La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

PCI DSS Roadshow Paris juillet 2013 1 Dématique*, stockage, archivage … gouvernance ! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique.

Présentations similaires


Présentation au sujet: "PCI DSS Roadshow Paris juillet 2013 1 Dématique*, stockage, archivage … gouvernance ! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique."— Transcription de la présentation:

1 PCI DSS Roadshow Paris juillet Dématique*, stockage, archivage … gouvernance ! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de lILM du Stockage et de lArchivage) Analyste au BIT Group * Dématique : Contraction de dématérialisation et dinformatique, la dématique correspond à laction de dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la dématérialisation des échanges et des processus métier en y incluant la composante légale.

2 PCI DSS Roadshow Paris juillet Actualité FedISA

3 PCI DSS Roadshow Paris juillet Mission / Objectifs / Actions Mission: garant de létat de lart dans le domaine du management des données numériques Objectifs: Développer le marché Assurer une veille juridique et technique Actions: (informer et assister les utilisateurs) Commissions Evènements (+province) : congrès, petits déjeuners ou soirées, conférences, … Ouvrages: livres blancs, guides pratiques, dossiers Formations avec DEMATEUS La lettre mensuelle de la dématique (n°14) Un nouveau journal « Eco réseau »

4 PCI DSS Roadshow Paris juillet E-learning Sensibilisation à la démat

5 PCI DSS Roadshow Paris juillet Une association représentative Une véritable reconnaissance avec : Des adhérents de renom publics et privés (IN, CNP, Orange, EMC, IBM, Symantec, Atos, RSD, Cryptolog, …) Une participation très importante La production de travaux de qualité Pr é sence internationale qui s intensifie : France Luxembourg Monaco Belgique Canada Irlande UK Suisse

6 PCI DSS Roadshow Paris juillet Dématique, stockage, archivage … gouvernance ! 1.Introduction 2.Pourquoi ? 3.Contraintes 4.Méthodologie 5.Application à PCI DSS

7 PCI DSS Roadshow Paris juillet Les 3 niveaux de la dématique DEMATERIALISATION des supports : numérisation de documents existants des échanges : développement des s, recommandés électronique, télé travail, … des processus métier : (évolution de linformatisation) E-administration : téléTVA, téléIR, téléActe, appels doffres, monservice-public.fr, … Entreprises : factures, contrats, … Europe : chronotachygraphe, …

8 PCI DSS Roadshow Paris juillet mémoire historique (1-5%) V1 discutée V2 diffusée V3 annule et remplace V2 court termede 1 an à 100 ans… figé chaîne de confiance Document management Records management Patrimoine Le L de ILM: Life Cycle (Cycle de vie) Enterprise content management

9 PCI DSS Roadshow Paris juillet Une évolution naturelle ILM Stockage Archivage Dématique Conservation de données numériques Gouvernance

10 PCI DSS Roadshow Paris juillet Stockage, archivage Pourquoi archiver Origines De quoi parle-t-on ?

11 PCI DSS Roadshow Paris juillet Pourquoi archiver ? Répondre à ses obligations légales et réglementaires éviter de perdre Réagir / augmentation des volumes (trop dinformation tue linformation – constat dimpuissance! Pb de qualité de linfo) ne pas sappauvrir Garder la trace, sécuriser un savoir-faire préserver et enrichir son patrimoine « informationnel », véritable capital immatériel de toute organisation RETROUVER

12 PCI DSS Roadshow Paris juillet Les origines de larchivage ARCHIVAGE Numérique Papier Dématique Rationalisation Obligations Sécurisation Patrimoine

13 PCI DSS Roadshow Paris juillet Archivage électronique ? Nest pas une simple transposition (dématérialisation) de larchivage traditionnel papier en électronique Correspond à une nouvelle organisation des données dans lentreprise (notion de cycle de vie, ILM) Impacte fortement le système dinformation, en fait partie intégrante, doù son aspect stratégique Doit être pris en compte très en amont

