Conserver l’information numérique des entreprises équivaut en synthèse à se prémunir contre les risques, en particulier contre le risque de non disponibilité des archives. Mais quelle est la place du coffre-fort numérique dans cet enjeu ? Ce concept, à la fois porteur et flou, a donné naissance à une pluralité d’offres hétérogènes. Au-delà des fonctionnalités liées à la valeur probatoire et aux enjeux de confidentialité des données archivées, les entreprises doivent prendre en compte d’autres critères (pérennité financière, destruction des archives…) et inscrire le coffre-fort numérique au sein d’un système d’archivage électronique aux objectifs plus vastes.
Un concept porteur mais une offre hétérogène
Le coffre-fort numérique est avant tout un concept porteur. Dans l’esprit de tous, c’est la transposition du coffre-fort physique à l’information numérique. La définition générique proposée par FedISA est « un espace virtuel de stockage et de conservation sécurisé et réputé inviolable permettant de restituer ce qui y a été déposé sans altération. »
Mais concrètement, le concept de « coffre-fort électronique » laisse une large part à l’interprétation. A titre d’illustration, l’on peut noter la différence d’interprétation faite par la CNIL et l’AFNOR au sujet du « coffre-fort numérique » (CFN). En effet, la CNIL se positionne sur les coffres forts dédiés à une personne physique alors que l’AFNOR, via la norme NF 42-020, définit la couverture du CFN pour la conservation des documents numériques stratégiques des entreprises.
Tous les acteurs du monde informatique s’engouffrent dans la brèche, ce qui amène une offre très hétérogène sur le marché : solution logiciel, service en mode SaaS, système physique type WORM-logique… A cela s’ajoute un niveau de qualité logiciel très variable allant d’un système très sécurisé à un système très ouvert, centré sur la confidentialité, un autre sur l’intégrité/la pérennité.
Dans ce contexte, comment et pourquoi mettre en œuvre un coffre-fort numérique ?
Un outil de gestion des risques
C’est la gestion du risque, plus exactement le besoin de se prémunir contre le risque d’indisponibilité des archives, qui justifie dans la majorité des cas la mise en place d’un coffre-fort numérique et non le besoin de dégager du ROI.
Pour cela, le coffre-fort doit assurer l’intégrité et la pérennité des archives, mais également la sécurité et la confidentialité. Ces objectifs sont d’autant plus complexes à atteindre qu’il est souvent délicat d’obtenir le meilleur compromis entre options de sécurité (lisibilité et réversibilité des archives) et exigences de confidentialité (cryptage des archives, accès complexes), notamment pour les archives les plus sensibles. Il existe ainsi une opposition entre la nécessité d’empêcher tout accès aux archives par des intrusions directes via les composants d’infrastructure (ex : base de données) par les acteurs internes ou externes comme le DBA, et la nécessité de disposer d’un système ouvert, pérenne, totalement réversible.
Néanmoins, une ligne de compromis existe pour chaque projet, permettant de répondre à ces enjeux.
Mais un outil avec des limites
Paradoxalement, le coffre-fort numérique porte intrinsèquement un risque lié à son périmètre restreint de couverture. En effet, le coffre-fort s’est imposé comme un espace applicatif sécurisé permettant d’assurer l’intégrité et la pérennité des archives. Or, ces caractéristiques sont insuffisantes pour permettre une parfaite intégration de ces outils au sein des entreprises. A titre d’exemple, une fonction de base comme la recherche ou le dépôt, déterminante pour tout utilisateur, est souvent proposée de manière extrêmement sommaire au sein des solutions de coffre-fort. Face à ce constat, les entreprises complètent leur coffre-fort de briques fonctionnelles additionnelles complexifiant la chaîne de liaison entre l’archive et l’utilisateur et générant, de ce fait, du risque (par exemple : l’usurpation de session).
Autre aspect déterminant, le coffre-fort n’intègre pas conceptuellement de référentiel d’archivage. Or, cette fonctionnalité est primordiale pour toute approche d’archivage au sein d’une entreprise.
Un composant du système d’archivage électronique
Quelle est donc la place du coffre-fort et comment peut-il rendre service aux entreprises ?
Pour y répondre appuyons-nous sur le constat fait par l’AFNOR qui positionne le CFN comme un composant qui, de ce fait, ne peut pas être considéré comme un système autonome. Dans ce cadre, le coffre-fort s’inscrit naturellement comme une brique intégrée à un système d’archivage global (SAE) idéalement conforme à la norme NF Z42-013 et au cadre de certification de la marque NF 461.
Cette approche permet de centraliser en un système unique l’ensemble des problématiques d’archivage rencontrées (papier, électronique, valeur probatoire, archivage de masse…). L’entreprise dispose alors d’une solution sécurisée permettant d’appliquer aisément la politique d’archivage en vigueur.
========
Noureddine Lamriri, chef de produit chez Ever Team