Forum aaf preuve sécurité 22 mars 2013 (2)

593
-1

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
593
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
8
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Source:
    How the Cloud is Transforming Business Process Management
    Aditya Mony & Kalyan Raman
    http://www.finyear.com/How-the-Cloud-is-Transforming-Business-Process-Management_a23351.html
  • Archiving as a Service - A Model for the Provision of
    Shared Archiving Services Using Cloud Computing
    Jan Askhoj, Mitsuharu Nagamori, Shigeo Sugimoto,
     ProceedingiConference '11 Proceedings of the 2011 iConferencePages 151-158 ACM New York, NY, USA ©2011 table of contents ISBN: 978-1-4503-0121-3 doi>10.1145/1940761.1940782
    http://fr.slideshare.net/janaskhoj/archiving-as-a-service-a-model-for-the-provision-of-shared-archiving-services-using-cloud-computing
  • Seul un quart des services cloud utilisés ressortent des fonctionnalités IaaS-PaaS–SaaS
    30% ressortent du Business Process as a Service !!!
    La partie publicitaire étant par essence volatile, elle n’intéresse pas l’archivage
  • Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
    Fighting cyber crime and protecting privacy in the Cloud, 2012
    http://www.bakchich.info/sites/bakchich.info/files/article_files/fisaa_0.pdf
    http://www.europarl.europa.eu/committees/en/studiesdownload.html?languageDocument=EN&file=79050
  • Voir:
    Syntec numérique
    LIVRE BLANC
    SÉCURITÉ DU CLOUD COMPUTING
    Analyse des risques, réponses et bonnes pratiques
    Tableau Page 7
    Et ITRnews.com
    http://www.itrnews.com/articles/139084/9-societes-10-pensent-securite-donnees-releve-responsabilite-fournisseur-services-cloud.html
  • Digital Curation and the Cloud
    Final Report
    Brian Aitken, Patrick McCann, Andrew McHugh, Kerry Miller
    Produced by the Digital Curation Centre for JISC’s Curation in the Cloud Workshop
    Hallam Conference Centre
    7th – 8th March 2012
    http://www.dcc.ac.uk/sites/default/files/documents/Curation-in-the-Cloud_master_final.pdf
  • L’intérêt économique du cloud réside dans sa souplesse tarifaire, qui constitue un de ses principaux argument de vente. C’est pertinent pour les données de faible durée de stockage (à cause du gain sur le non-investissement de matériel/logiciels qui pourraient être inutilisés avant la fin de l’amortissement) mais cela n’a pas de sens pour l’archivage à long terme (l’amortissement à de toute façon lieu). D’après David Rosenthal, c’est vrai dès la fin d’amortissement des disques dur, estimés à 5 ans,
    Voir:
    David Rosenthal, Talk at Fall 2012 CNI
    http://blog.dshr.org/2012/12/talk-at-fall-2012-cni.html?m=1
  • Option possible: le cryptage systèmatique, mais qui put le faire
  • Forum aaf preuve sécurité 22 mars 2013 (2)

    1. 1. Preuve & Sécurité Cloud computing : Défis ou opportunités pour les archives ? Jean-Daniel ZELLER Archiviste principal, Hôpitaux universitaires de Genève Enseignant à la Haute école de gestion de Genève (département I&D)
    2. 2. Définitions actuelles: Business Process as a Service Software as a Service Plateform as a Service Infrastructure as a Service 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER Archiving as a Service
    3. 3. Typologie 1 Nuage public Les services de nuage public permettent à l'infrastructure d’être utilisé par le grand public et ils offrent aux utilisateurs les avantages d'évolutivité rapide et d’une faible mise en place initiale des coûts. Google Apps est une suite d'applications SaaS populaire mis à disposition à travers un nuage public. Nuage privé Un nuage privé est possédé et exploité par un organisme ou un tiers pour le compte d'une organisation. Pour cette raison, la plupart des avantages de l’infrastructure infonuagique tels que l'externalisation de l'infrastructure informatique et les économies d'échelle seront moins évidents, toutefois les risques de sécurité et les goulots d’étranglement dans le transfert des données peuvent être atténués. 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    4. 