Section 11 - Gestion d'un projet d'archivage électronique

Celle-ci doit se conformer à une politique pour la sécurité des systèmes d'information (PSSI). Cette politique de sécurité sera celle qui a été définie spécifiquement au sein de l'entreprise ou de l'établissement.

L'Autorité d'archivage doit rester responsable de la sécurité de l'ensemble des processus d'archivage, même si certaines fonctions de ces processus sont confiées à des composantes externes à l'Autorité d'archivage. Il est du ressort de l'Autorité d'archivage de faire appliquer par ces composantes, pour celles qui les concernent, les exigences de sécurité de sa politique d'archivage et d'en contrôler l'application.

Par ailleurs, la direction de l'Autorité d'archivage doit être impliquée et fournir les orientations en matière de sécurité des systèmes d'information au travers, notamment, de la validation et la diffusion d'une politique de sécurité de l'information.

L'Autorité d'archivage doit mener une analyse de risque permettant de déterminer les objectifs de sécurité propres à couvrir les risques métier de l'ensemble des processus d'archivage et les mesures de sécurité techniques et non techniques correspondantes à mettre en œuvre. Les exigences doivent être complétées et déclinées en mesures de sécurité en fonction de l'environnement réel du système d'archivage et des résultats de l'analyse de risque. En particulier la politique d'archivage doit être déclinée dans une déclaration des pratiques d'archivage

Un niveau minimal d’assurance de la sécurité offerte sur les systèmes informatiques de l'Autorité d’archivage doit être défini. Il doit au moins répondre aux objectifs de sécurité suivants :

• identification et authentification forte des utilisateurs pour l'accès au système (authentification à deux facteurs, de nature physique et/ou logique),

• gestion de sessions d’utilisation (déconnexion après un temps d’inactivité, accès aux fichiers contrôlé par rôle et nom d’utilisateur),

• protection contre les virus informatiques et toutes formes de logiciels compromettants ou non-autorisés et mises à jour des logiciels,

• gestion des comptes des utilisateurs, notamment la modification et la suppression rapide des droits d'accès,

• protection du réseau contre toute intrusion d'une personne non autorisée,

• protection du réseau afin d'assurer la confidentialité et l'intégrité des données qui y transitent,

• fonctions de traçabilité (non-répudiation et nature des actions effectuées),

• éventuellement, gestion des reprises sur erreur.

Concernant les responsabilités du niveau opérationnel, on doit distinguer au moins les rôles fonctionnels de confiance suivants :

Responsable de sécurité : le responsable de sécurité est chargé de la mise en œuvre de la politique de sécurité. Il s'assure de l'application de cette politique. Il gère les contrôles d’accès physiques aux équipements. Il est habilité à prendre connaissance des archives liées à l'activité de l'Autorité d’archivage et est chargé de l'analyse des journaux d’événements afin de détecter tout incident, anomalie, tentative de compromission, etc.

Responsable d'application : le responsable d'application est chargé de la mise en œuvre de la politique d'archivage au niveau de l'application dont il est responsable. Sa responsabilité couvre l’ensemble des fonctions rendues par cette application et des performances correspondantes.

Ingénieur système : il est chargé de la mise en route, de la configuration et de la maintenance technique des équipements informatiques. Il assure l’administration technique des systèmes et des réseaux.

Administrateur fonctionnel : il est chargé de la gestion des profils pour une application donnée.

Administrateur de base de données : il est chargé de l'administration, notamment au niveau des droits, des bases de données sur lesquelles les applications s'appuient.

Agent du service d'archivage électronique : il réalise, dans le cadre de ses attributions, l’exploitation des applications.

À partir du moment où un utilisateur aura été identifié et authentifié, il faut disposer d’un système contrôlant et limitant ses accès par rapport à ses droits. L’ensemble des utilisateurs et des droits correspondants devra être contenu dans un annuaire régulièrement mis à jour en fonction des évolutions.

