Le mode d’écriture des données sur les serveurs des centres de données est déterminant. Nous l’avons vu précédemment, la redondance est impérative pour tout système d’archivage électronique (SAE) à valeur probatoire.
Une erreur communément pratiquée est de réaliser une écriture des données par réplication. Ainsi, une base de données (BDD) sur le volume 1 est active, tandis que celle sur le volume 2 soit passive. Régulièrement, selon une fréquence définie, la BDD 2 est activée pour récupérer l’image instantanée de la BDD 1. Si ce système permet certes de basculer sur la BDD 2 en cas de corruption de la BDD 1 et de restaurer cette dernière par une image de la BDD2, en terme d’intégrité elle repose uniquement sur la BDD 1, la seule complète à l’instant de l’incident fatal notamment. Quid de facto des données potentiellement écrites sur la BDD 1, depuis la dernière image instantanée réalisée sur la BDD 2. Dans ce type d’écriture, nous sommes en définitive dans un mode de sauvegarde et de restauration.
L’état de l’art impose en réalité une double écriture en Y, où l’écriture des données se déroule simultanément sur deux volumes homologues, de par l’exacte redondance des données, et ce en tout instant. Il n’y a donc ici pas de notion de volumes primaire et secondaire, du moins pas dans le sens d’un volume 1 actif et d’un volume 2 passif. Les deux volumes sont actifs, bien que la lecture des données, pour une consultation d’archives par exemple, ne se fasse « que » sur le volume 1. En revanche, toute opération affectant directement les données (et non leurs métadonnées), soient les conversions et les destructions contrôlées dans le cadre de procédures d’éliminations ou de restitutions, se fait, comme lors de la procédure de dépôt des données, de façon simultanée sur les deux volumes homologues.
Cette écriture en Y s’avère, en outre, un excellent garant du contrôle d’intégrité. En effet, des contrôles d’intégrité, portant sur l’empreinte des données archivées, à l’état de l’art, doivent s’effectuer :
- lors du dépôt (si le Service versant a fourni l’empreinte et l’algorithme) ; on parle alors de dépôt contrôlé, qui devrait être impératif, mais qu’il soit hélas difficile d’imposer aux structures versantes, notamment à des tiers de télétransmission (TDT), sauf à le contractualiser clairement
- lors des migrations de supports
- lors des communications
- lors des éliminations
- lors de la restitution définitive
- selon une régularité définie
De plus, la vérification de l’intégrité des données sur les deux volumes homologues se déroule exhaustivement ou aléatoirement et selon des périodicités définies dans le paramétrage des tâches planifiées. L’algorithme utilisé pour la vérification de l’intégrité doit, a minima, être en SHA 256.
Ainsi, lors d’une consultation (cas d’un Service producteur accédant directement à ses archives via le registre des entrées) ou lors d’une demande de communication (cas d’un Service demandeur souhaitant obtenir – et non accéder – des archives d’un autre Service producteur, avec ou sans dérogation selon le besoin, dont une copie de l’ensemble du lot objet de la requête est alors récupérée dans un panier de communications), le SAE vérifie au préalable l’empreinte des données souhaitées sur les deux volumes homologues et, en cas de corruption avérée des données sur l’un ou l’autre, voire les deux volumes, la consultation ou la demande de communication ne peuvent alors aboutir. Il en va de même pour l’ensemble des processus affectant le cycle de vie de l’archive (conversions, éliminations, restitutions, transferts en sortie…).
Convergence AAQ 