Arkhineo

Picto d’un document archivé dans un ordinateur et sécurisé avec un cadenas

L’archivage électronique au service de la protection de vos documents

L’archivage électronique à valeur probatoire est essentiel pour conserver sur le long terme des données et documents engageants des entreprises et Collectivités Publiques. Un SAE (système d’archivage électronique) offre un très haut niveau de sécurisation : la sécurité, la confidentialité et la préservation des documents conservés reposent en grande partie sur la qualité et la résilience des infrastructures et des équipements dans lesquels ceux-ci sont archivés.

Archivage électronique et SAE : optimiser sa gestion documentaire

L’accélération de la transformation digitale des entreprises a fait de l’utilisation de documents numériques une nécessité stratégique pour toutes les organisations. Un SAE (Système d’Archivage Electronique) vous permet d’archiver les documents sur le long terme en conservant leur valeur probante et d’y accéder (avec traçabilité des actions) à tout moment et en toute sécurité. Il garantit l’intégrité (fondamentale dans une logique de maintien de la recevabilité juridique), la pérennité, la confidentialité, la disponibilité et la réversibilité des documents archivés. Les prestataires d’archivage électronique (les « Tiers-archiveur ») réalisent, dans le cadre de ce « service de confiance » d’importants investissements et consacrent une grande partie de leurs moyens (effectifs, formation, équipements etc.) à la protection des documents confiés. Celle-ci est assurée à plusieurs niveaux.

Les documents clients

Le respect des normes métiers relatives à l’archivage électronique constitue une condition nécessaire. Il convient d’y adjoindre les normes de sécurité définies pour garantir la protection des documents archivés électroniquement. Dans le cadre des certifications, un organisme dûment qualifié contrôle la conformité du SAE. Il délivre une certification à l’issue d’un audit initial. Puis, des contrôles annuels sont réalisés sur la base d’un référentiel dont les exigences se renforcent au gré de l’évolution des risques. La sécurité des documents conservés passe, en premier lieu, par la sécurisation des communications (protocoles sécurisés), l’utilisation de moyens robustes d’authentification des utilisateurs (Firewall, Web Application Firewall WAF et Load Balancer Security, contrôle des adresses IP autorisées, échange de certificat X.509, challenges cryptographiques etc.).
Ensuite, au moment du versement d’un document, l’archive calcule et scelle une empreinte numérique. Cette dernière est contrôlée périodiquement pour s’assurer du maintien de sa non-alteration. Mais également à chaque consultation, garantissant ainsi que le document présenté à l’utilisateur lors d’une consultation ou de sa restitution est bien celui déposé initialement. A l’issue du process de versement, le document poursuit son parcours par une écriture en plusieurs exemplaires sur des serveurs situés au sein d’infrastructures redondées et elles-mêmes sécurisées dans les conditions décrites ci-dessous.

Les infrastructures utilisées

La protection des personnes et de l’environnement dépend de la législation en vigueur des data-centers. Cela est très important, bien sûr, mais insuffisant. Il est nécessaire de mettre en œuvre des moyens très importants sur les aspects insuffisamment traités dans ce cadre légal. Il convient tout d’abord de garantir la protection des biens confiés, la résilience et les capacités de lutte contre les sinistres. Le recours à des infrastructures 100% sécurisées, faisant l’objet de certifications et de tests réguliers, en est la clé. Distantes et surtout redondées, elles sont dotées d’équipements anti-intrusion. Ces infrastructures sécurisées sont également dotées d’équipements de détection et extinction d’incendie par désoxygénation, tel que le gaz Novec ; de climatisations et d’alimentations électriques redondées avec des groupes de secours eux-mêmes redondés et distants.
Des locaux sécurisés par des systèmes de contrôle d’accès, un poste de sécurité ouvert 7j/7 et 24h/24 ainsi que d’un système de vidéo-surveillance connecté à celui-ci et supervisé en permanence sont associés à ces mesures. Tout compromis sur ces moyens coûteux ne peut avoir que des conséquences dramatiques en cas de sinistre.
Les prestataires d’archivage électronique (« tiers-archiveurs ») doivent être certifiés NF 461 sur la partie « métier ». Ils doivent également être à « l’état de l’art » en matière de sécurité et d’infrasructures de haut niveau de résilience et de disponibilité. Cela signifie faire l’objet de contrôles et de tests réguliers dans le cadre des certifications et être en mesure d’en justifier la réalisation et les résultats.

