Éléments de conformité. Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire

Transcription

1 Éléments de conformité Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire

2 2 Éléments de conformité La conformité réglementaire peut être vue comme une charge pour les entreprises. Mais une exploitation intelligente des technologies de gestion des processus et du contenu contribue à la conformité tout en apportant un potentiel d amélioration de l efficacité organisationnelle et de la rentabilité. Les réglementations ne cessent de s alourdir. Elles concernent l administration des entreprises, les établissements financiers, les services RH, le domaine de la santé, les services chargés du maintien de l ordre et de nombreuses administrations. Faisant suite à des scandales financiers, des catastrophes naturelles, des faillites, la crise internationale, les préoccupations environnementales et l exigence de confidentialité de la part du grand public, la pression réglementaire sur les organisations se renforce. Selon l Economist, la période a vu le gouvernement fédéral américain émettre 132 règles à «impact économique», soit «40 % de plus que le rythme annuel» de 1999 à Le magazine remarque que «De nombreuses règles associées aux nouvelles réformes de la santé et des finances sont encore à venir [...] et les règles existantes sont également surveillées de plus près». («Red Tape Rising», The Economist, 20 janvier 2011 édition papier) Le magazine Forbes note quant à lui que le coût par salarié du respect des réglementations fédérales (pour les entreprises de moins de 20 salariés) a augmenté en moyenne de 6,1 % par an de 2001 à 2008, alors que l inflation moyenne est de seulement 2,8 %. Il en résulte une augmentation du coût de la conformité par salarié de $ à $. («Heavy Burden», Forbes, 18 juillet 2011, édition papier). Pour une communauté économique qui subissait déjà les lois HIPAA, Sarbanes-Oxley et autres, la réalité de ces exigences croissantes a imposé l urgence de la recherche de solutions rentables pour la gestion de la conformité.

3 Éléments de conformité Lorsqu on se penche sur les détails de ces innombrables exigences réglementaires, on y remarque un thème commun : l obligation d une gestion efficace des informations. En effet, toutes ces réglementations partagent trois éléments essentiels : Qu est-ce que la gestion des dossiers et des archives? On confond souvent la gestion des dossiers et des archives avec la gestion des informations. Pourtant, cette dernière couvre une vision plus générale. Intégrité des données L information doit être complète, exacte et stockée derrière des protections administratives, physiques et techniques qui empêchent toute modification, altération et suppression. Sécurité et confidentialité des données L information doit être accessible uniquement aux utilisateurs autorisés, et protégée contre les utilisations ou diffusions inappropriées. Accessibilité des données L information doit être accessible aux utilisateurs autorisés, pour qu ils puissent les communiquer La gestion des dossiers et des archives est une discipline qui couvre la gestion des dossiers métier, souvent appelés les actifs informationnels de l entreprise, pendant toute leur durée de vie. La gestion des dossiers et des archives prend en compte la valeur des informations qui sont traitées comme des actifs de l entreprise. Cette valeur diminue généralement dans le temps, et vient un moment où il faut faire un choix entre la conservation et la suppression. Ce concept est appelé la Gestion du cycle de vie de l information (Information Lifecycle Management, ou ILM). En termes plus concrets, la gestion des dossiers et des archives traite de la conservation des enregistrements d une organisation, depuis leur création jusqu à leur suppression. Un enregistrement est une information qui a été sauvegardée physiquement ou numériquement, qui a été créée ou reçue par l entreprise, et qui lui est utile. Ces informations sont gérées dans le cadre des initiatives métier, de la prise de décision, de la réduction des coûts opérationnels ou de la gestion du risque. La pratique de gestion des dossiers et des archives peut couvrir les aspects suivants : dans un objectif légal, comme le règlement des ~ ~ Fourniture d informations précises, actuelles et complètes conflits ou les audits. Ces diverses réglementations concernent des secteurs d activité variés et ont des objectifs différents. Mais elles exigent toutes des entreprises qu elles préservent l intégrité et la confidentialité de leurs dossiers et archives et qu elles soient à même de les fournir rapidement. ~ ~ Création et application des règles de gestion des dossiers et archives ~ ~ Identification, classification et stockage des dossiers et archives ~ ~ Gestion du cycle de vie de l information : création ou réception, utilisation et suppression ~ ~ Création et exécution d un programme de conservation et suppression des dossiers et archives, et des règles associées ~ ~ Protection des informations, en cas de sinistre, pour assurer la continuité des activités Ces concepts fondamentaux de la gestion des dossiers et archives s appliquent aux informations physiques et numériques. L information qui est enregistrée et déclarée comme un dossier ou une archive est la version originale ou la copie d un enregistrement conservé pour des raisons légales, réglementaires, fiscales, opérationnelles ou historiques. Une copie officielle qui répond aux exigences de rétention de l entreprise, et qui existe en plusieurs exemplaires, entre dans cette catégorie. Mais toutes les informations de l organisation ne sont pas considérées comme des dossiers ou archives. On parle de document ou de fichier pour des informations générales qui ne répondent pas toujours à ces critères. Un document est une information enregistrée dans n importe quel format, alors qu un fichier est un groupe de documents partageant un même sujet, une même activité ou une même transaction. Les dossiers ou archives ne représentent généralement que 5 à 10 % des informations d une organisation. Pourtant, d autres types d informations organisationnelles, traditionnellement considérées comme temporaires ou insignifiantes, sont de plus en plus concernés par la réglementation légale, et devraient donc être intégrés à la gestion des dossiers et des archives. LA VALEUR DE L INFORMATION 3 Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire En bref, l objectif d un programme de gestion des dossiers et des archives est de gérer et protéger les actifs informationnels de l entreprise pour des raisons légales, réglementaires, fiscales, opérationnelles et historiques, que ces données soient officielles ou plus transitoires.

