Auditer un système d’archivage électronique: pourquoi faire?

Auditer un SAE? Pour quoi faire? Cette question peut paraître quelque peu farfelue, mais elle découle d’un travail que j’ai réalisé il y a quelques semaines pour un service d’archives publiques. Depuis la fin de l’audit, je ne cesse de m’interroger sur la légitimité de cette entreprise…

Auditer : quel sens ?

Le verbe « auditer » signifie « soumettre à un audit ». Un audit est « une procédure de contrôle de la comptabilité et de la gestion d’une entreprise, d’une administration » [1]. Pour le service d’archives,  il s’agirait donc de contrôler la gestion du SAE. Il est vrai que ce n’est pas forcément très clair, mais en adaptant cette démarche à un service public, il s’agirait de vérifier l’efficience du SAE, de s’assurer que ce dernier respecte scrupuleusement les normes nationales et internationales en matière d’archivage électronique.

Un vaste programme non applicable pour les SAE

Comment procéder pour évaluer cette efficience ? Prendre les normes et les comparer à l’outil audité ? Très vite, l’entreprise apparaît compliquée. Il n’est possible d’évaluer l’outil que pour le périmètre fonctionnel qu’il recouvre. En effet, à moins d’avoir pris MoReq2 et d’avoir créé un outil « MoReq2 », un SAE ne respectera jamais toutes les fonctionnalités décrites dans les normes. Chaque norme d’archivage répond à des problématiques spécifiques, de la même manière qu’un outil d’archivage électronique répond aux problématiques propres à l’institution pour laquelle il a été conçu. Cette « procédure de contrôle » ne peut donc pas être appliquée telle quelle dans le cadre d’un SAE. Alors l’audit aurait-il une autre signification lorsqu’il concerne un SAE ?

Un autre sens à donner à l’audit des SAE ?

Finalement, faudrait-il redéfinir la procédure d’audit ? Plus qu’une procédure de contrôle, l’audit apparaît comme un élément essentiel d’évaluation d’un SAE pour pouvoir l’améliorer. Il permet de mettre en place un certain nombre de recommandations et de s’assurer qu’il respecte la « philosophie » des normes, plus que toutes leurs exigences. Ces normes sont donc des « guides » pour élaborer un projet d’archivage, et non des règles strictes qu’il faut respecter à tout prix. Auditer un SAE, c’est tout compte fait l’évaluer pour mieux l’améliorer. Malgré tout, il ne faut pas perdre l’idée que dans une société où la sécurité informatique est devenue un enjeu majeur avec la dématérialisation des procédures, l’audit reste un élément indispensable pour tout service développant un SAE. Il est une garantie apportée aux utilisateurs de ce SAE, de même qu’à ses développeurs. Documenter cette procédure de contrôle et communiquer les résultats sont indispensables pour tout service d’archives, afin qu’il puisse démontrer sa capacité à répondre aux enjeux de la dématérialisation, notamment en termes de sécurisation des données archivées.

ML

Ps : Si certains d’entre vous ont déjà mené ce type d’exercice sur d’autres SAE, j’aimerais pouvoir échanger avec vous sur votre vision de l’audit des SAE. Merci par avance !

[1] Larousse pratique. Dictionnaire du français au quotidien, Larousse, 2003, p. 108.

Bookmark and Share

Étiquettes : , ,

7 commentaires sur “Auditer un système d’archivage électronique: pourquoi faire?”

  1. mimi 29 mars 2011 à 19:49 #

    Bonjour tout le monde,
    l’évaluation des archives numériques est un sujet qui m’intéresse beaucoup, malheureusement au Maroc on a un retards enorme à ce niveau là. C’est la raison pourlaquelle je me suis focalisé sur ce sujet et j’ai pris comme thème de recherche l’évaluations de l’archivage des mails administratifs. A travers ce blog je lance un appel pour tous les professsionnels qui ont une connaissance ou bien ceux qui possèdent des information sur ce sujet de m’aider à collecter les informations necessaire pour mener à bien ce travail. Merci d’avance.

  2. Jamel 14 décembre 2010 à 11:44 #

    Bonjour à tous,
    Je suis expert comptable et je m’intéresse beaucoup au SAE. D’ailleurs, je vais suivre le premier master spécialise « Dématérialisation et archivage électronique » à l’école supérieur de mine de Paris dans le but redévelopper un service de certification des SAE.
    Je voudrais donc échanger avec des personnes comme vous qui s’intéressent à ce sujet et pourquoi pas de collaborer ensemble dans le future.
    Vous pouvez m’écrire à cet adresse ( jchteoui@free.fr) et je me ferai un plaisir de vous répondre.

