Chapitre 8. Certification des Archives numériques
Donner à une Archive numérique un label de qualité et de confiance, dire que nous disposons de garanties effectives suffisantes quant à la capacité de cette Archive à préserver des documents numériques à long terme, à s'assurer de leur authenticité, à maintenir leur intégrité tout en les gardant accessibles à la communauté des utilisateurs, tels sont les objectifs de la certification.
8.1. Qu'est ce que la certification des Archives numériques ?
Nous sommes ici sur une question de grande importance mais non encore stabilisée au plan des solutions envisageables.
Sur quoi pouvons-nous nous baser pour accorder une réelle confiance à une Archive numérique ?
Rien de ce qui se passe dans notre ordinateur n'est visible, sauf le résultat qui correspondra ou ne correspondra pas à nos attentes.
Qui n'a pas vu son PC bloqué sans raison apparente ? Et dans ces cas-là, il est bien difficile, sinon impossible, de connaître la cause exacte de ce qui s'est passé. Qui n'a pas perdu du temps parce que son logiciel de traitement de texte s'était figé avant même la sauvegarde de ce qu'on ne voulait pas perdre ? Combien de particuliers mais aussi d'entreprises ont perdu des informations à cause d'un virus ou en raison d'un piratage ?
Or on veut pouvoir s'appuyer sur cette technologie pour conserver des informations précieuses, vitales, et ce afin de pérenniser nos connaissances, de préserver notre mémoire ? Il y a de toute évidence besoin de trouver le moyen de créer cette confiance. Il est nécessaire qu'une Archive puisse démontrer qu'elle fait effectivement tout ce qu'il y a à faire pour conserver les informations dont elle a la responsabilité, qu'elle a les compétences pour le faire, qu'elle dispose des moyens nécessaires et qu'elle le fait bien. Cette démonstration est ce qu'on appelle la certification des Archives.
Complément :
On peut définir ce processus de certification des Archives dans le même esprit que les processus de certification ISO 9000 (système de management de la qualité). En effet, le processus de certification ISO 9000, permet de montrer que l’organisme fait bien ce qu'il est supposé faire, qu'il le fait de manière satisfaisante pour les clients et qu’il a entrepris une démarche permanente d’amélioration de la qualité.
Une démarche voisine s'appliquant au domaine spécifique de la sécurité des systèmes d'information a été entreprise. Là encore, se pose la question de la confiance que l'on peut faire à un système d'information lorsqu'il gère des transactions bancaires, contient des secrets de fabrication, détient des informations relevant de la Défense Nationale... Cette démarche a donné lieu à la définition d'exigences applicables aux systèmes de gestion de la sécurité de l'information (ISO/IEC 27001:2005) et à l'énoncé d'un code de bonnes pratiques pour la gestion de la sécurité de l'information (ISO/IEC 27002:2005).
L’objectif est de rentrer dans le concret de l’évaluation des mises en œuvre et des organisations.
La réflexion sur ce sujet pour les Archives numériques a été engagée dès 2003 - dans la foulée de la publication du modèle OAIS - par un groupe de travail international créé à l’initiative de la National Archives and Records Administration (NARA) et le Research Library group (RLG). Elle s’est ensuite poursuivie sous l'égide de l'OCLC (Online Computer Library Center).
L’objectif était d’élaborer des exigences de certification des archives dans une perspective de normalisation internationale. L'idée principale qui a été retenue et reprise dans tous les travaux ultérieurs a consisté à établir une liste de critères que l'Archive doit satisfaire et à classer ces critères par domaine. Ces critères doivent pouvoir donner des gages de confiance, de fiabilité et de pérennité de l'Archive
Ce travail a abouti à la publication en janvier 2007 du document Trustworthy Repositories Audit & Certification : Criteria and Checklist, connu sous le nom de TRAC.