4 Pourquoi respecter la réglementation? 4 Les sanctions Les lois auxquelles sont soumises actuellement les entreprises prévoient les sanctions suivantes, pour les États-Unis : peines de prison pour les directeurs, retrait de la cotation pour les entreprises en bourse, obligation de cesser les opérations et amendes extrêmement élevées. Par exemple, les sanctions associées à la loi HIPAA peuvent atteindre $ et dix ans de prison, et pour la loi Sarbanes-Oxley, jusqu à 5 millions de dollars et 20 ans de prison. Des gains d efficacité grâce à la conformité Même si votre entreprise n est pas dans l obligation légale de respecter certaines lois, vos concurrents qui s y soumettent volontairement peuvent vous dépasser grâce à la rationalisation de leurs opérations, et ils en récolteront les bénéfices. En effet, des processus et des pistes d audit parfaitement documentés peuvent contribuer à une meilleure gestion de l information. Les entreprises qui en prennent conscience peuvent exploiter leurs efforts de conformité pour gagner en efficacité : les décideurs disposent plus facilement des informations critiques, les conflits devant les tribunaux sont réglés plus rapidement, le volume de papier à traiter et acheminer est réduit, les problèmes de stockage sont éliminés, et les utilisateurs bénéficient d un accès plus rapide aux documents clés (ce qui peut accélérer le service aux clients), etc. La conformité réglementaire ne se limite pas à des solutions technologiques. Elle exige l engagement de la direction, une communication interne efficace, une formation permanente et des efforts coordonnés de la part d individus dispersés dans toute l organisation. Dans certains cas, l intervention de consultants extérieurs et un conseil juridique peuvent se révéler utiles. La technologie peut toutefois être un actif puissant dans votre approche de la conformité. En effet, certains décideurs constatent qu une exploitation efficace de la technologie peut aider leur organisation à éviter les pénalités, tout en rentabilisant à long terme leurs investissements dans la conformité par l amélioration de l efficacité opérationnelle. Perceptive Software et la conformité réglementaire Avec des clients dans de nombreux secteurs (finance, assurance, santé, secteur public, enseignement supérieur, etc.) et dans plus de 30 pays, Perceptive Software connait les difficultés que rencontrent les entreprises face aux exigences de conformité, et peut offrir des solutions qui répondent à leurs besoins et s intègrent à leur stratégie réglementaire. Technologie et conformité Le coût de la conformité peut être décourageant. Selon le Wall Street Journal, le respect de la loi Sarbanes-Oxley a coûté aux entreprises des États-Unis plus de 200 milliards de dollars, selon certaines estimations effectuées fin 2008 ( SB html) Perceptive Software est sensible aux difficultés qu occasionnent ces obligations. Nous avons donc développé des solutions que les entreprises peuvent facilement intégrer à leur stratégie de conformité.

