La conférence sur le thème « Preuve et sécurité », présidé par Laurent Ducol débute avec une intervention de Jean-Daniel Zeller sur « cloud computing : défi ou opportunité pour les archives ? ».
La représentation du cloud computing prend la forme d’une pyramide inversée car lorsque l’on regarde les usages réels, on s’aperçoit qu’on n’achète pas les services tels quels. Il faut faire la différence entre le nuage public qui représente une offre que l’on fait commercialement, et le nuage privé qui est un nuage privatif préconisé pour les institutions publiques. Les nuages communautaires et hybrides sont des composantes.
50% d’usage du cloud est utilisé pour les publicités, les communications, on oublie donc ici l’archivage. En revanche, 28% est utilisé pour le business et on peut penser à l’archivage dans cette catégorie.
Les garanties sont la fiabilité, la continuité, la migration et la protection des données. Pour cette dernière, compte tenu de l’usage potentiel, les données personnelles ne sont pas protégées. Il est exclu de mettre des informations personnelles dans le nuage public. Il faut tenir compte des recommandations de la CNIL. Les alternatives sont les nuages privés nationales, projet politique de nuage de la confédération suisse ; les offres numergy et cloudwatt, en France et un projet de nuage sécurisé.
Concernant la faisabilité archivistique, l’usage n’est pas à exclure mais les précautions prescrites reviennent à en exclure l’usage.
Les couts et les supports ont constamment baissé ces dernières années. Le matériel qui gère ce support est stable mais le cout des logiciels a considérablement augmenté donc les couts globaux sont constants. Les couts sont intéressants pour 4-5 ans mais pas sur le long terme.
En conclusion, c’est une offre du stockage mais pas de l’archivage. Se pose la difficulté de transfert d’un prestataire à un autre. Les données restent exposées à des pertes ou des ruptures de service. La protection des données personnelles n’est actuellement pas garantie.
La seconde intervention porte sur « La signature électronique et l’archivage à valeur probante : quelles solutions ? » par Philippe Bazin. La question est de savoir pourquoi conserver. Il y a l’archivage patrimonial et l’archivage probatoire. La problématique centrale est donc l’intégrité dans le temps. Il faut pouvoir prouver devant le juge.
Avant la loi du 13 mars 2000, la preuve est papier. Après, la preuve détache l’écrit de son support.
La signature sert à s’identifier et à manifester le consentement. Lorsque la signature est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel on s’attache.
Enfin, concernant la signature électronique sécurisée, la fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat.
Pour continuer, Michel Thomas nous fait une présentation du Référentiel Général de Sécurité. L’objectif est de donner confiance dans les échanges numériques : renforcer et encadrer la sécurité des échanges électroniques entre les usagers et les autorités administratives, ainsi qu’entre les autorités administratives.
Le RGS s’adresse d’une part aux autorités administratives (ministères, établissements publics, organismes de sécurité sociale, collectivités locales, etc.) et d’autre part aux professionnels qui les assistent dans la sécurisation de leurs systèmes (éditeurs de produits de sécurité, autorités de certification, etc.)
Le RGS explique ce qu’il faut faire pour atteindre le niveau de sécurité voulu. Il doit évoluer vers le RGS 2.0. Il doit permettre de qualifier des auditeurs.
Pour terminer cette conférence, Laurent Prével nous parle du « Coffre-fort électronique : positionnement de l’offre par rapport au marché ». Le système d’archivage à valeur probatoire a pour but de : Garantir la fiabilité de la capture, y compris lorsqu’il s’agit du papier, identifier les documents, contrôler les droits des utilisateurs et garantir la conservation des documents : pérennité, intégrité, sécurité, traçabilité.
Le SAE est spécifié par la NF Z42-013 en 2009, porté à l’ISO. Il y a trois niveaux : contrôles, procédures, technologies-matériels-logiciels.
Le coffre-fort électronique est une marque déposée. Un composant technique est destiné à conserver des objets numériques, quelle que soit leur nature, en garantissant leur intégrité à court ou long terme. Les fonctions de base sont : déposer, lire, contrôler, détruire, lister, compter. Il doit être intégré dans un système capable de gérer les documents déposés, par exemple un SAE.
Le coffre-fort gère correctement la partie conservation. Il faut pourtant bien s’assurer de ce qu’il y a derrière cette appellation quand on nous en vend un. Il faut toujours regarder les clauses contractuelles.
En cas concrets, on peut citer : la dématérialisation de la facture pour le particulier, la dématérialisation du bulletin de salaire pour le salarié et la dématérialisation des notifications pour le copropriétaire. La notion de gestion de risque est importante.
Enfin, les bénéficiaires de la certification des SAE sont les entités utilisant une solution d’archivage interne et les entités agissant pour le compte de tiers dans une position de prestataire de services.