4. Typologie 2 Nuage Communautaire Avec les nuages communautaires l'infrastructure fournie est réservée à l'usage exclusif d'une communauté spécifique d'organisations qui ont partagé leurs préoccupations. Comme l'accès est restreint à des utilisateurs particuliers, les nuages communautaires peuvent présenter des risques de sécurité moindre que les nuages publics, mais avec des économies d'échelle plus limitées, ils ont tendance à être moins souple pour s'adapter aux besoins des utilisateurs et les coûts peuvent être plus élevés. Nuage hybride Les nuages hybrides sont une composition de deux ou plusieurs infrastructures en nuage distinctes (privé, communautaire ou public) qui, tout en restant distincts, sont interconnectés pour permettre le transfert de données. Un nuage hybride privé-public peut être utilisé pour stocker des données sensibles en interne tandis que le stockage d'autres données est sous-traité. 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    5. 5. Quel avenir ? J’ai un problème pour vous dire quel est votre futur dans l’informatique, tout ce que je peux voir c’est des nuages! cloud et archives 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    6. 6. Les usages du cloud en 2012 (Gartner) 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    7. 7. Questions de base Quelles garanties offre le cloud en terme de : • • • • Fiabilité - Sécurité Continuité de services Migration Protection des données personnelles 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    8. 8. Protection des données et cloud • Les prestataires américains (qui forment l’essentiel des prestataires de services en nuage) sont soumis au Patriot Act et au FISAA qui rendent illusoire la protection des données personnelles au sens européen. • Conséquence : ne pas mettre de données personnelles dans le nuage public • Voir recommandations de la CNIL (public-cible : entreprises) 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    9. 9. Réponses possibles 1 Des nuages privés nationaux : • Offres Numergy et Cloudwatt, en France • Projet de politique de nuage de la Confédération Suisse • Projet de nuage sécurisé subventionné par le ministère de l’économie allemand (Sealed Cloud) 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    10. 10. Réponses possibles 2 cloud et archives Transcription cryptée Base de données cryptée 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER Traitement étanche
    11. 11. Sécurité du cloud – Qui a le contrôle ? 9 sociétés sur 10 pensent que la sécurité des données relève de la responsabilité de leur cloud et archives fournisseur de services cloud ! 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    12. 12. Faisabilité archivistique 1 Les propositions réglementaire et procédurales • Un certains nombre d’autorités archivistiques ont émis des recommandation quant à l’usage des services en nuages. • Elles disent toutes que cet usage n’est pas exclu, mais les précautions contractuelles qu’elles proposent reviennent de fait à exclure l’utilisation de ces prestations. • Voir, Regard de Janus : http://regarddejanus.wordpress.com/2011/07/17/archivistiq ue-et-informatique-en-nuage-archiving-and-cloud-computingpremier-episode-%E2%80%93-recommandations-denouvelle-galles-du-sud-australie/ 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    13. 13. Faisabilité archivistique 2 Propositions organisationnelles Le JISC anglais a effectué une évaluation des types de contenus hébergeables dans le nuage. Bien que consacré aux données issues du monde académique, leur analyse peut être transposables aux autres organisations publiques. Après une analyse de l’offre disponible le rapport fourni un tableau des caractéristiques vantées du nuage (élasticité, service à la demande, accessibilité, intégrité des données, sécurité des données, optimisation des ressources, responsabilité, goulets d’étranglement) et de leur pertinence en terme de conservation. Voici quelques unes de leur conclusions : 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    14. 14. Faisabilité archivistique 2 Propositions organisationnelles Quelles sont les tâche de curation le plus viables dans le nuage ? La capacité d'obtenir et de transférer rapidement des ressources informatiques, peut être appropriée pour les tâches peu fréquentes et intensives. Toutefois, si la tâche implique le transfert de gros volumes de données, alors le nuage devient moins approprié. 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    15. 