5 Les contraintes réglementaires : En bref Voici un résumé de certaines des lois des États-Unis qui peuvent concerner votre politique réglementaire et vos priorités informatiques : Loi «Electronic Signature in Global and National Commerce» (ESIGN) Signatures électroniques dans le commerce national et international Objectif : Faciliter l utilisation des dossiers et signatures électroniques pour les échanges commerciaux entre les états américains et internationaux Le Congrès américain a mis en vigueur la loi ESIGN pour établir la validité juridique des dossiers et signatures électroniques, et donc garantir la valeur légale des contrats signés électroniquement. Elle s applique en l absence de loi au niveau de l état, et dans le cas où les états ont opéré des modifications à l UETA qui ne seraient pas cohérentes avec ESIGN. Loi «Family Educational Rights and Privacy» (FERPA) Droits et confidentialité des familles dans le domaine de l éducation Objectif : Assurer la confidentialité dans le domaine financier La loi FERPA assure la confidentialité des dossiers des étudiants, par exemple, leurs notes et leurs comportements. Elle s applique à tous les établissements qui reçoivent des fonds dans le cadre d un programme du ministère américain de l Éducation. FDA 21 CFR Part 11 Objectif : Assurer la légitimité des dossiers et signatures électroniques Le titre 21 CFR Part 11 du Code réglementaire fédéral concerne les directives de la Food and Drug Administration (FDA) sur les dossiers et signatures électroniques aux États-Unis. Généralement appelée «Part 11», elle définit les critères à prendre en compte pour considérer un dossier ou une signature électronique digne de confiance et équivalent à un document papier. Loi «Freedom of Information Act» (FOIA) Accès aux informations publiques Objectif : Informer les citoyens La loi FOIA décrit les droits d accès des individus aux informations qui ne sont pas encore rendues publiques et qui sont détenues par des administrations du gouvernement américain, ainsi que les possibilités pour ces administrations de refuser l accès. Elle définit les dossiers des administrations qui peuvent être diffusés, décrit les procédures de diffusion et établit neuf exceptions à ces obligations. Loi «Gramm-Leach-Bliley» (GLBA) Objectif : Assurer la confidentialité dans le domaine financier La loi Gramm-Leach-Bliley exige des établissements financiers (c est-à-dire les entreprises qui offrent à leurs clients des produits et services financiers, comme des prêts, des conseils financiers ou en investissement ou de l assurance) qu ils exposent leurs pratiques de partage des informations à leurs clients et qu ils protègent leurs données sensibles. Elle impose également le suivi et le respect des demandes de non-communication de leurs données de la part des clients («opt-out»). Loi «Health Insurance Portability and Accountability» (HIPAA) Responsabilisation et portabilité de l assurance maladie Objectif : Assurer la confidentialité dans le domaine médical La loi HIPAA exige la standardisation des transactions entre prestataires de soins et payeurs. Elle impose aussi aux organisations qui gèrent des données de santé individuelles d assurer la sécurité et la confidentialité des informations électroniques partagées. La loi «American Recovery and Reinvestment» de 2009, appelée parfois «Package de stimulation» a étendu la conformité à HIPAA à toutes les organisations qui travaillent avec le secteur de la santé. Elle a également relevé le montant des amendes et des peines en cas de non-respect. Loi «Health Information Technology for Economic and Clinical Health» (HITECH) Systèmes d information de santé pour la santé économique et clinique Objectif : Améliorer la qualité, la sécurité et l efficacité des soins La loi HITECH confère au ministère américain de la Santé et des Services sociaux l autorité nécessaire pour établir des programmes d amélioration de la qualité, de la sécurité et de l efficacité des soins par la promotion des systèmes d information de santé, comme le dossier médical électronique et les échanges privés et sécurisés d informations de santé. Loi «Sarbanes-Oxley» (SOX) Objectif : Protéger les actionnaires et le grand public La loi Sarbanes-Oxley de 2002 a été votée en réaction aux scandales financiers touchant les entreprises. Elle impose la responsabilité et le contrôle de l entreprise sur ses informations, ses dossiers et son reporting financier. Elle exige entre autres la vérification de la complétude et de l exactitude des états financiers, le contrôle interne effectif sur le reporting et l information et la reproduction «rapide et actualisée» de l information illustrant les évolutions matérielles de la situation financière de l entreprise. Section 508 de la loi «Rehabilitation» Objectif : Améliorer l accès aux technologies de l information pour les personnes handicapées Ce complément à la loi «Rehabilitation» exige des administrations fédérales qu elles fournissent à leurs salariés et aux usagers handicapés un accès à l information comparable à celui offert aux autres personnes. Cette loi a pour objectif d éliminer les obstacles liés aux technologies de l information, d ouvrir de nouvelles opportunités pour les personnes handicapées et d encourager le développement des technologies qui y contribueront. Loi «Uniform Electronic Transactions» (UETA) Transactions électroniques uniformes Objectif : Fournir un cadre légal à l utilisation des dossiers et signatures électroniques Cette loi a été élaborée par la National Conference of Commissioners on Uniform State Laws afin de fournir un cadre légal à l utilisation des dossiers et signatures électroniques dans les transactions publiques et entre entreprises. L UETA permet de traiter les dossiers et signatures électroniques avec le même niveau de validité légale que le papier et les signatures manuelles. 5 Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire

6 6 Perceptive Software : Faciliter le respect des réglementations à l aide de la gestion de contenu d entreprise (ECM) Un aspect essentiel des efforts de conformité est la gestion efficace du contenu d entreprise. En l absence d un référentiel centralisé dédié au stockage des grands volumes de données non structurées générés dans une organisation, la conformité réglementaire est impossible. Mais les réglementations sont indépendantes de tout choix technologique, et elles n indiquent pas comment les entreprises doivent s y prendre pour les respecter. Celles-ci ont donc la responsabilité de trouver les technologies qui répondent à leurs besoins. Le résumé qui suit expose en bref les exigences générales des réglementations présentées plus haut, ainsi que les fonctionnalités essentielles des solutions d ECM qui peuvent y satisfaire. En l absence d un référentiel centralisé dédié au stockage des grands volumes de données non structurées générés dans une organisation, la conformité réglementaire est impossible. 1. Intégrité des données L information doit être complète, exacte et stockée derrière des protections administratives, physiques et techniques qui empêchent toute modification, altération et suppression. Le stockage de toutes les informations non structurées d une organisation à l aide de fonctions d indexation et de suivi assure l exactitude des données. Une architecture de système avancée offre un stockage sécurisé et prend en charge la conservation à long terme. Le contrôle des versions, la gestion des règles de rétention, le suivi physique des enregistrements, la prise en charge des annotations, du masquage et des signatures électroniques sont autant d éléments qui protègent l intégrité du contenu d entreprise et vous aident à remplir vos obligations légales et managériales sur de longues périodes. 2. Sécurité et confidentialité des données L information doit être accessible uniquement aux utilisateurs autorisés, et protégée contre les utilisations ou diffusions inappropriées. Les fonctions d authentification et de chiffrement vous garantissent que seules les personnes autorisées ont accès aux documents protégés. Le masquage sécurisé et le chiffrement des communications contribuent également à protéger les données sensibles, pendant que les fonctions de journalisation et d audit suivent les activités importantes. Les fonctions de gestion des dossiers et des archives mettent les données à l abri d une destruction ou d une modification inappropriée en cas de procédure légale ou d audit. 3. Accessibilité des données L information doit être accessible aux utilisateurs autorisés, pour qu ils puissent les communiquer dans un objectif légal, comme le règlement des conflits ou les audits. Un ensemble complet de fonctions de recherche, d affichage et de production assure aux utilisateurs autorisés un accès aux données par différentes méthodes et plates-formes. Un modèle de stockage avancé permet un accès rapide et autorise l expansion du référentiel. La rétention est facile à gérer pour éviter les destructions de données, et le workflow permet de structurer les accès. Les solutions Perceptive Software de gestion des processus et du contenu remplissent toutes ces obligations. C est pourquoi elles vous apportent tant de valeur.

7 1Intégrité des données L information doit être complète, exacte et stockée derrière des protections administratives, physiques et techniques qui empêchent toute modification, altération et suppression. Complétude : Stockage de tous les types de données non structurés Qu ils parviennent à l entreprise par scanner, fax, ou importation, presque tous les fichiers peuvent être capturés et stockés par Perceptive. Les organisations peuvent ainsi centraliser entièrement leurs données non structurées. Exactitude des données ~ ~ Exactitude de l indexation : La technologie d intégration brevetée de Perceptive Software, LearnMode, peut relier automatiquement les documents récemment capturés aux dossiers des applications métier, éliminant ainsi les erreurs de saisie dues à l indexation manuelle. D autres méthodes d indexation peuvent renforcer la qualité grâce à des options telles que les variables prédéfinies à la capture, la reconnaissance optique des caractères et l extraction de données ASCII dans le document. Toutes ces approches exploitent des processus de validation automatisés et manuels pour assurer l intégrité des données d index. ~ ~ Exactitude du suivi : Le système Perceptive Software suit chaque document stocké, et conserve des informations sur sa capture, les files d attente qu il a suivies, les interactions avec les utilisateurs et les données complémentaires pertinentes. Toutes ces informations peuvent faire l objet de rapports à des fins d audit. Stockage sécurisé et rétention à long terme Le contenu est stocké dans Perceptive à l aide de la technologie Object Storage Manager (OSM). Celle-ci sépare physiquement le stockage des données du document de ses métadonnées, et peut être configurée en fonction des besoins spécifiques du client. Perceptive prend en charge le stockage RAID, Server Attached Storage, Storage Area Network (SAN), Network Attached Storage (NAS), les jukebox optiques, les lecteurs WORM et le stockage hiérarchique (HSM). Cette ouverture permet de faire passer des fichiers inactifs ou semi-actifs vers des supports séparés, sécurisés, ou dédiés à la rétention à long terme. Ces actions peuvent être déclenchées par les administrateurs, ou sur la base de règles automatisées de gestion des dossiers et des