Dématique*, stockage, archivage … gouvernance ! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l’ILM du Stockage et de l’Archivage) Analyste au BIT Group * Dématique : Contraction de dématérialisation et d’informatique, la dématique correspond à l’action de dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la dématérialisation des échanges et des processus métier en y incluant la composante légale.

Actualité FedISA 8 ans déjà

Mission / Objectifs / Actions Mission: garant de l’état de l’art dans le domaine du management des données numériques Objectifs: Développer le marché Assurer une veille juridique et technique Actions: (informer et assister les utilisateurs) Commissions Evènements (+province) : congrès, petits déjeuners ou soirées, conférences, … Ouvrages: livres blancs, guides pratiques, dossiers Formations avec DEMATEUS La lettre mensuelle de la dématique (n°14) Un nouveau journal « Eco réseau »

E-learning Sensibilisation à la démat

Une association représentative Une véritable reconnaissance avec : Des adhérents de renom publics et privés (IN, CNP, Orange, EMC, IBM, Symantec, Atos, RSD, Cryptolog, …) Une participation très importante La production de travaux de qualité Présence internationale qui s’intensifie : France Luxembourg Monaco Belgique Canada Irlande UK Suisse

Dématique, stockage, archivage … gouvernance ! Introduction Pourquoi ? Contraintes Méthodologie Application à PCI DSS

Les 3 niveaux de la dématique DEMATERIALISATION des supports : numérisation de documents existants des échanges : développement des e-mails, recommandés électronique, télé travail, … des processus métier : (évolution de l’informatisation) E-administration : téléTVA, téléIR, téléActe, appels d’offres, monservice-public.fr, … Entreprises : factures, contrats, … Europe : chronotachygraphe, … Pourquoi : bien comprendre la signification et la portée du terme dématique Commentaires : Mettre en avant le fait que si l’on parle de dématérialisation, souvent il y a une limitation, une réduction du périmètre à la seule numérisation. Je scanne un document papier, j’ai dématérialisé! Au niveau des processus métier, on retrouve bien la même logique que celle vécue pour l’informatisation et la même recommandation consistant à ne pas calquer les processus dématérialisés sur les processus existants afin de véritablement tirer parti des nouvelles technologies A retenir : les 3 composantes de la dématique, essentiellement la démat des processus métier, la plus porteuse d’avenir Suite: détail processus de numérisation

Le L de ILM: Life Cycle (Cycle de vie) Enterprise content management Document management Records management Patrimoine figé V1 discutée V2 diffusée V3 annule et remplace V2 mémoire historique (1-5%) court terme de 1 an à 100 ans… chaîne de confiance 8

Une évolution naturelle ILM Stockage Archivage Dématique Conservation de données numériques Gouvernance

Stockage, archivage Pourquoi archiver Origines De quoi parle-t-on ?

Pourquoi archiver ? Répondre à ses obligations légales et réglementaires  éviter de perdre Réagir / augmentation des volumes (trop d’information tue l’information – constat d’impuissance! Pb de qualité de l’info)  ne pas s’appauvrir Garder la trace, sécuriser un savoir-faire  préserver et enrichir son patrimoine « informationnel », véritable capital immatériel de toute organisation  RETROUVER

Les origines de l’archivage Dématique Rationalisation Obligations ARCHIVAGE Numérique Papier Pourquoi : Visualiser les différentes origines de l’archivage électronique Commentaires : Dématique: les processus numériques génèrent forcément des données/documents numériques qu’il faut conserver plus ou moins longtemps Rationalisation: issue d’un constat lié à l’augmentation considérable des volumes de stockage, la notion de Big data Les trois axes à suivre: Lutter contre l’augmentation des volumes, agir en amont, devenir raisonnable mais sans exagérer Rationaliser le stockage Apprendre à « gérer » Les trois domaines d’actions possible: processus de stockage – archiver ce qui peut l’être (données/documents figés) – sauvegarder uniquement ce qui continue d’évoluer et sécuriser le reste Obligations légales: être conforme aux lois et aux réglementations Patrimoine: protéger et pérenniser son savoir-faire, son patrimoine informationnel, son actif immatériel Sécurisation: disposer d’un espace de conservation de données/documents sécurisé. Doit en particulier permettre de lutter contre la fuite d’information. A retenir : les sources multiples de l’archivage électronique Suite: les grands processus de l’archivage électronique Patrimoine Sécurisation