Par ailleurs, une collaboration entre le Digital Curation Center (DCC) en Grande-Bretagne et le programme européen Digital Preservation Europ e (DPE), a conduit à l’élaboration d’une méthode d'audit des archives numériques basée sur l'évaluation des risques. Elle a pour titre « Digital Repositories Audit Method Based on Risks Assessment (DRAMBORA) ». Cette méthode est essentiellement intéressante pour conduire des auto-évaluations.
Un processus de certification ne se réduit pas à l’examen de la conformité de l’Archive par rapport à un ensemble de critères. Ce processus pose d’autres questions qui doivent être parfaitement clarifiées :
• Qui peut effectuer un audit de certification ?
• Quelles sont les compétences nécessaires ?
• Quelles sont les garanties de neutralité et de confidentialité ?
• Qui peut délivrer cette certification ?
• Avec quelle accréditation ou légitimité ?
Toutes ces questions doivent également recevoir des réponses normalisées et incontestables.
8.2 Projet ISO-CCSDS en cours
Sur la base des travaux mentionnés ci-avant, un groupe de travail du CCSDS a été officiellement mandaté fin 2007, pour préparer l’élaboration d’une norme ISO dans ce domaine.
Le groupe est ouvert et les documents de travail sont accessibles sur le site http://wiki.digitalrepositoryauditandcertification.org/bin/view/Main/WebHome
Un premier projet de norme, « Metrics for Digital Repository Audit and Certification », a repris et précisé la structure des critères de certification définie dans TRAC.
Pour chacun des sous-domaines, un ensemble de critères a été défini :
Chaque critère proposé fait l’objet :
• d’une formulation précise,
• d’un texte explicatif,
• d’un ensemble d’exemples sur les moyens permettant de justifier que le critère est satisfait.
Ce projet devrait aboutir à la publication d’une norme en 2010.
La connaissance des critères de certification sera aussi essentielle au moment de la conception et de la mise en place d’une Archive numérique puisqu’elle constituera un guide permettant de prendre à l’avance les dispositions visant à une certification ultérieure.
Un second projet de norme, intitulé « Requirements for bodies providing audit and certification of digital preservation management systems » devrait compléter les critères de certification sur l’ensemble des aspects relatifs à la procédure d’audit et les mécanismes d’attribution et de renouvellement de la certification.
8.3. Autres approches envisagées
L’hypothèse du CCSDS en matière de certification se réfère à une Archive prenant en charge l’ensemble des responsabilités telles qu’elles sont définies dans le modèle OAIS.
Il peut exister des contextes plus simples ou plus limités, par exemple :
• une partie des activités d’archivage est externalisée et le tiers archiveur souhaite être certifié sur le périmètre de responsabilité qui est le sien ;
• les documents à archiver sont des documents récurrents et les questions principales à résoudre se limitent à la conservation des bits et à la valeur probante des documents
Complément :
Il existe des approches alternatives en matière de certification, qui sont en cours d’élaboration. Citons ici :
• construire un référentiel de certification en se basant sur la norme AFNOR Z 42-013 ; une étude est actuellement en cours chez AFNOR certification sur ce sujet ; ce référentiel pourrait répondre aux besoins des tiers archiveurs ;
• l’établissement d’une charte ou politique d’archivage dans les services publics d’archives constitue un référentiel de la sécurité de l'archivage électronique afin qu’il puisse être qualifié de « fiable » ; une grille d’audit peut être constituée à partir de ses différents chapitres et permet à un auditeur de contrôler la fiabilité d’un service d’archivage électronique ; cet audit peut aussi conduire, sous certaines conditions, à l’établissement d’une certification ;
• une autre approche qui vise à définir un référentiel de certification reposant sur la série de normes ISO 27000 (techniques de sécurité) ; l’idée de base réside dans le fait que pour des documents relativement simples (relevés de banque, factures, fiche de paie…), on peut considérer que 75% des exigences de l’archivage sont couvertes par les exigences de sécurité.
