Coffre fort & archivage électronique : beaucoup de similarités et une différence structurelle
En écrivant le livre blanc sur l’archivage documentaire dématérialisé ( « Archivage documentaire : enjeux de la dématérialisation, papier contre bits »), il nous est arrivé de croiser à Octo des collègues travaillant sur des projets de coffre fort électronique. Eux se moquaient volontiers, car l’archivage traîne, il faut bien le dire, une image poussiéreuse (faussement, voir notre livre blanc) tandis que le coffre fort électronique en pleine émergence est plutôt très tendance. Acceptant tout de même de me parler, nous avons échangé. Nous nous sommes alors vite aperçus que leurs problématiques et leurs enjeux étaient très similaires aux nôtres.
Toutefois en y regardant d’un peu plus près, il existe une différence plus structurelle entre ces deux mondes: l’archivage électronique est une fonction qui est portée par un service ou un tiers archiveur conforme la plupart du temps à des normes telles que l’AFNOR NF Z 42-013 (pour les archiveurs de documents électroniques). Dans le cas du coffre fort électronique le marché est émergent et il n’existe pas de normes officielles certifiant un hébergeur. La commission de normalisation 171 de l'AFNOR (CN171) travaillant depuis fin 2009 au sein d’un groupe de travail "Coffre-fort-Numérique", devrait aboutir courant 2011.
Par conséquent, les contours plus flous des responsabilités d’un hébergeur de coffre fort impliquent de la part de l’utilisateur (par exemple un client) une plus grande vigilance par rapport aux services que lui apportent effectivement cet hébergeur. Ainsi de manière complètement implicite, les responsabilités entre les utilisateurs et le tiers hébergeur sont partagées.
Nous allons donc ici nous attacher à définir les enjeux du coffre fort électronique en répartissant les responsabilités entre l’utilisateur et l’hébergeur. Nous vous donnerons des recommandations par rapport à ces enjeux.
Enfin, du fait de la similarité, entre l’archivage et le coffre fort électronique, nous vous suggérons de vous référer aux chapitres équivalents de notre livre blanc « Archivage documentaire : enjeux de la dématérialisation, papier contre bits ».
Responsabilités du tiers hébergeur
Tout d’abord voyons ce qui relève de la responsabilité de l’hébergeur du service de coffre fort.
Sécurité
- Confidentialité : S'assurer que l'information n'est seulement accessible qu'à ceux dont l'accès est autorisé. L’hébergeur doit sécuriser l’accès au coffre fort, c’est une évidence. Au delà d’un accès par mot de passe ou d’une possible authentification forte, il doit aussi chiffrer le contenu et en partager l’accès avec l’utilisateur (client). Il le fera via l’usage de clés asymétriques par exemple. Il sécurise ainsi la relation bilatérale entre lui et le client. Pour faire une comparaison avec le monde physique, cette sécurité peut être assimilée à l’accès à la salle des coffres de sa banque. Plus tard quand nous aborderons le chiffrement des données par le client seul, la clé de chiffrement du client sera assimilable à la clé physique qui lui est remis par la banque pour accéder à son coffre à proprement parlé.
- Intégrité des documents ; Authenticité, non répudiation : Consultez notre livre blanc et leurs chapitres associés sur ces thèmes
Réglementaire
- Justice : Rendre accessible et saisissable un contenu de coffre fort par un juge qui en ferait la demande dans le cadre d'une procédure légale. L’hébergeur doit être capable de saisir de manière discriminante les contenus. Impossible pour lui de saisir un serveur dans son intégralité s’il contient les données d’autres personnes. Il doit donc en récupérer des copies (attention à la valeur juridique, il faudra trouver un équivalent des copies conformes) et bloquer l’accès ultérieur au coffre pour en garantir l’intégrité pendant la durée de la procédure, on peut donc imaginer une pose de scellés informatiques sur le contenu.
