.

Sur le plan technique, le nombre de données et d’éléments à stocker accroit de manière exponentielle : une entreprise souhaitant converser tous ses e-mails verrait doubler ses besoins de capacités de stockage tous les 18 mois. Face à ces besoins qui croissent rapidement, la hausse des budgets se révèle moindre. La conservation des e-mails, pièces jointes et autres documents électroniques s’avère de plus en plus capitale à mesure que leur usage se banalise. Les mails engageants sont désormais légion, et peuvent se révéler déterminants dans l’issue d’un procès. Aussi les entreprises doivent-elles plus que jamais se poser les bonnes questions, et assurer la pérennité, l’intégrité, la traçabilité et la sécurité de leurs documents.

Conformité et bonnes pratiques

On observe, depuis 5 à 6 ans, une évolution des contraintes juridico-normatives. L’archivage électronique en France et en Europe est soumis aux normes NF Z42-013 et ISO 15489, qui s’attèlent à garantir que les documents électroniques engageants et leur contenu bénéficient du traitement qui leur est dû, indépendamment de leur support et de leur structure logique. La CNIL, également concernée, impose quant à elle, par exemple, le respect de la confidentialité de la correspondance personnelle : l’employeur n’a pas le droit de consulter ou d’archiver la correspondance privée, identifiée par la mention « personnel » en objet de l’e-mail, que fait un salarié via sa messagerie professionnelle. Il reste toutefois globalement nécessaire de pouvoir contrôler l’information, non matérialisée sur document, qui circule en interne et qui est émise par l’entreprise vers l’extérieur, et les mails non personnels doivent tout de même pouvoir être accessibles, en cas de conflit, par le service juridique par exemple. Cette particularité est à prendre en compte dans la politique d’archivage mise en place par les entreprises.

Validité et expertise juridique

La production de mails engageants est aujourd’hui quasi-quotidienne. Réception d’une commande, envoi d’un bon de commande, autorisation de diffusion, etc. Tous ces actes courants représentent un engagement de la part de la personne émettrice de ces e-mails. Par exemple, en cas d’accident de travail, le chef d’équipe devra justifier auprès des assurances qu’il a autorisé son salarié à effectuer le déplacement durant lequel il s’est blessé, ce qu’il pourra faire en fournissant son échange de mails avec son employé.

En cas de litige, un expert juridique peut être amené à effectuer un audit du système, pour vérifier qu’il a été fonctionnel, que tous les documents y ont été intégrés, etc., et fournir la preuve par l’électronique que le document n’a pas été modifié. Il pourra également en contester la validité.

Il est à noter que les procédures judiciaires en cas de litige en Europe et dans les pays anglo-saxons ne sont pas les mêmes. Aux Etats-Unis, l’entreprise a pour obligation d’ouvrir ses portes à un éditeur de la partie adverse pour qu’il puisse venir consulter les documents, les emails et les différents éléments, et constituer son dossier d’accusation : c’est le « e-Discovery ». En France et dans le reste de l’Europe, au contraire, chacun doit apporter lui-même ses preuves pour accuser ou pour se défendre.

Il est donc essentiel, dans un cas comme dans l’autre, de mettre en place en amont un mode de conservation à valeur probante, c’est-à-dire un processus certifiant la fiabilité des documents à chaque étape : production, dépôt, modification, consultation, etc.

Intuitivité et productivité

La richesse des connaissances, des informations, des savoir-faire d’une entreprise réside aujourd’hui en grande partie dans les échanges effectués entre employés ou avec l’extérieur via messagerie électronique. Les perdre pourrait s’avérer extrêmement dommageable, à bien des niveaux, pour l’entreprise. Les sauvegarder est essentiel pour l’ensemble de ses services : juridique, ressources humaines, commercial, services généraux, etc. Le premier palier pour conserver les e-mails est le stockage manuel par l’utilisateur lui-même. Avec Outlook par exemple, l’employé enregistre ses dossiers en fichier pst, qu’il place ensuite sur son poste de travail, éventuellement sur clé USB.

