Numérique/Sécurité et aspects légaux

Dématique et SAE (20): Tiers-hébergement vs. Tiers-archivage

Par Antony Belin

En matière d’externalisation de l’archivage électronique, les coûts étant relativement dispendieux, bien que la sécurité n’ayant pas de prix, il est possible d’externaliser tout ou partie des activités par simple tiers-hébergement ou par tiers-archivage, le client ne gardant en ce cas que tout ou partie de l’administration de son système d’archivage électronique (SAE). Il est essentiel de définir ces différents niveaux de prestations et ce qu’il soit possible de faire afin, notamment, de rédiger des appels d’offres clairs en conséquence et de maîtriser la gouvernance du projet.

Le tiers-hébergement permet au client de maîtriser l’ensemble de l’administration de son SAE, tout en s’affranchissant des contraintes budgétaires très dispendieuses liées aux infrastructures, forcément redondées, d’hébergement des matériels d’une part, des matériels eux-mêmes d’autre part. Il est donc ici question de l’aspect locaux, mais aussi matériel du SAE. Nous verrons que plusieurs options sont possibles en la matière.

Il incombe au tiers-hébergeur, privé comme public, d’assurer la sécurité des locaux et/ou des matériels contre toute intrusion ou attaque physique et/ou logique. Il s’agit principalement de coûts de location, avec des niveaux de service optionnels, plutôt que de coûts humains. En revanche, le tiers-hébergeur n’a strictement aucune interactivité sur l’administration du SAE lui-même et aucun accès aux données. La sécurité physique des locaux concerne naturellement les risques d’intrusion par la mise-en-place de technologies d’accès en cohérence avec le risque lié à la zone concernée (badges, codes d’accès, vidéosurveillance, biométrie, sas, clefs…) liées à des procédures opérationnelles documentées et régulièrement auditées, mais aussi la résistance des planchers (600 kg/m² minimum) et leur conformité aux normes hygrométriques et électrostatiques, la protection contre l’eau, la protection contre le feu et les installations électriques. Concernant la sécurité des matériels, il est indispensable de disposer de moyens d’identification et de traçabilité des volumes de conservation sécurisée (amovibles notamment), l’usage étant d’avoir un outil de gestion informatisé du parc, intégrant la configuration, de l’identification des configurations matérielles (périphériques inclus), de contrôles garantissant l’absence de modifications malveillantes ou fortuites des configurations matérielles et que seuls les utilisateurs habilités puissent accéder aux matériels, ainsi que de procédures documentées et auditables de destruction physique des matériels. Concernant la sécurité des logiciels et des progiciels, il est nécessaire de disposer d’outils de contrôle d’accès aux logiciels et aux données, d’un système de protection et de vérification, d’automatisme de mises-à-jour et de processus de veille, d’une procédure de gestion de mise-en-production (impliquant un environnement de qualification ou de pré-production), d’une organisation de gestion d’incidents internes de sécurité et de communication aux responsables concernés, ainsi que la prise-en-compte des risques liés à la destruction (divulgation, destruction non-intentionnelle, garantie d’exhaustivité de la destruction…) et que la présence d’attestations d’élimination et de procédures documentées et auditables de destruction par réécriture sur les volumes de conservation sécurisée réinscriptibles (divers protocoles existent).

Le client a donc la possibilité, en fonction de ses moyens budgétaires et de sa politique, de panacher tous les types d’hébergement, le prestataire devant assurer toute étanchéité entre ses clients mutualisés sur un même environnement (salle, baie ou serveur). Il peut très bien n’externaliser qu’un seul centre de données, s’il en dispose par ailleurs d’un en propre, conforme aux normes en vigueur (rappelons que l’état de l’art soit cependant de trois centres de données distants d’une trentaine kilomètres [pour éviter des risques naturels ou humains communs au même moment, tels que séismes, incident nucléaire, terrorisme…], afin de permettre une réplication synchrone duale des données et une réplication asynchrone a minima quotidienne sur un site de plan de reprise d’activité [PRA]). Il peut aussi externaliser l’ensemble de son infrastructure. Dans les centres-de-données tiers-hébergés, la location peut concerner tant des salles informatiques ou des baies de stockage dédiées ou mutualisées, que des serveurs et des volumes de conservation sécurisée. Un panachage de ces niveaux de service peut être étudié en fonction de la sensibilité des données conservées. Ainsi, les opérateurs techniques du client ont-ils des accès différents en fonction des niveaux de service retenus.

Crédit: Antony Belin

Le tiers-archivage, quant à lui, permet d’externaliser l’intégralité de l’administration du SAE, tant technique et fonctionnelle, qu’archivistique. L’intérêt pécuniaire peut s’expliquer par le coût du recrutement d’une ressource humaine spécialisée en interne, pour un temps plein qui ne puisse pas forcément être assuré (la mutualisation des dématiciens auprès de différentes entités serait une perspective enrichissante à tout point de vue). Il va de soi (cf. supra) que le tiers-archiveur puisse s’appuyer sur un tiers-hébergeur pour son infrastructure, au même titre qu’il s’appuiera sur d’autres tiers-de-confiance inévitables (tiers-horodateurs notamment), tout en demeurant intégralement responsable du SAE.