14 PCI DSS Roadshow Paris juillet Doit-on encore parler darchivage? Des données numériques qui doivent : être conservées + ou - longtemps être sécurisées de façon adaptée: risque / valeur de linfo être retrouvées Pérennité : nouveau critère sécuritaire ? Conservation sécurisée de données numériques, à lintérieur du SI

15 PCI DSS Roadshow Paris juillet Contraintes Techniques Légales Sécuritaires Organisationnelles

16 PCI DSS Roadshow Paris juillet Contraintes techniques de larchivage (risques) Formats logiques Intelligibilité (données impossible à interpréter) Supports Pérennité (perte information) Intégrité (donnée non fiable) Migrations Support (impossibilité de relire) Format (impossibilité de traduire en clair) Signature électronique Validité dans le temps Obsolescence cryptographique (perte de fiabilité et didentité)

17 PCI DSS Roadshow Paris juillet Les supports de demain Retour à la pierre ! Quartz, 40 Mo/i 2 contre 35 pour un CD. Lisible par microscopique optique mais fragile aux chocs. Nouveauté en matière optique le HVD pour Holographic versatile disc est une technologie de disque optique qui peut contenir jusquà 3,9 To dinformation soit CDs ou 830 DVD ou encore 60 Blu-ray ! Les évolutions du magnétique Seagate a atteint 1To/i 2 et on annonce des disques de 3,5 pouces avec jusquà 60 To ! La révolution côté vivant ? 6 Mo dans 337 picogramme ( ) dADN. Les chercheurs annoncent 2 po dans un seul gramme.

18 PCI DSS Roadshow Paris juillet 2013 Le juge décide seul pour dire si un document est recevable en tant que preuve ou élément de preuve. Larchivage « légal » nexiste pas à proprement parler. Contraintes légales Equivalence des documents signés électroniquement avec l'écrit papier

19 PCI DSS Roadshow Paris juillet Conditions valeur probante Respect des conditions légales prescrites par les textes : Intelligibilité, peu importe la forme de linformation, lessentiel est quelle soit restituée de façon intelligible par lhomme et non par la machine Identification de lauteur Garantie dintégrité (du contenu informationnel) traçabilité Pérennité, respecter les durées de conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions

20 PCI DSS Roadshow Paris juillet Contraintes sécuritaires Disponibilité, communication Intégrité Confidentialité, contrôle daccès, habilitation Traçabilités, conservation des traces Pérennité, durée de conservation Identification, authentification

21 PCI DSS Roadshow Paris juillet Contraintes / système dinformation Larchivage électronique fait partie intégrante du SI qui: Supporte lensemble des processus métiers Souvre vers un plus grand nombre dutilisateurs Progresse au niveau de ses capacités de stockage et de traitement Le SI passe dune logique de collecte des données à une logique de production dinformations... de valeur !

22 PCI DSS Roadshow Paris juillet Premières briques méthodologiques Grands processus darchivage Aspect pluridisciplinaire Politique darchivage

23 PCI DSS Roadshow Paris juillet Grands processus de larchivage Système dArchivage Electronique (SAE) 2- Conserver lintégrité jusquà la destruction ! 4- Tracer lensemble des opérations effectuées, sécuriser les traces. 3- Mettre linformation à disposition des utilisateurs 1- Identifier, capturer et classifier ce qui ne doit plus être modifié

24 PCI DSS Roadshow Paris juillet Aspect pluridisciplinaire dématique et conservation de données numériques Technique : Répondre au paradoxe de devoir utiliser pour de longues périodes des technologies à lobsolescence rapide. Organisationnel : Bien définir ses besoins très en amont afin davoir la garantie de pouvoir retrouver linformation désirée ultérieurement. Mettre en œuvre une véritable gestion de projet. Juridique : Tenir compte des obligations légales et réglementaires afin de pouvoir faire valoir des documents numériques en cas de besoin. Aspects pluridisciplinaires exigent une collaboration transverse indispensable

25 PCI DSS Roadshow Paris juillet Aspect transverse de la dématique et de la conservation de données numériques Complétude des processus : Traiter les processus dans leur ensemble. Ne pas négliger lamont ou laval dun processus sous prétexte quil se déroule en dehors de lorganisation. Transversalité des projets dAE : Aborder le projet de façon transverse, éviter de raisonner en silo, à prendre très en amont de tout projet. Vision globale : Réunir dès le départ lensemble des compétences nécessaires, avoir une vision globale pour ensuite planifier une mise en œuvre progressive.