Outre des problèmes évidents de sécurité, comme la perte de la clé USB ou la suppression malencontreuse et irréversible du dossier de l’ordinateur, cette méthode freine grandement la productivité. En plus du temps passé à archiver, le salarié devra effectuer des recherches fastidieuses pour retrouver un élément particulier, reçu sous forme de pièce jointe, or un cadre passe déjà, en moyenne, 30% de son temps de travail à rechercher des documents. Ainsi, un système d’archivage doit offrir des fonctions de définition de la politique d’archivage des mails ; des fonctions aux utilisateurs d’archivage automatique et les informer que les mails sont bien archivés. Il doit également proposer des fonctions d’archivage manuel car l’automatisme a des limites : en plus des règles automatiques, les utilisateurs doivent avoir la possibilité de sélectionner ce qu’ils souhaitent archiver de leur côté. Enfin, il doit mettre à disposition des fonctions d’utilisation de ces mails pour les archiver, que ce soit des fonctions de recherche, d’export, de consultation, de partage, afin que la personne destinataire de l’email mais aussi, après son départ, le service juridique, les collègues reprenant le projet, puissent accéder aux mails les concernant.

Pérennité des e-mails et des documents

De nombreux documents nécessitent d’être conservés plusieurs années, plusieurs dizaines d’années, voire tout au long d’une vie. Toutes les fiches de paie doivent par exemple être conservées par un salarié tout au long de son parcours professionnel, dans leur intégralité, jusqu’à son départ en retraite. Face au volume du dossier ainsi constitué et aux aléas et imprévus, les conserver sous format électronique peut présenter de nombreux avantages. Il faut cependant appréhender cette conservation dans la durée : si une fiche de paie est envoyée aujourd’hui dans un format image propriétaire, rien ne garantit que dans dix ou vingt ans les logiciels permettant de lire ces formats seront encore accessibles. Il faut donc assurer la pérennité de ces documents électroniques.

Il en est de même pour les e-mails : il est nécessaire de les conserver dans un format que l’on est certain de pouvoir relire dans plusieurs dizaines d’années. Pour ce faire, il est essentiel d’éviter les formats propriétaires, de leur préférer des formats ouverts, documentés, et d’appliquer ce même principe aux pièces jointes qui accompagnent les e-mails souvent tout aussi importantes.

Intégrité des données & traçabilité des pièces

Une fois un document stocké, il faut mettre en œuvre un système attestant que le document, le mail, l’élément conservé n’a pas été modifié entre le moment où il a été reçu, déposé, et le moment où il est ressorti pour des raisons historiques, patrimoniales ou juridiques. Afin de répondre à cette problématiques, deux types de solutions existent : les disques worm, qui empêchent toute personne, y compris un administrateur système ayant accès au stockage, de modifier des éléments ; ou les coffres-forts électroniques, qui vont mettre en œuvre des mécanismes de segments permettant d’indiquer quand la pièce a été modifiée, ce qui a été modifié, et par qui, par le biais d’un système d’horodatage et de signatures électroniques.

Liée à l’intégrité des données, la traçabilité des documents permet d’effectuer des contrôles prouvant à leur tour que le document n’a pas été altéré en enregistrant un « journal des preuves », qui indique automatiquement à quel moment un élément a été déposé, enrichi, consulté, et par qui.

Sécurité informatique et physique

En plus de surveiller et de détailler les différentes étapes de dépôt, consultation, modification, extraction de pièces, le système doit effectuer des autocontrôles à intervalles réguliers pour assurer son bon fonctionnement et en renforcer la fiabilité.

Au-delà de la sécurité informatique et de droit d’accès, le système d’informations qui stocke les documents ne peut risquer une quelconque altération physique qui l’empêcherait de mener à bien sa mission. Il s’agit donc de mettre en œuvre toutes les procédures de sécurité et d’exploitation pour lui éviter d’être touché par une inondation, par exemple.

Conclusion

Pérennité, intégrité, traçabilité et sécurité, autant de nécessités faites obligations dès lors qu’elles contribuent à résoudre plusieurs enjeux de taille dont peut dépendre la bonne santé d’une entreprise. Si l’envoi d’e-mails est désormais banalisé, il faut malgré tout se méfier de son pouvoir et le maîtriser, car il peut très vite constituer une arme contre laquelle la seule réponse possible est l’irréprochabilité, qui doit elle aussi être prouvée. Heureusement un cadre législatif et normatif s’établit un peu plus chaque jour autour de la gestion de la messagerie électronique et des solutions existent pour en faire un outil fiable et sécurisé au quotidien et un moyen de défense sérieux et avéré si des e-mails devaient contribuer à un dossier.




Voir les articles précédents

    

Voir les articles suivants