Coffre fort & archivage électronique : beaucoup de similarités et une différence structurelle

    En écrivant le livre blanc sur l’archivage documentaire dématérialisé ( « Archivage documentaire : enjeux de la dématérialisation, papier contre bits »), il nous est arrivé de croiser à Octo des collègues travaillant sur des projets de coffre fort électronique. Eux se moquaient volontiers, car l’archivage traîne, il faut bien le dire, une image poussiéreuse (faussement, voir notre livre blanc) tandis que le coffre fort électronique en pleine émergence est plutôt très tendance. Acceptant tout de même de me parler, nous avons échangé. Nous nous sommes alors vite aperçus que leurs problématiques et leurs enjeux étaient très similaires aux nôtres.

    Toutefois en y regardant d’un peu plus près, il existe une différence plus structurelle entre ces deux mondes: l’archivage électronique est une fonction qui est portée par un service ou un tiers archiveur conforme la plupart du temps à des normes telles que l’AFNOR NF Z 42-013 (pour les archiveurs de documents électroniques). Dans le cas du coffre fort électronique le marché est émergent et il n’existe pas de normes officielles certifiant un hébergeur. La commission de normalisation 171 de l’AFNOR (CN171) travaillant depuis fin 2009 au sein d’un groupe de travail « Coffre-fort-Numérique », devrait aboutir courant 2011.

    Par conséquent, les contours plus flous des responsabilités d’un hébergeur de coffre fort impliquent de la part de l’utilisateur (par exemple un client) une plus grande vigilance par rapport aux services que lui apportent effectivement cet hébergeur. Ainsi de manière complètement implicite, les responsabilités entre les utilisateurs et le tiers hébergeur sont partagées.

    Nous allons donc ici nous attacher à définir les enjeux du coffre fort électronique en répartissant les responsabilités entre l’utilisateur et l’hébergeur. Nous vous donnerons des recommandations par rapport à ces enjeux.

    Enfin, du fait de la similarité, entre l’archivage et le coffre fort électronique, nous vous suggérons de vous référer aux chapitres équivalents de notre livre blanc « Archivage documentaire : enjeux de la dématérialisation, papier contre bits ».

Responsabilités du tiers hébergeur

Tout d’abord voyons ce qui relève de la responsabilité de l’hébergeur du service de coffre fort.

Sécurité

  • Confidentialité : S’assurer que l’information n’est seulement accessible qu’à ceux dont l’accès est autorisé. L’hébergeur doit sécuriser l’accès au coffre fort, c’est une évidence. Au delà d’un accès par mot de passe ou d’une possible authentification forte, il doit aussi chiffrer le contenu et en partager l’accès avec l’utilisateur (client). Il le fera via l’usage de clés asymétriques par exemple. Il sécurise ainsi la relation bilatérale entre lui et le client. Pour faire une comparaison avec le monde physique, cette sécurité peut être assimilée à l’accès à la salle des coffres de sa banque. Plus tard quand nous aborderons le chiffrement des données par le client seul, la clé de chiffrement du client sera assimilable à la clé physique qui lui est remis par la banque pour accéder à son coffre à proprement parlé.
  • Intégrité des documents ; Authenticité, non répudiation : Consultez notre livre blanc et leurs chapitres associés sur ces thèmes

Réglementaire

  • Justice : Rendre accessible et saisissable un contenu de coffre fort par un juge qui en ferait la demande dans le cadre d’une procédure légale. L’hébergeur doit être capable de saisir de manière discriminante les contenus. Impossible pour lui de saisir un serveur dans son intégralité s’il contient les