26 PCI DSS Roadshow Paris juillet Un document nest pas seul ! Méta données dinformations Véritable identité numérique Index Format Origine… Méta données de gestion Durée de conservation Protection Migration, conversion… Document (contenu informationnel)

27 PCI DSS Roadshow Paris juillet Savoir relier : données/documents - systèmes Sécurité Disponibilité Intégrité Confidentialité Preuve/traçabilité DONNEESDONNEES SYSTEMESYSTEME Service Ouverture service Dispo verst, interro Durée Destruction SE

28 PCI DSS Roadshow Paris juillet 2013 La politique darchivage (outil de gouvernance) : élément charnière, interface indispensable entre : lois, réglementations, systèmes informatiques (techniques et sécurité adaptée) La politique darchivage

29 PCI DSS Roadshow Paris juillet 2013 Les trois couches dun SAE Le coffre numérique : le socle Les couches métier : lopérationnel La couche gouvernance : les règles Linfra avec différentes solutions techniques/niveaux sécurité-service

30 PCI DSS Roadshow Paris juillet 2013 Intérêt de la « certification » La loi fait référence à létat de lart (state of the art). Les normes peuvent représenter létat de lart à partir du moment où elles sont représentatives et évolutives Les différents niveaux de « conformité » : Autodéclaration Conformité par un tiers (technique et juridique) Référencement Labellisation (dépend de la légitimité de lorganisme) Certification par un organisme tiers, lui-même accrédité (portée internationale) Agrément La certification représente le niveau de garantie le plus élevé que lon puisse présenter à un juge concernant la « fiabilité » de son système.

31 PCI DSS Roadshow Paris juillet Protéger les données de titulaires de cartes stockées (condition 3)

32 PCI DSS Roadshow Paris juillet 2013 (3.1) Conservation des données carte Stockage des données : politique de conservation et délimination procédures correspondantes

33 PCI DSS Roadshow Paris juillet 2013 Définition des : données stockées délais de conservation processus délimination (fréquence trimestrielle) conditions de conservation (DICP) (3.1.1) La politique darchivage

34 PCI DSS Roadshow Paris juillet 2013 (3.2) Ne stocker aucune données dauthentification Si de telles données sont reçues : Protection sécurisée si « vraiment » nécessaire Processus délimination sans récupération possible des données

35 PCI DSS Roadshow Paris juillet 2013 Ne pas stocker (3.2.1) contenu complet dune piste (3.2.2) valeur de vérification (3.2.3) code PIN

36 PCI DSS Roadshow Paris juillet 2013 Gestion du PAN (3.3) Masquer à laffichage, sauf pour les personnes qui en ont lutilité (3.4) Illisible au niveau stockage y compris sur support numérique portable, jeux de sauvegarde et journaux + gestion des clés

37 PCI DSS Roadshow Paris juillet Conclusion

38 PCI DSS Roadshow Paris juillet Nécessité de gouverner linformation, pour : Mettre en œuvre des infrastructures Classifier/organiser les données Prendre en compte le cycle de vie de linformation Assurer la qualité de linformation Administrer des politiques Gérer les risques et la conformité … Créer de la valeur Etre efficace, … être compétitif

39 PCI DSS Roadshow Paris juillet Merci pour votre attention


Télécharger ppt "PCI DSS Roadshow Paris juillet 2013 1 Dématique*, stockage, archivage … gouvernance ! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique."

Présentations similaires


Annonces Google