15. Faisabilité archivistique 2 Propositions organisationnelles Quel modèle de service (privé-public) convient-il le mieux ? Le modèle public représente des risques qui font pencher vers le modèle privé, ce qui diminue les avantages économiques du cloud. Une solution infonuagique commerciale peut être utile pour les opérations par lots rares sur les données stockées ailleurs, mais elle peut être inappropriée pour le stockage de données sensibles ou personnelles. 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    16. 16. Faisabilité archivistique 2 Propositions organisationnelles Quels sont les risques et les avantages ? Déplacer de grands volumes de données depuis et vers le nuage peut être difficile et si ce stockage est à l'extérieur de l'organisation propriétaire des données, et en particulier si elle est dans une juridiction différente, elles peuvent être exposées à d'importants risques juridiques. 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    17. 17. Faisabilité archivistique 2 Propositions organisationnelles Est-ce que le nuage en-soi pose des problèmes de conservation ? L'adoption accrue des services en nuage à travers le paysage informatique est susceptible de conduire à la perte de données et à l'inaccessibilité dans certains cas, comme une conséquence des nombreux facteurs commerciaux et technologiques en jeu 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    18. 18. Faisabilité archivistique 3 Propositions techniques Preserving Records in the Cloud. Etudes japonaise sur les couches du nuage et le modèle OAIS Le concept en couche rend le nuage compatible avec OAIS moyennant certains aménagements. L’avantage avancé et l’existence dans un même dépôt virtuel des archives courantes et définitives, ce qui réduit le processus de versement à un simple transfert d’URI et l’ajout de métadonnées. La correspondance entre les deux monde pourrait être assurée par un « Packager » que l’équipe de recherche est en train de développer, selon le schéma suivant : 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    19. 19. Faisabilité archivistique 3 Propositions techniques cloud et archives 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    20. 20. La problématique des coûts Dépenses mondiales de logiciels de stockage en $ Dépenses mondiales de matériels de stockage en $ Coût du Go sur disque en $ 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    21. 21. Conclusions (provisoires) En terme de pérennité et d’intégrité: • En l’état, le cloud offre des fonctionnalités de stockage, pas des fonctionnalités d’archivage. • L’absence de garantie de réversibilité rend quasiment impossible le transfert des données vers un autre prestataire ou le contractant (vendor lockin). 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    22. 22. Conclusions (provisoires) En terme de sécurité et de traçabilité : • Bien que le niveau sécuritaire des prestataires soit parfois bien supérieur à celui des PME, les données restent exposées à des pertes ou des ruptures de service auxquelles les CGU n’offrent aucunes garanties. • La protection des données personnelles n’est actuellement pas garantie compte tenu de la soumission des prestataires au doit état-unien 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    23. 23. La suite…. Blog Le Regard de Janus : www.wordpress.regarddejanus.com Catégorie : Informatique en nuage et cloud computing jean-daniel.zeller@hcuge.ch 22 mars 2013 - Forum AAF - Preuve et Sécurité Jean-Daniel ZELLER
    24. 24. Preuve & Sécurité Signature électronique et archivage à valeur probante Quelles solutions ? Philippe Bazin Avocat au Barreau de Rouen pbazin@emo-hebert.com
    25. 25. Arrière plan de la question (1) • Archiver = conserver • Conserver pourquoi ? – Archivage patrimonial – Archivage probatoire 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    26. 26. Archivage patrimonial • Comment conserver ? – Obsolescence des systèmes – Obsolescence des supports – Localisation des supports – Durée de la conservation • Conserver pour consulter • Problématique centrale : l’intégrité dans le temps 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    27. 27. Archivage probatoire • Prouver devant qui ? • Le juge • Prouver quoi ? – Fait juridique et liberté de preuve – Acte juridique et légalité de la preuve 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    28. 28. Evolution du régime légal de la preuve Jusqu’ à la loi du 13 mars 2000 Depuis la loi du 13 mars 2000 Support papier Indifférence des supports : papier ou électronique Original Disparition de l’original au profit du fichier natif Signé Identification et consentement 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    29. 