Traçabilité
Le client doit savoir si son coffre a été ouvert (descellé). L’accès au coffre (hébergeur compris) doit donc être notifié de manière implicite ou explicite au client sur la base de mécanisme irréversible ou bien unique qui implique qu’à chaque accès le client sait (ou déduit) s’il y a eu un accès depuis sa précédente connexion.
Antériorité
Il s’agit de permettre de dire avec certitude qu'un document est antérieur ou postérieur à un autre. Déterminer la date exacte de dépôt d'un document. C’est un service à notre avis optionnel dans le cas du coffre fort électronique à moins que l’on ait le besoin de gérer un versionning de ses documents.
Destruction
A supposer que le client décide de détruire ses documents numériques, l’hébergeur qui a mis en place des redondances des données afin d’en garantir une intégrité et une disponibilité sur le long terme devra ce moment venu tout faire pour ne pas laisser de traces collatérales (copies oubliées sur un serveur) lors de la suppression numérique des documents du client.
Les aléas que les hébergeurs ne prendront pas en responsabilité
Prenons en exemple un extrait des conditions générales d’un hébergeur, elles sont suffisamment explicites : « l’hébergeur, ne saurait être tenue pour responsable de la défectuosité … des lignes téléphoniques, du matériel et des logiciels utilisés permettant d’accéder au coffre fort numérique ni en cas de force majeure ou assimilé (grève de l’opérateur, défaut de fourniture de courant électrique…), ni, enfin, des risques liés aux caractéristiques du média internet …, risques que le souscripteur déclare accepter. » En particulier, l’hébergeur ne pourra être tenu pour responsable en cas d’attaques du type man in the middle . Ce qui signifie que l’accès au coffre est sécurisé mais jusqu’à un certain point ;-)
Vigilance / responsabilité de l’utilisateur
Ensuite, voyons ce qui relève de la vigilance voire de la responsabilité de l’utilisateur (tel qu’un client ) du service de coffre fort.
Sécurité & Confidentialité
Le client lui-même peut être amené à chiffrer ses données en plus du chiffrement par l’hébergeur. Le chiffrement peut s’opérer soit par une cryptographie symétrique ou alors si on souhaite partager le contenu avec d’autres tiers on utilise un mécanisme de chiffrement asymétrique. La politique de gestion pour cette clé :
Soit, elle est de la responsabilité du client seul et s’il la perd, c’est tant pis pour lui.
Soit par une offre de service de la part de l’hébergeur : ce dernier délivre une clé avec un niveau de cryptage dont il (ou mieux un tiers habilité) possède les infrastructures capables de la craquer. Ce service serait alors activable uniquement dans un cadre légal (saisie d’un contenu de coffre fort par un juge, après un décès du propriétaire du coffre) ou bien dans le cas où le client perdrait sa clé. Le service serait alors à la fois suffisamment couteux et contraignant pour le client (déplacement physique chez un tiers afin de s’assurer que le client est bien celui qu’il prétend être) afin d’en garantir un usage exceptionnel et sécurisé. On se rapproche ici du mode de fonctionnement dans le monde physique lorsque l’utilisateur perd la clé de son coffre : en cas de perte ou sur procédure légale seul le constructeur du coffre est habilité à venir l’ouvrir.
Soit par une autre offre de service de la part de l’hébergeur : un séquestre des clés chez un tiers habilité. L’usage se ferait sur la même base de contraintes juridiques et de processus que le point précédent.
Note : d’un point de vue légal (procédure légale), l’hébergeur doit être en mesure de fournir le contenu d’un coffre fort. Si lui seul a chiffré le contenu il est en mesure de le faire. Toutefois, à notre connaissance (pas de restriction légale), le client peut s’il le souhaite chiffrer son contenu sans s’appuyer sur un service offert par l’hébergeur. La justice saisira alors le contenu chiffré par le client, à sa charge de le déchiffrer.