archives, en fonction de vos besoins. Contrôle des versions et services de bibliothèque Grâce à des fonctions intuitives de contrôle des versions et à des services de bibliothèque, les utilisateurs de Perceptive peuvent réaliser de nombreuses tâches documentaires, afin de rationaliser les processus collaboratifs, mais aussi d assurer l intégrité du contenu au fil des processus de modification et d approbation. ~ ~ Enregistrement (check in) d un document pour créer sa version originale ou mettre à jour un document après révision. ~ ~ Réservation et verrouillage (check out) d un document pour assurer son intégrité pendant une phase de modification. ~ ~ Promotion d une version enregistrée antérieurement, à la place de la version actuelle, afin d annuler les modifications tout en conservant toutes les versions. ~ ~ Revue de l historique des versions et copie pour la fusion ou la création de nouveaux documents. ~ ~ Visualisation d une version en lecture seule d un document réservé et marquage de documents comme privés. Gestion des dossiers et des archives (Records and Information Management, ou RIM) Le composant Perceptive de gestion des dossiers et des archives, Retention Policy Manager (voir page 12), protège l intégrité des données, tout en conservant le contenu de l entreprise indéfiniment, ou pour une période spécifique définie par vos règles de rétention. Si l entreprise a conçu correctement ses règles et dispose d une zone de conservation des documents à des fins juridiques, aucun dossier ne peut être détruit, et aucune donnée ne peut être modifiée ou supprimée, sans une action délibérée d un individu autorisé, dans les limites des règles de rétention applicables. Retention Policy Manager permet même le suivi et la gestion des dossiers physiques, avec des règles et un système de conservation à des fins juridiques. Annotation et masquage Perceptive vous permet de créer des modèles personnalisés afin de définir les droits des utilisateurs en termes d annotation et de masquage. En maîtrisant les modifications qui peuvent altérer la lisibilité des documents originaux, cette fonction permet d assurer leur intégrité. 7 Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire

8 8 Signature électronique La signature électronique authentifie le signataire d un document et assure que son contenu n a pas été modifié par un tiers. Correctement déployée, cette fonction assure l intégrité du processus de revue et d approbation des documents. Les utilisateurs qui disposent des droits de signature peuvent signer à partir des interfaces utilisateur de Perceptive, ou d une autre application, par des services Web. Au fil de l acheminement du document dans Perceptive Workflow, des signataires supplémentaires peuvent signer le document, vérifier les signatures existantes, visualiser l historique du document ou, sous réserve des droits nécessaires, annuler une signature. Une vérification automatique confirme à chaque étape qu il n y a pas eu de modification depuis la dernière signature. La technologie Perceptive Software de signature électronique respecte la norme de chiffrement «National Security Agency-approved Suite B». Celle-ci utilise des algorithmes de cryptographiques, dont Advanced Encryption Standard (AES) pour le chiffrement, Elliptical Curve Cryptography (ECC) pour les signatures électroniques et l échange de clés et FIPS Secure Hash Algorithm. Sa fonction de cryptographie asymétrique utilise le chiffrement par clé publique et privée. Sa fonction standard de non-répudiation empêche le signataire d un document de nier par la suite son intervention. 2Confidentialité et sécurité des données L information doit être accessible uniquement aux utilisateurs autorisés, et protégée contre les utilisations ou diffusions inappropriées. Droits associés aux utilisateurs et aux documents Les solutions Perceptive ont été conçues sur la base d un modèle de sécurité qui associe une authentification rigoureuse et un système complet d autorisations. Tout d abord, au lieu de stocker les mots de passe des utilisateurs, Perceptive authentifie les utilisateurs à partir de sources externes puisées dans une grande variété d infrastructures de sécurité. Vous avez ainsi le choix des solutions de sécurité, y compris l intégration LDAP. Une fois l utilisateur authentifié, il ou elle passe à l étape suivante : l autorisation. Celle-ci détermine si l utilisateur qui a franchi l étape d authentification est un utilisateur enregistré de Perceptive, sur la base du nom d utilisateur utilisé dans le processus d authentification. Une fois l autorisation obtenue, les droits de l utilisateur sont vérifiés, et ce pendant chaque session, afin de contrôler totalement les actions et les accès de tous les utilisateurs. Vous pouvez attribuer des droits d accès et à des fonctions, avec une maîtrise fine au niveau de l utilisateur ou du groupe, et pour chaque fonction du système, y compris celles qui touchent à la confidentialité, comme la visualisation, l impression et l enregistrement d un document. Vous pouvez même restreindre l accès d un utilisateur à des documents ou types de documents en fonction de son rôle. Il est impossible d outrepasser les droits attribués à un utilisateur. Les incohérences entre les droits d un individu et ceux de son ou ses groupe(s) sont réglées selon une hiérarchie qui permet à l administrateur de revoir et de limiter les actions d un utilisateur et les documents auxquels il ou elle a accès. Le contrôle complet des utilisateurs et des documents garantit que seules les personnes qui doivent avoir accès à des documents spécifiques peuvent y effectivement accéder. Cela se traduit par une confidentialité totale des documents, conformément à la réglementation.