Pour l’ensemble des intervenants, il est fondamental de disposer d’un dispositif permettant la parfaite identification des personnes ainsi que leur authentification. Même si un simple login mot de passe peut s’avérer suffisant pour certaines utilisations essentiellement en matière d’interrogation du SAE, pour les autres accès comme ceux directement liés à l’administration, il faudra avoir recours à des systèmes d’authentification forte lesquels garantissent que la personne identifiée est bien celle qu’elle prétend être. Le certificat électronique devra par exemple être utilisé.

Dès lors que les archives sont signalées comme confidentielles, les limites d’accès aux seules personnes habilitées doivent être gérées par le service d’archivage électronique.

Concernant les archives conservées, le contrôle d’intégrité doit avoir lieu à plusieurs niveaux du processus d’archivage :

• au niveau du transfert par le service d'archives.

• Ensuite, le contrôle d’intégrité doit pouvoir être opéré tout au long du cycle de vie des archives sans attendre des migrations éventuelles ou l’interrogation par des utilisateurs ou usagers. Des dispositifs de vérification d’intégrité basés sur l’empreinte des documents doivent ainsi être régulièrement réalisés par sondage.

Afin de constituer un ensemble de données à la fois suffisantes et cohérentes en matière de traçabilité, les opérations suivantes doivent être effectuées et validées avant la mise en place de tout service d'archivage électronique :

• Identifier les différents types d’événements à enregistrer,

• Définir les informations enregistrées pour chaque type et événement,

• Décider d’une notification ou non de l’enregistrement d’un événement au responsable de l’événement, par type d’événement et selon quelles modalités,

• Définir une fréquence a priori minimum de traitements des journaux d’événements même si toute latitude doit être laissée à ce niveau. Comme traitements, devront être entre autres analysées la recherche d’anomalies ou encore la migration des supports et des formats,

• Par rapport à ce dernier point, définir une période de conservation des journaux d’événements,

• Vérifier les dispositifs de sécurité mis en place et destinés à assurer la protection des journaux d’événements,

• Vérifier en particulier, en complément au point précédent, la procédure de sauvegarde des journaux d’événements.

Afin d’éviter toute remise en cause de l’horodatage réalisé par le service, ce dernier reposera sur un procédé conforme à l’état de l’art (soit actuellement la RFC 3161 mettre un lien, tout le monde ne sait pas ce qu’est une RFC) et à tout le moins aura recours à deux sources de temps distinctes afin de dater les différentes opérations réalisées.

Chaque composante de l'Autorité d’archivage doit disposer d'un plan de continuité d'activité permettant de répondre aux exigences de disponibilité des différentes fonctions des processus d'archivage.

Ce plan doit être testé au minimum tous les ans.

C'est ainsi que chaque entité opérant une composante de l'Autorité d’archivage doit mettre en œuvre des procédures et des moyens de remontée et de traitement des incidents, notamment au travers de la sensibilisation et de la formation de ses personnels et au travers de l'analyse des différents journaux d'événements.

La prise en compte de la problématique de pérennisation a des répercussions sur l'ensemble de l'organisation. Il ne s'agit donc pas de la simple mise en œuvre d'un système de plus mais bien de repenser, de faire évoluer l'organisation sous l'angle de cette approche.

Les impacts sont multiples : budgétaires, organisationnels, métiers, techniques, etc. Sans être une révolution, il s'agit d'évolutions qui selon le degré de maturité de l'organisation peuvent être longues et difficiles.

Néanmoins, nous constatons également que nous pouvons nous appuyer sur des pratiques et des usages reconnus qu'il convient d'adapter : les fondamentaux archivistiques ne sont pas remis en cause, la gestion des risques est parfaitement applicable, les bonnes pratiques informatiques sont adaptables, etc. Avec l'émergence de normes sur le sujet ce sont autant de facteurs rassurants pour une organisation.

Pour autant, les métiers d'archivistes^[1] et de l'informatique doivent évoluer et si nous nous contentons des plans de formations nécessaires, nous risquons tout de même d'être confrontés à un sérieux déficit de compétence. La question se pose également pour les programmes d'enseignement.