  3. regarddejanus 25 octobre 2010 à 19:24 #

    Bonjour,

    La pratique des audits dans les archives n’est effectivement pas dans les habitudes. Les rares cas dont j’ai eu connaissance en dehors des archives numériques, ce concentraient effectivement sur l’un des aspect de la conservation (sécurité des bâtiments, mise en place d’une évaluation de l’état physique des fonds, politique d’acquisition des fonds privé, etc.)

    En ce qui concerne les documents numériques, nos collègues anglo-saxons ont fait quelques tentatives,parfois volumineuses, dont je vous livre les sources ci-dessous et dont le plus abouti ets le programme DRAMBORA.

    Enfin, la seule tentative de théoriser cela en français est une communication sur la gestion des risques faite par Emmanuelle Bermes au groupe PIN (voir le lien ci-dessous).

    Bonnes lectures.

    Trustworthy Repositories Audit & Certification (TRAC)
    http://www.crl.edu/sites/default/files/attachments/pages/trac_0.pdf

    Check-list développée à partir de travaux réalisés par les programmes OCLC / RLG et un groupe de travail à l’initiative de la National Archives and Records Administration (NARA)
    La check-list de TRAC est un outil d’audit pour évaluer la fiabilité, l’engagement et la volonté des institutions à assumer des responsabilités de préservation à long terme. Actuellement, le référentiel est géré par les soins du Center for Research Library’s (CRL) qui l’utilise dans plusieurs projets indépendants. L’objectif final vise à développer un processus d’audit et de certification complet pour les archives numériques.

    Digital Repository Audit Method Based on Risk Assessment (DRAMBORA) http://www.repositoryaudit.eu/

    Le Digital Conservation Centre (DCC) et DigitalPreservationEurope (DPE) sont heureux d’annoncer la sortie de la boîte à outils méthode numérique référentiel d’audit fondé sur l’évaluation des risques (DRAMBORA). Cette boîte à outils est destinée à faciliter l’audit interne en fournissant aux administrateurs de dépôts numériques un référentiel avec un moyen d’évaluer leurs capacités, identifier leurs faiblesses, et de reconnaître leurs points forts. Les dépôts numériques sont encore à leurs balbutiements et ce modèle est conçu pour être adapté au paysage en évolution rapide. L’élaboration de l’instrument suit une période concentrée de vérifications de référentiels pilotes entrepris par le DCC, conduites par un large éventail d’organisations, y compris les bibliothèques nationales, les centres de données scientifiques et des archives de données culturelles et du patrimoniales.

    Catalogue of Criteria for Trusted Digital Repositories. Version 1 Draft for Public Comment (48 p., 1,11 Mo)
    http://files.d-nb.de/nestor/materialien/nestor_mat_08-eng.pdf

    Ce document préparé par le Groupe de travail NESTOR (« Network of Expertise in Long-Term Storage of Digital Resources ») sur la certification des dépôts numériques (Trusted Digital Repositories Certification) définit les critères qui facilitent l’évaluation de la fiabilité des dépôts numériques aux niveaux organisationnel et technique. Il est conçu comme une étape vers la certification dépôt dans un processus normalisé national et international.

    Une nouvelle version en allemand a été publiée en Novembre 2008 (Version 2, 61 p. 2,56 Mo) sous le titre nestor-Kriterien, vertrauenswürdige Kriterienkatalog digitale Langzeitarchive, Version 2 2008, suivie par une version en langue anglaise en Novembre 2009 (59 p., 2,94 Mo).

    Voir également les autres publications en anglais de NESTOR :
    Catalogue of criteria for assessing the trustworthiness of PI systems
    Draft for public comment
    http://files.d-nb.de/nestor/materialien/nestor_mat_13_en.pdf

    Into the Archive
    A guide for the information transfer to a digital repository
    Draft for public comment
    http://files.d-nb.de/nestor/materialien/nestor_mat_10_en.pdf

    LA GESTION DES RISQUES POUR LA CONSERVATION DES DOCUMENTS NUMERIQUES

    Présentation de Emmanuelle Bermès (BnF). http://www.aristote.asso.fr/PIN/presentations/2007/bnf_gestion_des_risques.pdf

    Méthodologie de gestion des risques : démarche complémentaire de l’OAIS. C’est une des manières permettant de mettre en place la planification de la préservation. Cette approche est en relation avec la certification des archives (audit de l’archive en fonction de la méthodologie de gestion des risques).