9 Masquage Perceptive dispose d une fonctionnalité complète de masquage qui permet une dissimulation permanente et inviolable des informations sensibles, confidentielles ou juridiquement importantes, sans altérer l état du document sous-jacent. Le chiffrement AES, basé sur des modules cryptographiques conformes à la norme FIPS 140-2, est également disponible entre le serveur Perceptive et les services distants, comme la gestion des s et des fax s exécutant sur des ordinateurs séparés, et entre le serveur Perceptive et le serveur d application WebNow. La puissance du masquage donne aux utilisateurs autorisés la capacité à réaliser des remplacements irréversibles sur les informations des images lisibles, au niveau le plus fin (le pixel), avec des zones opaques qui ne peuvent plus être déplacées, modifiées ou cachées. Les données lisibles des zones masquées sont purement éliminées de la structure du fichier (sauf pour les personnes qui disposent des droits suffisants). Il est donc possible d envoyer par ou d exporter la version soumise au masquage, sans crainte d exposer l information sensible. Cette approche assure un degré extrême de sécurité des informations. Elle représente un progrès significatif sur les outils d annotation qui créent des masques opaques. En plus du chiffrement AES entre le serveur Perceptive et le serveur d application WebNow, WebNow prend en charge la norme SSL/HTTPS 128-bit pour les communications sécurisées entre le serveur d application Web et les navigateurs. SSL est également pris en charge par les produits Perceptive Interact et les applications spécifiques se connectant par des services Web. De plus, il est impossible de désactiver le chiffrement AES pour l authentification par «handshake» entre le client et le serveur (client classique ou client Web). Les mots de passe ne peuvent donc pas être transmis en clair. Certification «Critères communs» Pour maximiser la sécurité des documents, Perceptive propose un modèle de classification qui garantit à des utilisateurs spécifiques un accès au document original, ou uniquement aux copies soumises au masquage. Bien qu une valeur d index puisse être modifiée pour identifier les documents soumis au masquage, les autres valeurs sont inchangées, ce qui garantit la pérennité de l intégration basée sur ces valeurs. Perceptive Workflow exploite la puissance du masquage en autorisant la configuration de files d attente dans lesquelles seul le personnel autorisé (par exemple, le responsable de la sécurité, de la confidentialité ou des informations) peut masquer des documents spécifiques avant que d autres puissent y accéder. Chiffrement des communications La confidentialité des données en conformité avec la réglementation exige plus que la gestion des droits d accès et la protection des documents. Il est aussi essentiel de protéger les liens entre les composants du système, comme les serveurs et les clients connectés, afin d éviter que le contenu numérique tombe dans de mauvaises mains. Qu il s agisse de stocker une image numérisée sur le serveur ou d envoyer en streaming une image demandée à un client, Perceptive assure le chiffrement des communications à l aide de l Advanced Encryption Standard (AES-128), la norme de chiffrement approuvée par la National Security Administration pour le transport des informations classées «Secret». Perceptive a reçu la certification Common Criteria Evaluation and Validation Scheme for IT Security (CCEVS) au niveau Evaluation Assurance Level 2+ par la National Information Assurance Partnership (NIAP). Les États-Unis et 22 autres pays, dont la France, l Australie, la République tchèque, l Inde, le Japon et le Royaume-Uni, ont reconnu les CCEVS comme critères officiels d évaluation des tiers dans le cadre des procédures de sécurité informatiques. La NIAP est une initiative du gouvernement américain qui réunit le National Institute of Standards and Technology (NIST) et la National Security Agency (NSA). Le CCEVS est un programme national pour l évaluation des produits informatiques en termes de conformité aux International Common Criteria for Information Technology Security Evaluation. Ce programme aide les consommateurs à choisir des produits informatiques qui répondent à leurs exigences de sécurité, et les constructeurs de ces produits à entrer sur le marché. Perceptive a été soumis aux tests du Common Criteria Testing Laboratory par la Science Applications International Corporation (SAIC), un des neuf centres d évaluations habilités par la NIAP à réaliser ces tests. La SAIC a évalué Perceptive par rapport aux critères Common Criteria Evaluation Assurance Level (EAL) 2, complétés par les critères Correction d anomalies et Examen des guides. Les tests ont confirmé que Perceptive répond aux exigences de la certification EAL2+, y compris les critères Correction d anomalies et Examen des guides. CERTIFICATION 9 Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire

10 Audits Les raisons des audits 10 Les audits constituent un aspect important de la gestion du cycle de vie de l information. Ils sont un composant essentiel du respect des réglementations qui exigent des preuves de la protection des données confidentielles. Les fonctions Perceptive de gestion des identités des utilisateurs, de protection des documents et de sécurité des données des serveurs forment un écran de protection contre les menaces externes. Mais les activités des utilisateurs et des systèmes doivent également être surveillées. Les fonctions d audit et de journalisation de Perceptive sont là pour ça. Une politique efficace de conformité comprend une approche systématique d audit des processus métier, y compris le programme de gestion des dossiers et archives, la vérification de la conformité et les processus technologiques. Un audit interne régulier présente les avantages suivants : 1. Garantie du respect des standards et pratiques internes 2. Facilitation du respect des réglementations et standards imposés par les organismes de supervision AUDIT La console d administration du serveur Perceptive offre une interface graphique qui permet aux administrateurs de configurer de multiples modèles d audit afin de journaliser jusqu à 500 fonctions différentes. 3. Amélioration de l efficacité par la création de règles et processus clairement définis 4. Démonstration de l habilité de votre organisation en cas d audit externe Les fichiers journaux enregistrent chaque action suivie (visualisation, suppression ou réindexation d un objet), ainsi que les détails associés, comme l identifiant de l utilisateur, son nom, la date et l heure, la durée, le statut et le type d audit. Les informations du client enregistrées dans les fichiers journaux comprennent la version d API, l adresse IP, le nom d utilisateur Windows, le domaine Windows, le nom de l ordinateur et le type de client. Les rapports qui en résultent peuvent vous aider à suivre les activités de certains individus ou groupes d utilisateurs, et peuvent contribuer à la résolution des incidents. De plus, Perceptive prend en charge de multiples types de journalisation, par une combinaison de paramètres au niveau du client et du serveur. La journalisation peut être activée pour enregistrer l activité de l utilisateur sur le client, les interactions entre l utilisateur et le serveur, les actions du serveur et l authentification de l utilisateur. Gestion des dossiers et des archives (Records and Information Management, ou RIM) Le composant Gestion des dossiers et des archives (RIM) de Perceptive Software est le Retention Policy Manager (voir page 12). Il gère la confidentialité et la sécurité des données à l aide d une fonction intégrée et facile à utiliser de conservation à des fins juridiques. Celle-ci interdit la modification et la suppression des informations désignées, même au-delà d une période de rétention spécifique. En quelques clics, les documents concernés sont instantanément verrouillés et accessibles uniquement aux utilisateurs autorisés dans le cadre des procédures d audit et d enquête légale. Le système peut même suivre toutes les tentatives d authentification, ou uniquement les tentatives échouées, en fonction d un paramètre du serveur Perceptive.

11 3Accessibilité des données L information doit être accessible aux utilisateurs autorisés, pour qu ils puissent les communiquer dans un objectif légal, comme le règlement des conflits ou les audits. Fonctions de recherche À son niveau le plus basique, l accessibilité des données dans une optique de conformité comprend la localisation facile du contenu d entreprise par les personnes qui y ont accès. Perceptive permet un accès instantané aux documents en un seul clic, depuis vos applications métier. Il autorise également la recherche manuelle par une combinaison de valeurs d index, de propriétés spécifiques et de termes ou phrases présents dans un document. Les requêtes enregistrées et les vues prédéfinies enrichissent encore la facilité et la commodité de recherche des documents par les utilisateurs autorisés. Fonctions d affichage Perceptive permet aux utilisateurs autorisés de visualiser quasiment n importe quel type de document par l intermédiaire de différents clients, dont des applications autonomes, des clients Web et des applications tierces. Les documents sont ainsi accessibles aux utilisateurs autorisés indépendamment de leur localisation. Accessibilité entre les plates-formes L agent de gestion des messages d ImageNow (ImageNow Message Agent) est une couche intermédiaire dans l architecture du système. Il utilise des messages XML pour rendre accessibles certaines fonctionnalités à des applications externes par l intermédiaire de services Web. Il assure la connexion en vue de cette accessibilité quasi universelle depuis d autres applications, dans la mesure où elles sont écrites dans des langages compatibles avec les normes SOAP et WSDL. Modèle de stockage des documents Le modèle hybride de stockage des données de Perceptive assure l accessibilité et maximise la performance des entrées/sorties en permettant un accès rapide, même pour les référentiels de grande taille utilisant différentes technologies de stockage. En séparant les métadonnées du document lui-même, Perceptive permet à chaque composant de stockage de faire ce qu il fait le mieux. Le stockage structuré d une base de données relationnelle est optimisé pour les données, et peut rapidement enregistrer, rechercher et extraire les métadonnées des documents, sans gérer les grands fichiers binaires que certains systèmes stockent dans des tables SQL. Les documents eux-mêmes sont placés dans des systèmes de fichiers, sous le contrôle du serveur Perceptive, ce qui signifie que le stockage des documents peut être étendu simplement en ajoutant du volume, sans toucher à la base de données ni au matériel. Avec Perceptive, l accès aux documents dont vous avez besoin est rapide et aisé, quelle que soit la taille de votre système. Gestion des