29. 1316 • La preuve littérale, ou preuve par écrit, résulte d'une suite de lettres, de caractères, de chiffres ou de tous autres signes ou symboles dotés d'une signification intelligible, quels que soient leur support et leurs modalités de transmission. 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    30. 30. 1316-4 al 1 Signature • La signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l'authenticité à l'acte. 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    31. 31. 1316-4 al 2 Signature électronique • Lorsqu'elle est électronique, elle consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache. 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    32. 32. 1316-4 al 2 Signature électronique sécurisée • La fiabilité de ce procédé est présumée, jusqu'à preuve contraire, lorsque la signature électronique est créée, l'identité du signataire assurée et l'intégrité de l'acte garantie, dans des conditions fixées par décret en Conseil d'Etat. 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    33. 33. 1316-1= égalité probatoire • L'écrit sous forme électronique est admis en preuve au même titre que l'écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu'il soit établi et conservé dans des conditions de nature à en garantir l'intégrité. 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    34. 34. Le quadrille infernal de la preuve légale • • • • • Problématique centrale de l’archivage probatoire Intégrité Identité Traçabilité Pérennité 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    35. 35. L’impasse de la signature électronique • L’imposture de la neutralité technologique • L’impérialisme (vain) de la signature électronique sécurisée • La durée de vie limitée des certificats • La damnation de la « re » signature • L’astuce de la conservation limitée aux empreintes 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    36. 36. Porter un regard nouveau sur l’archivage probatoire • Accepter l’idée d’une preuve « relative » • Faire l’inventaire de ses besoins réels en preuve « forte » (hypothèse et durée) 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    37. 37. Gérer l’archivage probatoire comme un risque • Pendre exemple sur les banques et les assureurs • Mettre en place un système probatoire proportionnel au risque encouru • Accepter l’idée d’une signature électronique « simple » • Pour répondre à des besoins « simples » 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    38. 38. Simplifier • Prendre acte de l’impasse techno/économique de la SES • Etudier la proposition de règlement européen du 4 juin 2012 • « Identification électronique et services de confiance » • 3ème type de signature électronique : qualifiée 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    39. 39. Relativiser • Archivage et signature électronique : oui • Mais pas exclusivement !!! 22 mars 2013 - Forum AAF - Preuve et Sécurité Philippe BAZIN
    40. 40. Preuve & Sécurité Présentation du Référentiel Général de Sécurité (RGS) Michel THOMAS
    41. 41. Objectif du RGS • Donner confiance dans les échanges numériques – Renforcer et encadrer la sécurité des échanges électroniques entre les usagers et les autorités administratives, ainsi qu’entre les autorités administratives. ⇛ Recueil de règles et de bonnes pratiques en matière de sécurité des systèmes d’information 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    42. 42. A qui s’adresse le RGS ? • Autorités administratives – ministères, établissements publics, organismes de sécurité sociale, collectivités locales, etc… • Professionnels qui les assistent dans la sécurisation de leurs systèmes – éditeurs de produits de sécurité, autorités de certification, etc… 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    43. 43. Le texte fondateur • Ordonnance 2005-1516 du 8 décembre 2005 – Chapitre IV : Dispositions relatives à la sécurité des informations échangées par voie électronique entre les usagers et les autorités administratives et entre les autorités administratives. • Article 9 – Règles des fonctions d'identification, de signature électronique, de confidentialité et d'horodatage – Niveaux de sécurité (protection) – Qualification de produits et de prestataires • Article 10 – Validation de certificats électroniques pour l’identification – Chapitre V : Dispositions relatives à l'interopérabilité des services offerts par voie électronique. • Article 12 – Référencement de produits et de prestataires pour les niveaux de sécurité 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    44. 