Préservation et conservation

Dématique et SAE (11) : Politique de sécurité

La politique de sécurité du SAE passe par cinq éléments : confidentialité, appréciation des risques, plans de continuité d’activité (PCA), plan de reprise d’activité (PRA) et assurances.

CONFIDENTIALITÉ

Toute personne ayant accès aux données archivées est soumise au secret professionnel. Cette clause doit clairement apparaître dans le contrat de travail de l’agent habilité, mais aussi dans les contrats de prestations externalisées. Rappelons à cet effet l’article L. 211-3 du Code du patrimoine français : « Tout fonctionnaire ou agent chargé de la collecte ou de la conservation d’archives en application des dispositions du présent titre est tenu au secret professionnel en ce qui concerne tout document qui ne peut être légalement mis à la disposition du public. » Cela n’implique donc pas exclusivement les archivistes, mais toute autorité d’archivage (AA) impliquée lors du cycle de vie de la donnée, y compris, en tout premier, le Service producteur (SP).

On s’appuiera aussi sur l’article 34 de la Loi française informatique et libertés (LIL) n° 78-17 du 6 janvier 1978 : « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès. » Il est ainsi judicieux de désigner un administrateur de la sécurité des données (le correspondant informatique et libertés en France), personne chargée de superviser l’ensemble des fonctions reliées à la protection des données, veillant tout particulièrement au respect des données à caractère personnel (DCP) et à la conformité, en droit français, à l’article 34bis de la LIL, créé par l’article 38 de l’Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.

L’accès aux sites d’hébergement du SAE est soumis à l’approbation du Responsable des centres de données, dont lui seul et son équipe possèdent une autorisation permanente d’accès. En dehors de ces personnes, chaque demande est analysée (étude du périmètre d’intervention), puis, si validation, une habilitation est alors délivrée. Chaque intervention sur site donne lieu à un rapport, décrivant précisément les actions menées. Les Archives ont un accès direct aux données, via le SAE, dans le cadre de la gestion du service. Chaque archiviste, en tant qu’opérateur d’archivage (OA), dispose d’un accès, circonscrit exclusivement à son périmètre de gestion. Il ne peut donc consulter que les archives des organismes dont il est responsable. Les ingénieurs systèmes peuvent également être amenés à opérer sur les bases de données, sur instruction et sous le contrôle des opérateurs d’archivage. En outre, l’accès aux bases de données se fait a minima par identifiant et par mot de passe, un certificat d’authentification pouvant être ajouté. L’Autorité d’archivage a la responsabilité de l’ensemble des habilitations, pour les opérateurs d’archivage et pour les ingénieurs systèmes. Il peut délivrer des habilitations temporaires, selon les besoins du service.

Les habilitations sont délivrées à titre personnel et sont incessibles.

Les informations de nommage des répertoires doivent garantir un anonymat suffisant. On utilisera des codes alphanumériques, tels que l’utilisation du code à neuf chiffres donné par le Système informatique du répertoire des entreprises nationales (SIREN) françaises de l’organisme, par exemple. Sur une instance partagée, dans la logique de mutualisation pour des établissements publics de coopération intercommunale (EPCI), chaque volume de conservation sécurisée est cloisonné de façon logique, individualisant ainsi chaque organisme hébergé sur cette plateforme. Il en va de même pour une instance n’hébergeant qu’un seul organisme, celui-ci pouvant conteneuriser chacun de ses services producteurs. Cependant, dans le cadre d’un SAE répondant aux exigences du Standard d’échange de données pour l’archivage (SEDA), le cloisonnement des données et la sécurisation de leur accès se fait naturellement par l’association des services producteurs (SP), versants (SV) et Archives (SA), via l’accord de versement (SV + SA) et les contrats d’archivage (SP) s’y rattachant.

APPRÉCIATION DES RISQUES

Le référentiel de contrôle interne (COSO 2), défini par le Committee Of Sponsoring Organizations (COSO) of the Treadway Commission, définit la maîtrise des risques comme traitant « des risques et des opportunités ayant une incidence sur la création ou sur la préservation de la valeur : la gestion des risques est un processus mis en œuvre par le conseil d’administration, par la direction générale, par les cadres et par l’ensemble des collaborateurs de l’organisation. Elle est prise en compte dans l’évaluation de la stratégie, ainsi que dans toutes activités de l’organisation. Elle est conçue pour identifier les événements potentiels susceptibles d’affecter l’organisation et pour gérer les risques dans les limites de son appétence pour le risque. Elle vise à fournir une assurance raisonnable quant à l’atteinte des objectifs de l’organisation. »

Modélisation en cube du COSO 2

Modélisation en cube du COSO 2

La gestion du cycle de vie des données a pour but, de manière directe et dynamique, de gérer ces données tout en faisant correspondre leur valeur, variable au fil du temps, aux objectifs (exigences réglementaires, activité…) et au niveau de service de l’organisme.

