Sur le marché de l’archivage électronique, devancer la problématique de la préservation des documents signés et celle d’un mode d’exploitation dédié ou mutualisé du Système d’Archivage Electronique (SAE) apparaissent comme deux tendances majeures pour 2021.
Sommaire
- Assurer la pérennité des documents signés électroniquement
- De l’intérêt de verser les documents signés dans un Système d’Archivage Electronique
- La signature, un argument clé pour investir dans un Système d’Archivage Electronique
- Vers un essor de la Plate-Forme d’Archivage Electronique mutualisée
Depuis le début de la crise sanitaire, la signature papier laisse massivement place à la signature électronique. Celle-ci permet de minimiser les déplacements et le risque potentiel de contamination à la Covid-19.
La demande pour les solutions de signature électronique a même atteint un pic historique, avec des hausses de plus de 200% des souscriptions enregistrées par certains acteurs lors du confinement. Résultat : une accélération sans précédent de la production de documents signés électroniquement.
Cependant, les entreprises et administrations seront-elles en mesure, dans vingt ans, de garantir que telle personne a consenti tel acte électronique ; quand bien même la personne et le système ayant produit la signature n’existent plus ?
La signature électronique permet d’apposer un consentement sur un document. Pour rappel, il existe trois types de signature électronique, définis par la réglementation eIDAS, qui se différencient par leur niveau de sécurité :
- La signature électronique simple, dédiée aux accords à faible niveau de sécurité
- La signature électronique avancée, correspondant à un risque juridique moyen
- La signature électronique qualifiée, qui détient le niveau de sécurité le plus élevé. Un certificat électronique qualifié est ici généré pour identifier de manière fiable le signataire (certificat d’identité produit par une Autorité de Certification qualifiée).
ASSURER LA PÉRENNITÉ DES DOCUMENTS SIGNÉS ÉLECTRONIQUEMENT
Le règlement européen eIDAS a bien qualifié des services de confiance numérique, notamment :
- Le service de production de certificats d’identité numérique
- Les services de signature et de cachet électronique
- Un service de confiance concernant la validation des certificats
- Un service, peu développé à ce jour, relatif à la préservation des signatures qualifiées
Cependant, pour ce dernier service de préservation, le règlement ne s’intéresse pas au document associé à la signature. Archiver séparément la signature et le document s’apparente à un non-sens puisqu’il est nécessaire de disposer du document pour vérifier l’empreinte numérique contenu dans la signature.
Par ailleurs, la technologie de signature la plus répandue intègre la signature dans le document lui-même. Il s’agit des documents PDF signés au format PadES (PDF Advanced Electronic Signatures).
Le document et la signature ne peuvent qu’être conservés ensemble pour, d’une part, vérifier la conformité de la signature, et d’autre part, prouver l’intégrité du document. Il s’agit ici de revenir aux sources du métier de l’archiviste : le sceau à la cire n’est pas dissociable du document et porte l’identité de celui qui l’appose.
Enfin, la question des méthodes techniques pour l’archivage reste floue. Comment qualifier un service d’archivage visant à préserver le document et le contexte de son consentement fait l’objet de débats dans la sphère normative.
DE L’INTÉRÊT DE VERSER LES DOCUMENTS SIGNÉS DANS UN SYSTÈME D’ ARCHIVAGE ELECTRONIQUE
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information), en charge des référentiels de qualification, a tranché pour combler le trou dans la raquette dans le dispositif eIDAS, en proposant deux méthodes :
- L’enrichissement des signatures électroniques (sur-signature) durant la conservation,
- Le versement des documents signés dans un SAE conforme à la norme NF-Z 42 013.
L’enrichissement des signatures électroniques qualifiées consiste à resigner le document en adéquation avec les futures normes de sécurité pour se prémunir de tout risque de falsification.
A titre d’exemple, pour maintenir un fond d’archives de 10 millions de documents, l’enrichissement contraint à rajouter périodiquement une signature complémentaire sur chaque document, ce qui engendre un coût non négligeable.
D’un point de vue juridique, sur-signer des documents semble antinomique, car les nouvelles signatures ne sont pas celles de la personne qui a consenti un acte, mais d’un opérateur technique qui n’a rien consenti du tout. En outre, l’enrichissement signifie qu’un tiers prend la responsabilité de modifier l’objet d’archives incluant la signature.
A contrario, le SAE se substitue à la maintenance cryptographique de l’objet signature ; c’est-à-dire que des traitements de masse peuvent être effectués sans avoir à manipuler les fonds d’archives, ni à modifier l’objet signature.