44. Le décret d’application • Décret 2010-112 du 2 février 2010 – Application des articles 9, 10 et 12 – Pour un service donné, l’autorité administrative : • Identifie les risques • Fixe les objectifs de sécurité : – Disponibilité – Intégrité – Confidentialité – Identification • Déduit les fonctions de sécurité et leur niveau – Conformément au Référentiel Général de Sécurité 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    45. 45. • • Les arrêtés Arrêté du 6 mai 2010 – Approbation de la version 1.0 du référentiel général de sécurité Arrêté du 18 janvier 2012 – Approbation de la version 1.0 du cahier des charges de référencement – Conditions du référencement ⇛ Prestataires référencés – Plusieurs en cours – Un référencé : Dhimyotis Nom du produit ou de l'offre Emetteur OID de la PC Fonction Niveau de sécurité Date de référencement Certigna Authentification PRIS *** Dhimyotis 1.2.250.1.177.1.12.1.3 Authentificatio n *** Juillet 2012 Certigna ID PRIS *** Dhimyotis 1.2.250.1.177.1.8.1.4 Signature *** Juillet 2012 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    46. 46. Principes de la sécurité d’un SI (SSI) • 6 grands principes : – Adopter une démarche globale de sécurisation des systèmes d’information • Matériels, logiciels, organisation – Gérer les risques SSI • Méthode EBIOS de la norme ISO 27005 – Adapter la SSI selon les enjeux et les besoins de sécurité des autorités administratives • Guide relatif à la maturité du SI – Élaborer une politique de sécurité • Guide d’élaboration de politiques de sécurité des systèmes d’information – Utiliser des produits et prestataires labellisés SSI • Catalogue des produits qualifiés – http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/ – Viser une amélioration continue • Démarche ISO 27001 adaptation continue aux menaces 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    47. 47. Recommandations supplémentaires • Intégrer la SSI dans le cycle de vie des systèmes d’information – GISSIP (Guide d’Intégration de la Sécurité des Systèmes d’Information dans les Projets) • Procéder systématiquement à l’homologation de sécurité – Homologation de sécurité par une autorité d’homologation désignée par l’autorité administrative 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    48. 48. Fonctions et niveaux de sécurité 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    49. 49. Structure du RGS RGS 1.0 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    50. 50. Qualification et référencement 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    51. 51. Calendrier RGS 1.0 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    52. 52. Organismes habilités au référencement Organisme évaluateur Statut Habilité depuis le 2 mai 2012 Identité Point de contact Portée LSTI http://www.lsti-certification.fr PSCO * * PSCO : prestataires de services de certification électronique (PSCE) délivrant des certificats électroniques, destinés aux particuliers et aux agents de l’administration, conformes aux exigences des niveaux ** et *** pour les fonctions de sécurité « Authentification » et « Signature » tels que définis dans le RGS 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    53. 53. Prestataires qualifiés Agence de Services et de Paiement Agence Nationale de Traitement Automatisé des Infractions Agence Nationale des Titres Sécurisés Assemblée Permanente des Chambres de Métiers ATOS Worldline Caisse des Dépôts et Consignations CERTEUROPE CERTINOMIS Chambersign France Click & Trust Conseil Supérieur de l'Ordre des Experts Comptables Conseil Supérieur du Notariat Crédit Agricole Cards & Payments CRYPTOLOG International DHIMYOTIS RGS 1.0 KEYNECTIS Le Groupe La Poste Ministère de la Justice et des Libertés NATIXIS SGTrust 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    54. 