Le tiers-archiveur doit impérativement conserver la main sur l’intégralité de l’administration fonctionnelle et technique du SAE, au risque de corrompre ce dernier ou les droits d’accès aux données. Les fonctions les plus sensibles concernent l’accès aux journaux d’évènements (exclusivement accessibles à l’autorité de tiers-archivage [ATA] et à l’autorité de contrôle scientifique et technique [CST], quand elle soit mise en place), la gestion des tâches planifiées et la gestion des volumes de conservation sécurisée, concernant l’administration technique. Le tiers-archiveur doit aussi gérer exclusivement le paramétrage des entités, des services (versants, producteurs, archivistes du client ou contrôleurs), des rôles utilisateurs et des utilisateurs eux-mêmes, afin de garantir une étanchéité à chacun de ces niveaux, mais aussi la constitution des circuits de validation des opérations de transferts entrants, de communications, de restitutions, de transferts sortants et d’élimination, la procédure de destruction (suite à des demandes de restitution, de transferts sortants ou d’élimination) demeurant exclusivement et impérativement de la responsabilité du tiers-archiveur. De facto, le client peut et doit bien entendu faire part de ses exigences, l’autorité de tiers-archivage conservant toutefois une autorité absolue concernant la définition des rôles utilisateurs et des circuits de validation, afin de ne pas mettre à mal la sécurité du SAE, de l’étanchéité et de l’accès aux données, mais aussi d’être garant du bon respect de la réglementation en vigueur, et selon les contextes privés ou publics, l’autorité de contrôle étant susceptible de se retourner directement contre lui, pour manquement aux obligations du tiers-archiveur et pour corruption passive du SAE (le fait d’avoir laissé des droits alloués à des utilisateurs qui ne devaient pas se les voir attribués).

La question de l’administration archivistique du SAE est plus négociable, bien que la vigilance soit de mise. L’intégralité des fonctions archivistiques (gel/dégel des archives, modifications des métadonnées de gestion [durées d’utilité administrative [DUA], communicabilité et sort final] et des métadonnées descriptives, ainsi que conversions de formats des fichiers…) devraient être conservées par le tiers-archiveur, en tant qu’opérateur de tiers-archivage et sous le contrôle de son autorité de tiers-archivage. Cela apparaît d’autant plus crucial dès lors qu’aucun archiviste ne soit présent au sein de l’entité cliente. En revanche, la question se pose légitimement lorsqu’un service Archives soit constitué. En ce cas, quelques fonctions archivistiques peuvent être débloquées, notamment pour la modification de métadonnées descriptives, permettant un enrichissement post-versement dans le SAE. Quel que soit le cas de figure, toute opération affectant les données, à l’initiative du client comme du tiers-archiveur (dans le cadre de la veille, pour les conversions de formats), doivent impérativement être validées en amont par le service producteur, autorité juridique de la donnée, et/ou par les Archives du client. Nulle action ne saurait être menée hors de ce cadre et sans information du client.

Crédit: Antony Belin

La question de la gouvernance du SAE est donc primordiale dès lors que des tiers de confiance interviennent et, puisque s’agissant de confiance, l’agrément de ces tiers par des Autorités de contrôle (le Service interministériel des Archives de France [SIAF] par exemple) et/ou par des Autorités de certification (l’Agence française de normalisation [AFNor]…), dans le cadre principalement de la NF 461 et de son pendant international l’ISO 14 641, devient un atout majeur tant pour la reconnaissance de ces prestataires que pour la confiance du client.

Toutefois, pour que ces agréments (SIAF) ou que ces certifications (NF 461 / ISO 14641) conservent toute leur pertinence, il serait souhaitable qu’auditeurs des organismes certificateurs, par trop habitués aux outils de gestion électronique de documents (GED) – dont on ne redira jamais assez que leur logique de fonctionnement diffère par trop des SAE tout en leur assurant une complémentarité souhaitée et souhaitable – et experts en archivage électronique des autorités de contrôle archivistique (ou mandatés par ces dernières) auditent de conserve les SAE (infrastructure + solution logicielle + service), afin de coller au plus près de la pratique archivistique, a fortiori dans le cadre publique, souvent plus exigeant que la pratique privée, ce dont il n’y ait pas lieu de se plaindre. La complémentarité entre organismes certificateurs, Autorité archivistique et Autorité de protection des données à caractère personnel (DCP) dans le processus d’audit pourrait peut-être déboucher sur une certification unique, par un label de base (à vocation d’archivage uniquement privé) et par un label renforcé (à vocation d’archivage privé comme publique), les coûts et les moyens d’audits s’en trouvant ainsi mutualisés…

***

Pour découvrir ou revisiter la série complète qui précède ce texte:
https://archivistesqc.wordpress.com/page/3/?s=D%C3%A9matique+et+SAE+&submit=Recherche

Répondre

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion /  Changer )

Photo Google

Vous commentez à l'aide de votre compte Google. Déconnexion /  Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion /  Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion /  Changer )

Connexion à %s