Archivage électronique ? N’est pas une simple transposition (dématérialisation) de l’archivage traditionnel papier en électronique Correspond à une nouvelle organisation des données dans l’entreprise (notion de cycle de vie, ILM) Impacte fortement le système d’information, en fait partie intégrante, d’où son aspect stratégique  Doit être pris en compte très en amont

Doit-on encore parler d’archivage? Des données numériques qui doivent : être conservées + ou - longtemps être sécurisées de façon adaptée: risque / valeur de l’info être retrouvées Pérennité : nouveau critère sécuritaire ?  Conservation sécurisée de données numériques, à l’intérieur du SI

Contraintes Techniques Légales Sécuritaires Organisationnelles

Contraintes techniques de l’archivage (risques) Formats logiques Intelligibilité (données impossible à interpréter) Supports Pérennité (perte information) Intégrité (donnée non fiable) Migrations Support (impossibilité de relire) Format (impossibilité de traduire en clair) Signature électronique Validité dans le temps Obsolescence cryptographique (perte de fiabilité et d’identité)

Les supports de demain Retour à la pierre ! Quartz, 40 Mo/i2 contre 35 pour un CD. Lisible par microscopique optique mais fragile aux chocs. Nouveauté en matière optique le HVD pour Holographic versatile disc est une technologie de disque optique qui peut contenir jusqu’à 3,9 To d’information soit 5.800 CDs ou 830 DVD ou encore 60 Blu-ray ! Les évolutions du magnétique Seagate a atteint 1To/i2 et on annonce des disques de 3,5 pouces avec jusqu’à 60 To ! La révolution côté vivant ? 6 Mo dans 337 picogramme (10-12) d’ADN. Les chercheurs annoncent 2 po dans un seul gramme. Pourquoi : Commentaires : A retenir : Suite:

Contraintes légales Equivalence des documents signés électroniquement avec l'écrit papier Le juge décide seul pour dire si un document est recevable en tant que preuve ou élément de preuve. L’archivage « légal » n’existe pas à proprement parler. 18

Conditions valeur probante Respect des conditions légales prescrites par les textes : Intelligibilité, peu importe la forme de l’information, l’essentiel est qu’elle soit restituée de façon intelligible par l’homme et non par la machine Identification de l’auteur Garantie d’intégrité (du contenu informationnel)  traçabilité Pérennité, respecter les durées de conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions

Contraintes sécuritaires Disponibilité, communication Intégrité Confidentialité, contrôle d’accès, habilitation Traçabilités, conservation des traces Pérennité, durée de conservation Identification, authentification

Contraintes / système d’information L’archivage électronique fait partie intégrante du SI qui: Supporte l’ensemble des processus métiers S’ouvre vers un plus grand nombre d’utilisateurs Progresse au niveau de ses capacités de stockage et de traitement  Le SI passe d’une logique de collecte des données à une logique de production d’informations... de valeur !

Premières briques méthodologiques Grands processus d’archivage Aspect pluridisciplinaire Politique d’archivage

Grands processus de l’archivage 3- Mettre l’information à disposition des utilisateurs Système d’Archivage Electronique (SAE) 1- Identifier, capturer et classifier ce qui ne doit plus être modifié 2- Conserver l’intégrité jusqu’à la destruction Pourquoi : l’aspect « vivant » de l’archivage Commentaires : s’appuie sur la logique de records management A retenir : L’objectif premier de l’archivage: retrouver l’information Suite: ! 4- Tracer l’ensemble des opérations effectuées, sécuriser les traces.