  4. louvezo nkenda synthia 24 octobre 2010 à 11:50 #

    salut,
    je n’ai vraiment pas de contribution à apporter par rapport au SAE. j’apprends beaucoup de choses avec vos intervention. je suis une archiviste qui commence à peine sa carrière. grace à vous je compte me rendre plus utile dans cette branche de métier qui est mal connu dans la sous région. je souhaite recevoir des informations sur la gestion d’un service d’archives d’une institution de sécurité sociale.

  5. JP 23 octobre 2010 à 11:08 #

    La question que vous posez est la suivante : par rapport à quel(s) référentiel(s) doit-on auditer le SAE ?
    Si on parle bien d’un audit de conformité, il ne peut pas être réalisé par rapport à toutes les normes existantes car :
    – Ce sont des recommandations qui n’ont pas valeur de loi, contrairement à la législation en matière de finances par exemple, références indiscutables pour un audit financier.
    – elles sont rarement applicables en totalité car elles sont volontairement exhaustives. Elles doivent être utilisés lors de la mise en place d’une politique d’archivage électronique spécifique à la collectivité.

    Le référentiel de cet audit me semble donc devoir être la politique d’archivage mise en place dans la structure.
    La politique d’archivage électronique décrit de manière exhaustive le fonctionnement du SAE (composantes techniques, procédures, …) qui est mis en place au sein de la structure.
    En cas de contrôle ou de contentieux, … elle permettra de prouver que les documents archivés sont fiables. Mais documenter le fonctionnement du SAE ne suffit pas car rien ne prouve que les procédures sont respectées.
    Le ou les audits de conformité réalisé(s) est/sont autant de preuves supplémentaires de l’authenticité des documents archivés car il(s) prouve(nt) que la politique mise en place est bien appliquée. La référence de l’audit me semble donc devoir être le texte adopté par la collectivité.

    S’il est question d’audit type « qualité », dont l’objectif est de d’identifier les points forts et faibles du SAE afin d’améliorer l’efficacité du système ou la sécurité juridique par exemple, on utilisera toute la littérature et les exemples à sa disposition mais sans chercher à les copier. Le résultat de cet audit sera une politique d’archivage électronique modifiée, enrichie par les éléments des normes, … applicables à la structure. Et le nouveau SAE fera l’objet d’audits de conformité réguliers, et ainsi de suite.

    • archivesonline 26 octobre 2010 à 10:20 #

      Cher JP,

      Il est évident que du choix des normes à auditer découle le type d’audit mené. Dans le cas que je décris (je me base sur mon expérience propre pour un service d’archives publiques), le référentiel mis en place a permis de décrire précisément la politique d’archivage électronique (et donc le fonctionnement du SAE). En cas de contrôle, ce document permettra à la collectivité de prouver que les documents archivés sont intègres. Pourtant, lors de la mise en place de cet audit, l’audit est apparu pour les développeurs de l’outil comme un moyen d’améliorer l’efficacité du système en listant les points forts et les points faibles du SAE (ce que vous appelez audit «qualité »). Je suis convaincue que l’audit « qualité » ne peut être mené sans audit « conformité ». Les deux sont interdépendants, et peuvent être menés en parallèle avec des outils d’évaluation identiques. L’audit dit « conformité » liste les exigences de la collectivité en matière d’archivage électronique. L’audit dit « qualité » s’assure grâce au respect des normes choisies à chaque étape du développement du SAE (nouvelles versions), et ce, de manière régulière et planifiée.

      ML

  6. vanessa 22 octobre 2010 à 11:34 #

    oui, c’est vrai, tout dépend de la finalité de l’audit et de la raison d’être du SAE.

    Si le but du SAE est de garantir la valeur juridique des docs qu’il conserve, alors ce sont moins les exigences de Moreq2 que le SAE devra couvrir que celles définies dans le cadre de la preuve électronique, qui seront précisées par la jurisprudence (cf l’arrêt de la Cour de Cassation du 4 décembre 2008 sur l’affaire CPAM Marne) et pourront être en partie celles présentes dans Moreq mais éventuellement autres.

    Si le but de l’audit est la sécurité informatique, ce sera en fonction de l’étude EBIOS qu’il faudra se positionner etc. etc.

    Après tout, c’est exactement la même chose pour l’audit d’un bâtiment d’archives par ex, selon que l’audit porte sur la sécurité, la sûreté ou les conditions de conservation…

    Reste à l’archiviste de bien analyser les besoins et les contraintes, voir jusqu’où le compromis peut aller, lors de l’élaboration de son SAE, comme il le fait quand il entame un projet de bâtiment. Et là effectivement, l’audit lui permet d’améliorer son projet.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

%d blogueurs aiment cette page :