54. Réglementation (rappel) • • • • • • • Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d'offres de pr Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques (dit "arrêté RGS") Décret n°2010-112 du 2 février 2010 (dit "décret RGS") Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives ainsi qu'entre les autorités administratives Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de services de certification électronique et à l’accréditation des organismes qui procèdent à leur évaluation Décret n°2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code civil et relatif à la signature électronique Loi n°2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec les administrations 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    55. 55. Evolutions • RGS 2.0 – adapter le Référentiel aux usages des autorités administratives, au contexte et aux nouvelles missions de l’ANSSI ; – permettre la qualification de nouveaux types de prestataires, dont les auditeurs; – harmoniser les annexes avec les nouvelles versions des normes ETSI correspondantes ; – corriger ou préciser certaines inexactitudes ; – rendre plus lisible les différentes annexes ; – référencer les nouveaux textes de l’ANSSI. 22 mars 2013 - Forum AAF - Preuve et Sécurité Michel THOMAS
    56. 56. Preuve & Sécurité Le coffre-fort électronique : positionnement de l’offre par rapport au marché Laurent PREVEL APROGED
    57. 57. Angers, le 22 mars 2013 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    58. 58. Système d’archivage à valeur probatoire • Garantir la fiabilité de la capture, y compris lorsqu’il s’agit de papier • Identifier les documents • Contrôler les droits des utilisateurs • Garantir la conservation des documents : pérennité, intégrité, sécurité, traçabilité 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    59. 59. Système d’archivage électronique (SAE) Politique et pratiques d’archivage Procédures d’archivage Procédures métiers Capture Gestion Conservation Stockage 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL Exploitation
    60. 60. SAE spécifié par la NF Z42-013 (2009) Contrôles Procédures Technologies Matériels Logiciels s ex A Angers, le 22 mars 2013 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    61. 61. Coffre-fort électronique ? a) Coffre-fort électronique ? b) Coffre-fort numérique (composant) ? c) Service d’archivage via coffre-fort électronique ? 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    62. 62. « Coffre-fort électronique » • Composant technique destiné à conserver des objets numériques, quelle que soit leur nature, en garantissant leur intégrité à court ou long terme • Fonctions de base (logicielles) : Déposer, Lire, Contrôler, Détruire, Lister, Compter • Doit être intégré dans un système capable de gérer les documents déposés, par exemple un SAE • Norme NF Z42-020 (2012) : CCFN, pour un Composant Coffre-fort Numérique 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    63. 63. SAE Z 42-013 CCFN Z 42-020 Contenus gérés Documents avec métadonnées (MD) Objets numériques avec MD techniques Niveaux d’exigence Oui Non Journalisation Cycle de vie des archives et événements du système Cycle de vie des archives Flux d’entrée Documents nativement numériques ou sur supports physiques Objets numériques quelconques Gestion de l’environnement d’exploitation et sauvegarde Oui Non Supports de stockage WORM physique, WORM Logique, Réinscriptibles Réinscriptibles Application à des tiers Oui Non significatif Certification Oui Non 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    64. 64. Des cas concrets vs. usages (risques) • La dématérialisation de la facture pour le particulier • La dématérialisation du bulletin de salaire pour le salarié • La dématérialisation des notifications pour le copropriétaire 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    65. 65. 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    66. 66. Certification des SAE • Marque NF 461 Archivage électronique • Délivré par AFNOR Certification (Cofrac) • Audit basé sur des règles élaborées à la demande du SIAF en partenariat avec APROGED et FNTC • En référence aux normes NF Z 42013 et ISO 14641 • Bénéficiaires – Entités utilisant une solution d’archivage interne – Entités agissant pour le compte de tiers dans une position de prestataire de services 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    67. 67. Merci de votre attention Questions ? 22 mars 2013 - Forum AAF - Preuve et Sécurité Laurent PREVEL
    1. A particular slide catching your eye?

      Clipping is a handy way to collect important slides you want to go back to later.

    ×