Aspect pluridisciplinaire dématique et conservation de données numériques Technique : Répondre au paradoxe de devoir utiliser pour de longues périodes des technologies à l’obsolescence rapide. Organisationnel : Bien définir ses besoins très en amont afin d’avoir la garantie de pouvoir retrouver l’information désirée ultérieurement. Mettre en œuvre une véritable gestion de projet. Juridique : Tenir compte des obligations légales et réglementaires afin de pouvoir faire valoir des documents numériques en cas de besoin. Pourquoi : insister sur l’aspect pluridisciplinaire de ces domaines, ce qui en fait d’ailleurs la difficulté essentielle Commentaires : Technique: la conservation de données/documents ne se résume pas au seul choix, même averti de tel ou tel support Organisationnel: importance de la gestion de projet et surtout de la conduite du changement pour éviter les risques de rejet. Sur ce point il est essentiel d’impliquer l’ensemble des acteurs, y compris les futurs utilisateurs, dès le démarrage du projet. Juridique: connaître ses obligations afin de prendre les bonnes dispositions pour s’y conformer Il est également important d’avoir à l’esprit l’aspect transverse de la dématique et de l’archivage électronique. En matière de dématique cela rejoint ce qui a déjà été évoqué plus haut, à savoir dans le cadre de la dématérialisation d’un processus, aller jusqu’au bout du processus et ne pas le traiter par morceau. En matière d’archivage cela revient au fait de na pas le traiter en silo, au risque d’avoir plusieurs systèmes différents pour répondre à un même besoin. A retenir : La notion primordiale de pluridisciplinarité, à traiter en parallèle et non de façon séquentielle Suite: Aspect transverse (Véritable différence entre le papier et le numérique, le lien entre le contenu informationnel d’un document et son support physique)  Aspects pluridisciplinaires exigent une collaboration transverse indispensable

Aspect transverse de la dématique et de la conservation de données numériques Complétude des processus : Traiter les processus dans leur ensemble. Ne pas négliger l’amont ou l’aval d’un processus sous prétexte qu’il se déroule en dehors de l’organisation. Transversalité des projets d’AE : Aborder le projet de façon transverse, éviter de raisonner en silo, à prendre très en amont de tout projet. Vision globale : Réunir dès le départ l’ensemble des compétences nécessaires, avoir une vision globale pour ensuite planifier une mise en œuvre progressive. Pourquoi : Commentaires : A retenir : Suite:

Un document n’est pas seul ! Méta données d’informations Véritable identité numérique Index Format Origine… Méta données de gestion Durée de conservation Protection Migration, conversion… Document (contenu informationnel)

Savoir relier : données/documents - systèmes Sécurité Disponibilité Intégrité Confidentialité Preuve/traçabilité SYSTEME DONNEES Service Ouverture service Dispo verst, interro Durée Destruction SE

La politique d’archivage La politique d’archivage (outil de gouvernance): élément charnière, interface indispensable entre : lois, réglementations, systèmes informatiques (techniques et sécurité adaptée)

Les trois couches d’un SAE La couche gouvernance : les règles Les couches métier : l’opérationnel Le coffre numérique : le socle L’infra avec différentes solutions techniques/niveaux sécurité-service

Intérêt de la « certification » La loi fait référence à l’état de l’art (state of the art). Les normes peuvent représenter l’état de l’art à partir du moment où elles sont représentatives et évolutives Les différents niveaux de « conformité » : Autodéclaration Conformité par un tiers (technique et juridique) Référencement Labellisation (dépend de la légitimité de l’organisme) Certification par un organisme tiers, lui-même accrédité (portée internationale) Agrément La certification représente le niveau de garantie le plus élevé que l’on puisse présenter à un juge concernant la « fiabilité » de son système.  30 30

Protéger les données de titulaires de cartes stockées (condition 3)

politique de conservation et d’élimination procédures correspondantes (3.1) Conservation des données carte Stockage des données : politique de conservation et d’élimination procédures correspondantes

(3.1.1) La politique d’archivage Définition des : données stockées délais de conservation processus d’élimination (fréquence trimestrielle) conditions de conservation (DICP)

(3.2) Ne stocker aucune données d’authentification Si de telles données sont reçues : Protection sécurisée si « vraiment » nécessaire Processus d’élimination sans récupération possible des données

Ne pas stocker (3.2.1) contenu complet d’une piste (3.2.2) valeur de vérification (3.2.3) code PIN

Gestion du PAN + gestion des clés (3.3) Masquer à l’affichage, sauf pour les personnes qui en ont l’utilité (3.4) Illisible au niveau stockage y compris sur support numérique portable, jeux de sauvegarde et journaux + gestion des clés

Conclusion

Nécessité de gouverner l’information, pour : Mettre en œuvre des infrastructures Classifier/organiser les données Prendre en compte le cycle de vie de l’information Assurer la qualité de l’information Administrer des politiques Gérer les risques et la conformité … Créer de la valeur  Etre efficace, … être compétitif

Merci pour votre attention jm.rietsch@fedisa.eu www.fedisa.eu