Pérennité des formats
L’utilisateur doit s’assurer qu’au fil du temps qu’il est à même de lire, retranscrire les formats des documents hébergés notamment s’il souhaite les conserver longtemps (> 5 ans). Ainsi sur le long terme il s’appuie sur des formats de stockage les plus ouverts possibles afin de pouvoir se les réapproprier le plus simplement possible. Si en plus, il souhaite les modifier, il s’assure de cette faisabilité régulièrement. D’une manière générale, il pourrait être amené notamment à les transférer vers d’autres formats plus actuels par exemple. D’où l’intérêt de s’appuyer sur des formats soit standards et ouverts, de régulièrement s’assurer que les documents restent lisibles et potentiellement modifiables avec les technologies du moment et enfin de vérifier qu’ils restent transférables d’un ancien format vers un nouveau.
Valeur juridique
Si cet aspect est indispensable, il faut s’assurer que les documents hébergés ont sous leur forme électronique une valeur juridique reconnue et plus particulièrement s’il s’agit de copies numériques (scan de format papier ou véritable copies numérique de documents). Veillez notamment à ne pas détruire les documents papier originaux sans un minimum de précaution d’autant plus si l’on souhaite les modifier plus tard.
Pérennité du tiers
Contrairement à l’archivage électronique documentaire, il n’existe pas de normes officielles certifiant un hébergeur de coffre fort électronique. En revanche il existe des hébergeurs comme CDC Arkhinéo, (Tiers de Confiance Archiveur, filiale de la Caisse des Dépôts) qui offre des services de coffre fort électronique en conformité à la norme NFZ 42-013 (norme AFNOR pour l’archivage électronique). Cette démarche devance et prépare à la certification par l’AFNOR, en cours de spécification. Si la garantie d’un hébergeur de qualité est primordiale et en attendant la certification spécifique au coffre fort électronique, il est souhaitable de se diriger vers ce type de prestataires (http://www.marque-nf.com/download/produits/FR/NF342.pdf).
Destruction
Le client seul est évidemment responsable du déclenchement de cette activité.
Conclusion
En attendant que l’AFNOR établisse sa norme relative au coffre fort électronique, il vaut mieux considérer les offres actuelles comme des espaces d’archivage sécurisés. Archivage car le coffre fort électronique a de nombreuses fonctionnalités identiques avec l’archivage électronique. L’aspect sécuritaire est en partie couvert mais certains aspects comme la sécurisation du canal internet ne sont clairement pas couvert par les prestataires. L’accès au coffre est sécurisé mais jusqu’à un certain point ;-) D’autres services réglementés autour du chiffrement des données par l’utilisateur pourraient aussi être offerts.
De plus, assurez vous que les documents hébergés ont sous leur forme électronique une valeur juridique reconnue et plus particulièrement s’il s’agit de copies numériques.
Par ailleurs, sur le long terme et contrairement au papier, il faut prendre garde à la gestion des formats de stockage de vos documents et vous assurez que vous êtes en mesure de les lire ou de les transférer vers d’autres formats plus actuels.
Enfin, sur le long terme le client et l’hébergeur doivent s’assurer par des audits réguliers que les solutions de chiffrement (longueurs des clés utilisées, les algorithmes utilisés, …) sont toujours résistants aux technologies du moment. Le cas échéant des upgrades de ses solutions doivent être envisagées : l’hébergeur pourrait par exemple rajouter sur le modèle des poupées russes, un nouveau chiffrement encapsulant les précédents sur la base des standards les plus performants du moment. Cette méthode lui permet entre autre de ne pas toucher au contenu précédemment chiffré et en particulier d’en garantir l’intégrité. Pour donner une image dans le monde physique, tout se passe comme si l’hébergeur ne pouvant garantir la sécurité d’un coffre fort, parce que la clé est facilement imitable décide de le placer dans un coffre fort plus résistant. Il renouvelle ensuite l’opération à chaque fois que nécessaire en plaçant le coffre fort précédent dans un nouveau plus robuste.