L’empreinte numérique du paquet contenant le document et son contexte de signature est l’élément de contrôle. Ainsi, une simple comparaison entre l’empreinte numérique du paquet initial et celle recalculée dans dix ans permettra de démontrer que le fichier est bien resté intègre.
De plus, les empreintes numériques sont sécurisées grâce à un dispositif de chaînage des journaux, de type blockchain. La nouvelle norme NF-Z 42 013 2020 vient renforcer la robustesse de la journalisation dans le temps, en imposant un dispositif de recalcul des empreintes selon les normes de sécurité qui seront en vigueur.
Ce recalcul produira autant d’événements journalisés (logs techniques) que de documents. Il s’agit d’un procédé peu coûteux et qui ne modifie en rien les objets archivés.
Cette deuxième orientation présente plus d’avantages que la première.
- Premièrement, elle limite l’impact économique que peut avoir la manipulation de l’objet signature.
- Deuxièmement, elle est respectueuse de la philosophie de l’archiviste qui consiste à ne pas intervenir sur l’objet signature.
Les organisations, et plus particulièrement les métiers qui portent un risque juridique important, doivent ainsi réfléchir à la manière de préserver des documents signés électroniquement à long terme et anticiper la problématique de l’archivage.
LA SIGNATURE, UN ARGUMENT CLÉ POUR INVESTIR DANS UN SYSTÈME D’ ARCHIVAGE ELECTRONIQUE (SAE)
L’archivage des documents numériques passe par la mise en place d’un SAE, notamment pour :
- Assurer la valeur probante (intégrité)
- Garantir la pérennité des informations sur le moyen et long terme (disponibilité) ainsi que le cycle de vie des documents
- Protéger les données personnelles
La préservation des documents signés est un argument complémentaire pour investir dans un SAE et optimiser les coûts et risques induits, en s’affranchissant des techniques d’enrichissement de signatures sur le long terme.
La mise en œuvre d’un SAE est techniquement complexe, car elle requiert des compétences fonctionnelles particulières, celles d’archivistes. Réglementairement, elle nécessite un effort de mise en conformité et de maintien de cette conformité dans le temps.
Il convient ici de privilégier un SAE conforme à la norme NF-Z 42 013, certifié NF 461 et ISO 27001. Ces certifications contribuent à la qualification PSCo à l’ANSSI, du service qualifié de préservation des signatures qualifiées. Selon les secteurs, l’ajout d’agréments métiers au système sera nécessaire, par exemple pour la santé, un agrément relatif à l’hébergement des données de santé.
VERS UN ESSOR DE LA PLATE-FORME D’ ARCHIVAGE ELECTRONIQUE MUTUALISÉE
Reste ensuite à choisir le mode d’exploitation du SAE : soit en mode licence ou en mode SaaS (Software-as-a-Service). Le mode SaaS s’impose lui aussi dans le domaine de l’archivage électronique comme une tendance mondiale.
Le cloud a fait émerger de nouvelles offres SaaS dédiées à l’archivage, appelées Plates-Formes d’Archivage Electronique (PFAE). Elles sont constituées d’un ensemble de composants logiciels, exploités sur des infrastructures virtualisées de type cloud privé de haute capacité. Evoluant en permanence, elles offrent un gage de pérennité des archives.
Dans un contexte mutualisé, une PFAE est plus apte à garantir l’intégrité des documents signés électroniquement à long terme. Celle-ci peut soit être mutualisée par un tiers archiveur ou bien créée pour une communauté (établissements de santé, collectivités territoriales, les filiales d’un groupe industriels…).
Dans cette seconde approche, il est nécessaire d’atteindre une volumétrie suffisante pour justifier la création d’une PFAE mutualisée. La mutualisation du service par un tiers archiveur, quant à elle, permet un coût d’accès au service modéré pour chaque client bénéficiant de la PFAE. Le tiers archiveur se charge d’atteindre les seuils de volume nécessaires pour optimiser son investissement.
Une PFAE est caractérisée par une architecture multi-tenant, grâce à laquelle plusieurs organisations exploitent la même instance de la plate-forme de manière totalement cloisonnée. En outre, certaines solutions offrent aux organisations clientes une parfaite autonomie de paramétrage et d’administration. Elles fonctionnent telle une solution On-Premise, mais sans induire les budgets d’intégration, les coûts d’infrastructure interne et les charges de mise en conformité du service d’archivage.
Source : extrait de https://www.xelians.fr/blog/archiviste/quelles-sont-les-tendances-de-larchivage-electronique-en-2021/