Le rôle d’un SMSI

La mise en place d’un SMSI (Système de Management de la Sécurité de l’Information) est primordiale. Ce dernier regroupe les différents référentiels sécuritaires normés permettant en continu de :
• mesurer les risques des actifs cartographiés,
• contrôler en continu les procédures et processus réducteurs de risques (la « roue PDCA »).
Ce SMSI fera l’objet d’audits de certification et de surveillance annuels ISO-27001 mais aussi dans le cadre des autres certifications métiers ou réglementaires HDS, NF461, SOC2 type2, …

Tiers-archiveur : des garanties pour faire face aux incidents

Un tiers-archiveur en sa qualité de prestataire de services de confiance doit disposer d’infrastructures du type détaillé plus haut (plusieurs sites distincts, distants, idéalement de type « actif/actif », autonomes et équipés de générateurs de secours) afin d’être en mesure de pallier toute défaillance et de poursuivre son activité et le service rendu à sa clientèle y compris à l’occasion de la destruction d’un site suite à un sinistre. Et c’est précisement ce que permet la combinaison des 3 élements que sont : les certifications métiers, les certifications concernant le management de la sécurité et l’utilisation d’infrastructures redondées, distantes et à haute disponibilité.

Archivage électronique : des certifications exigeantes, gages de sécurité des données

Il est important de rappler ici, pour que le tour d’horizon soit complet, que de nombreux textes encadrent l’archivage électronique. Aussi, est-il important de connaître ce cadre complexe et évolutif pour bien choisir un prestataire en fonction de votre besoin mais aussi de votre secteur d’activité :

Certification NF 461

Elle intègre les principes de sécurité de la norme ISO 27001. Elle définit les cadres et les bonnes pratiques en matière de conservation numérique pour respecter les règlements en vigueur. Elle propose des solutions concrètes liées aux problématiques actuelles comme le chiffrement des données archivées ou l’authentification des utilisateurs au moyen de référentiels externes. Elle constitue, complétée par la norme ISO 27001, une réponse fiable en matière de protection de vos documents et de conformité au RGPD.

Certification HDS (hébergeur de données de santé)

Les données de santé à caractère personnel sont par définition extrêmement sensibles. Seuls les prestataires certifiés HDS sont autorisés à héberger ce type de données. La certification HDS est délivrée par le Ministère de la santé et des solidarités. Il est à noter que cette certification prévoit 2 types d’activités qui ne recouvrent pas les mêmes engagements ni responsabilités : d’une part, celle d’hébergeur d’infrastructures qui ne concerne que les sites physiques et le matériel, et, d’autre part, celle d’infogéreur qui est axée sur les logiciels utilisés, l’administration et l’exploitation du système d’information utilisé pour la gestion des données et traitements associés ainsi que la sauvegarde externalisée des données de santé, c’est-à-dire l’archivage). Il est donc essentiel pour une entreprise ou une Collectivité Publique, au delà de la seule présentation du « logo HDS » par un prestataire, de vérifier avant de s’engager, le périmètre de certification du prestataire afin de s’assurer que celui-ci corresponde bien au cas d’usage et éviter ainsi toute « surprise » ultérieure.

Agrément SIAF

Externaliser la gestion des archives publiques courantes et intermédiaires est possible depuis 2008. Cette procédure est encadrée par l’agrément du Service interministériel des Archives de France, lequel contrôle l’ensemble des garanties que doivent fournir les prestataires, notamment pour la conservation des archives électroniques. Il permet aux organisations publiques d’externaliser la gestion de leurs archives courantes et intermédiaires. Le prestataire choisi devra être agréé SIAF. Il sera responsable de l’intégrité, de l’authentification, de la pérennité et de la sécurité des documents.

Qualification eIDAS

Un prestataire qualifié eIDAS apporte le plus haut niveau de confiance et de pérennité disposant d’un effet juridique au niveau européen pour les documents signés électroniquement et archivés. Le règlement eIDAS (intégré dans la législation de tous les Etats membres depuis le 1er Juillet 2016) concerne principalement les prestataires de service de confiance établis sur le territoire de l’Union européenne. Il instaure un cadre européen en matière d’identification électronique et de services de confiance, afin de faciliter l’émergence du marché unique numérique. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) est l’un des organismes nationaux chargés de la mise en œuvre de ce règlement.

SOC2 Type2

Un rapport d’audit SOC 2 fournit des informations détaillées sur les contrôles de sécurité, de disponibilité, d’intégrité et de confidentialité d’une organisation. Elles sont définies selon leur conformité avec le TSC (Trust Services Criteria) de l’AICPA (American Institute of Certified Public Accountants). Les cinq Trust Services sont les suivants : sécurité (critères communs), disponibilité, intégrité du traitement, confidentialité, protection des données ou privacy. Des cabinets membres de l’AICPA s’occupent de la réalisation des audits SOC 2. Ils concernent toutes les entreprises cotées en Bourse aux Etats-Unis. Ces entreprises exercent principalement une activité « régulée » (finance, santé etc…) ainsi que leurs fournisseurs en matière de services de confiance. Ces audits constituent un élément important de la surveillance réglementaire, des programmes de gestion des fournisseurs et de la gouvernance interne.

Pour amorcer un projet d’archivage électronique, il est essentiel de faire appel à un prestataire certifié. Il garantira la conservation intègre et sécurisée de vos documents dans des conditions adaptées à leur criticité. Et ce, quel que soit l’événement auquel vous êtes confronté (cyberattaque, incendie…). L’objectif ? Sécuriser l’imprévisible.

#archivageelectronique #Arkhineo #SAE  #securitenumerique