Parler d’archivage électronique revient souvent à expliquer que la conservation des données numériques sur le long terme est impensable sans une politique de sécurité. Soit! Mais qu’est-ce que la sécurité? Le terme « sécurité » fait partie du langage de tous les jours, il s’agit d’un mot que nous avons tellement l’habitude d’entendre et d’utiliser que nous ne pensons plus à nous interroger sur sa signification et à questionner les réalités qu’il recouvre. Quelle est donc la signification de ce mot en général et dans le cadre d’un projet d’archivage électronique en particulier?
1. La sécurité? Késako?
Selon Wikipédia (oui je cite Wikipédia et alors?), la sécurité est l’état d’esprit d’une personne qui se sent tranquille et confiante. C’est le sentiment d’être à l’abri de tout danger et risque. Les synonymes de sécurité sont fiabilité, confiance, tranquillité, sérénité, quiétude, assurance, sûreté. Mmm, la sécurité est un « état d’esprit », un « sentiment »? Ah mais quel est le rapport avec l’archivage électronique? Eh bien il y a plus de sens dans cette phrase qu’on ne le pense. Mais avant de commenter cette définition je poursuis ma tentative de définir « sécurité ».
Quel est le sens de « sécurité » par rapport à un système d’information? La norme ISO 12 207 définit la sécurité comme la protection de l’information et des données afin qu’elles ne puissent être lues ou modifiées par des personnes ou des systèmes non autorisés alors que l’accès n’est pas refusé aux personnes ou systèmes habilités. Dans cette définition la sécurité est liée à la protection de l’information par la gestion des accès. On peut encore ajouter que la sécurité consiste à préserver un système d’information, ses programmes et ses données avec la mise en place de mesures contre le vol, la perte, la destruction, les dommages physiques. Il y a donc une dimension matérielle -physique- à prendre en compte aussi.
Je constate enfin que la protection d’un système concerne à la fois les menaces intentionnelles et les mesures prises en cas d’accidents provoqués par un être humain ou bien par une catastrophe naturelle, pour prévenir le danger ou bien pour limiter les conséquences d’un événement dommageable. On distingue ainsi la sécurité passive (la prévention) de la sécurité active (pour intervenir a posteriori en cas de sinistre). Il y a donc une gestion des risques qui est liée à la sécurité.
Donc, si on essaye de résumer, la sécurité est un état d’esprit d’une personne qui se sent confiante, le sentiment d’être à l’abri de tout risque. Dans le contexte précis d’un système d’information la sécurité est un ensemble d’actions en amont et en aval visant à gérer les risques qui pourraient altérer le fonctionnement du système et engendrer la perte des données. Cela concerne surtout la gestion des accès (y compris la protection contre l’accès non autorisé d’un humain ou d’une machine). Comme me l’a fait remarquer @nicoPMlegrand « le principe de base est contraire à celui des êtres humains : on interdit tout par défaut et on autorise au cas par cas ». On prend aussi des mesures pour garantir l’accès aux données en cas de problèmes liés à des action intentionnelles et non-intentionnelles.
Cette définition me paraît pertinente mais elle est incomplète si on l’applique à un système d’archivage électronique. Elle me fournit néanmoins un cadre qui va me permettre d’élargir le périmètre de la sécurité.
2. Qu’es-ce que la sécurité dans un SAE?
Je suis les conseils de @nicoPMLegrand, et je me pose donc d’abord la question suivante: qu’est-ce qu’on protège? On protège un système informatique, la sécurité devrait donc se traduire par tout ce que je viens de citer ci-dessus. Mais on protège aussi un certain type d’information. Si on protège des documents numériques natifs qui ont été signés électroniquement, on sait d’après la loi n° 2000-230 du 13 mars 2000 qu’un document ne pourra être retenu comme preuve par un juge que s’il a été crée et conservé dans des conditions qui garantissent son intégrité [1]. On s’aperçoit donc que la sécurité du système est essentielle à l’intégrité des données. Le SAE aura donc des fonctions pour garantir la sécurité et l’intégrité: calcul de l’empreinte, horodatage, scellement. On se rend compte ainsi que la sécurité est nécessaire pour constituer une preuve de la preuve.
La sécurité d’un SAE concerne donc la sécurité du système informatique par le contrôle de l’accès, la sécurité physique du matériel informatique, la sécurité des données pour garantir leur intégrité. A cela s’ajoutent d’autres mesures de sécurité comme la duplication des données conservées sur deux serveurs implantés sur deux sites distants. L’ensemble de ces mesures servira à garantir une sécurité juridique.
Mais je rappelle que le document n’a de valeur que s’il a été créé et conservé dans des conditions qui garantissent son intégrité, n’oublions pas la question de la création des documents! Quand on travaille à la mise en place d’une politique d’archivage électronique, on sait qu’il s’agit d’une politique globale, transversale et qu’elle commence avec la production des documents. L’archivage électronique est un processus par conséquent la sécurité est aussi un processus! Une politique de sécurité doit être élaborée en tenant compte de chaque étape de la création des documents à leur transfert dans un SAE et même au-delà puisqu’il faut garantir aussi les migrations de format. Elle permettra de créer un cadre de confiance et c’est là qu’on retrouve la fiabilité, la tranquillité, la sérénité, la quiétude …
LFH
P.S Personnellement, je recherche la sérénité depuis que j’ai commencé à construire un projet d’archivage électronique … euh, je ne l’ai pas encore trouvée! 😀
[1] Je rappelle que l’intégrité revient à garantir qu’un document n’a subi aucun ajout ni modification d’une part et à garantir la traçabilité de toutes les interventions qui ont pu avoir lieu sur un document d’autre part.
Archives Online 
Votre commentaire