Sur un SAE, la mesure des risques se fait à divers niveaux :

  • accords sur les niveaux de service (SLA) et coûts par rapport à la valeur des données
  • protection des données
  • mutualisation des capacités de conservation sécurisée
  • diversification des supports de conservation sécurisée
  • garantie de disponibilité des données
  • outils de gestion des ressources de conservation sécurisée (SRM), afin de rationaliser l’utilisation des ressources allouées dans un réseau, via un logiciel supervisant principalement le taux d’occupation des disques
  • réutilisation des systèmes actuels

La démarche d’appréciation des risques passe par les étapes suivantes :

  • identification de la stratégie de gestion des risques et du niveau d’acceptation du risque
  • gestion des risques basée sur une étape préalable de cartographie des risques par nature de risques ou par objectifs stratégiques
  • mise en place d’une organisation (structures et compétences), ainsi que d’une culture de gestion des risques
Processus d'analyse du risque

Processus d’analyse du risque

Les risques encourus en matière de SAE sont les suivants : fraude informatique, vol de données, menaces, extorsion, attaques malveillantes, divulgation de données, corruption de données à cause d’une erreur humaine, panne mécanique, perte physique, virus et bombes logiques, perte de service, atteinte à la confidentialité…

Il faut se poser les bonnes questions afin d’identifier les failles de sécurité impactant les données et les applications (côté clients) et les serveurs (côté hébergeurs), l’ensemble constituant le système d’information. Cela permet d’apprécier la valeur ajoutée des données, des applications et des serveurs afin de mesurer l’impact d’une atteinte à ces données, à ces applications et à ces serveurs sur l’organisme. Cette valorisation se fait selon quatre propriétés fondamentales de la sécurité : disponibilité, intégrité, confidentialité et imputabilité.

Cartographie des risques

Cartographie des risques (source Marsh)

Toute cette démarche aboutit, a minima, à la production d’un rapport d’analyse des risques et d’un plan de traitement des risques. Ces documents sont accessibles au déposant comme aux Archives et au contrôle scientifique et technique (CST).

PLAN DE CONTINUITÉ D’ACTIVITÉ (PCA) ET PLAN DE REPRISE D’ACTIVITÉ (PRA)

Le PRA est à distinguer du PCA : ce dernier a pour objectif de poursuivre l’activité, sans interruption du service, et d’assurer la disponibilité des données, quels que soient les problèmes rencontrés. Le PRA en est un sous-ensemble, décrivant les mesures déclenchées à la survenue d’un sinistre ou d’un incident majeur, entraînant une interruption de l’activité.

Le PCA indique les actions à effectuer en cas d’incident majeur.

Il faut d’abord définir une organisation. Les différentes tâches de pilotage et de mise en œuvre du secours sont affectées à des acteurs. Ces acteurs sont des entités opérationnelles prédéfinies composées de personnes en nombre suffisant, en cas de sinistre. Les premiers intervenants sont chargés d’appliquer les consignes et de donner l’alerte. On distingue ensuite : le comité de crise et la cellule de coordination, formant la structure de crise ; les équipes d’intervention ; les services utilisateurs.

Les procédures d’escalade sont essentielles. La personne informée doit savoir qui et comment contacter. Cette personne doit à son tour connaître les personnes à contacter pour avoir des précisions ou pour mobiliser la structure de crise. Il est important de définir à l’avance qui est habilité à activer la structure de crise et surtout à n’appeler que les personnes strictement désignées, afin d’éviter un encombrement inutile des lignes.

Un PCA est composé de procédures techniques ou organisationnelles, classées par type d’activité, dont l’activation dépende de l’évènement survenu et du contexte général. Le déclenchement de certains dispositifs ou leurs modalités d’exécution peuvent en effet dépendre de nombreux éléments (communication de crise…). Ces dispositifs de secours sont accompagnés de dispositifs permanents destinés à les maintenir à niveau (plan de sauvegarde…).

La documentation, assez volumineuse et très évolutive (nouvelles affectations de personnel, nouvelles applications…), constitue un élément essentiel d’un PCA et est structurée en quatre niveaux : communication, mise en œuvre, gestion et contrôle. Il est conseillé de gérer la documentation à l’aide d’un outil spécialisé dans la gestion de PCA. Il faut également veiller à la confidentialité de ces documents.

La maintenance du PCA est assurée par une organisation et par des outils.

Le PCA est validé par un plan de tests permettant, en premier lieu, de réceptionner chacun des dispositifs de secours et, ensuite, de contrôler, par des tests réguliers, le caractère opérationnel du PCA.

Le PRA permet d’assurer, en cas de crise majeure ou importante d’un centre de données, la reconstruction de son infrastructure et la remise en route des applications supportant l’activité d’une organisation.

PCA et PRA sont accessibles au déposant comme aux Archives et au contrôle scientifique et technique (CST). Ces deux plans sont régulièrement testés (une fois par an minimum) et ils sont mis à jour en fonction du résultat des tests.

4 – ASSURANCES

Les Archives, les tiers-archiveurs et les tiers-hébergeurs doivent impérativement souscrire des polices d’assurance pour couvrir les dommages et les pertes que pourraient subir les données déposées. Ces documents sont disponibles aux déposants. Ce point est encore relativement sous-estimé et les compagnies d’assurance n’offrent pas forcément de polices adaptées à l’ensemble des risques encourus par la perte de données.

Il faut se poser la question de la matérialisation de la perte :

  • coûts de reconstitution des données
  • pénalités contractuelles
  • pénalités légales

Il faut aussi savoir qui supporte la perte :

  • l’organisme dans le cadre interne
  • l’organisme et/ou le prestataire, dans le cadre d’externalisation.

Le logigramme suivant montre l’approche responsabilité civile :

Processus d'indemnisation éventuelle par l'assurance dans le cas d'une externalisation de l'archivage

Processus d’indemnisation éventuelle par l’assurance dans le cas d’une externalisation de l’archivage

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s