dossiers et des archives (Records and Information Management, ou RIM) Le composant Perceptive de gestion des dossiers et des archives, Retention Policy Manager (voir page 12), protège l intégrité des données, tout en conservant le contenu de l entreprise indéfiniment, ou pour une période spécifique définie par vos règles de rétention. Si l entreprise a conçu correctement ses règles et dispose d une zone de conservation des documents à des fins juridiques, aucun dossier ne peut être détruit, et aucune donnée ne peut être modifiée ou supprimée, sans une action délibérée d un individu autorisé, dans les limites des éventuelles règles de rétention applicables. La modification ou la suppression involontaire ou non autorisée d information est ainsi évitée, même si la période de rétention est arrivée à son terme. Fonctions de workflow Certains documents ne peuvent pas être partagés sans une autorisation appropriée. Perceptive Workflow peut être aisément configuré pour acheminer ces documents dans un processus de revue rationalisé, régi par vos propres politiques, par les exigences réglementaires et par vos règles métier. En ce qui concerne l accessibilité et la responsabilité, le workflow est une solution qui établit un compromis entre la réponse aux demandes des utilisateurs et l exigence d une procédure définie et auditable. Fonctions de production L accessibilité va souvent bien au-delà de la simple consultation des documents sur un ordinateur. Elle implique la mise à disposition du contenu sous de multiples formes, pour répondre aux besoins des personnes qui le recherchent. Avec Perceptive, les utilisateurs autorisés peuvent facilement envoyer par , imprimer ou exporter des copies conformes des documents, ce qui facilite le traitement des demandes des clients, des audits et des procédures de reconnaissance. 11 Le rôle essentiel de la gestion de contenu d entreprise dans la conformité réglementaire

12 Perceptive Software : Votre partenaire dans la gestion de la conformité Gestion des dossiers et des archives (Records and Information Management, ou RIM) Nous ne pouvons pas vous débarrasser de la réglementation. Mais nous pouvons vous aider à y faire face. 12 GESTION DES DOSSIERS ET DES ARCHIVES Le respect des exigences réglementaires de plus en plus nombreuses impose aux entreprises de disposer d une approche systématique de gestion, consultation, conservation et suppression de leurs actifs informationnels précieux. Les produits Perceptive de gestion des dossiers et des archives constituent une solution intuitive de suivi, d audit et d accès aux documents et au contenu stockés dans le système Perceptive, depuis la création jusqu à l élimination finale. Ils permettent à votre organisation de gérer automatiquement la totalité du cycle de vie de l information, tout en réduisant les risques légaux, en renforçant les initiatives de conformité et en réduisant les coûts par une recherche efficace. L option Retention Policy Manager (RPM) prend en charge les aspects de conformité liés à la rétention : ~ ~ Conception des règles de rétention : Définition rapide de règles de rétention basées sur la durée ou sur des événements, avec de multiples phases. Vous pouvez ainsi transférer, conserver et détruire automatiquement tous les types de documents en fonction de vos exigences métier et des règles légales. ~ ~ Conservation à des fins juridiques et de gestion des conflits : Création facile d un emplacement de conservation évitant la modification ou la suppression d information, même si la durée de rétention est arrivée à son terme. Facilité de recherche des informations pertinentes. Application des règles de conservation pour garantir que vos informations sont bloquées jusqu à la levée de la conservation. ~ ~ Suivi des documents physiques : Facilité de suivi des documents physiques par la création d une référence dans le système, gérable par des règles et un emplacement de conservation. La référence physique est instantanément accessible et affiche la localisation exacte du casier, du dossier ou du document. ~ ~ Approbation des éliminations : Exige automatiquement l approbation d un utilisateur, ou d un groupe d utilisateurs dans un ordre prédéfini, avant transfert ou destruction. En centralisant toutes les données non structurées, les documents et les données de l entreprise dans une architecture unifiée qui assure l intégrité des données, leur confidentialité, leur sécurité et leur accessibilité, le système Perceptive Software de gestion du contenu d entreprise est devenu le composant essentiel de la stratégie de conformité de centaines d organisations. Construit autour d un modèle de stockage à haute performance, Perceptive capture et centralise presque tous les types de contenu, y compris les s, les pièces jointes, les fax, les rapports, les documents papier numérisés ou les fichiers importés. Le contrôle des versions, les signatures électroniques, le suivi des documents physiques et l accessibilité structurée par le workflow : tous ces éléments permettent à Perceptive de rendre vos informations disponibles sur une large gamme de plates-formes. Avec un sous-système rigoureux d authentification et d autorisation, Perceptive protège également la sécurité de vos données, et consolide vos initiatives de conformité. Enfin, Perceptive intègre votre contenu à un cadre de gestion de la rétention, assurant une meilleure maîtrise des accès, du contrôle, des audits et de l élimination des informations de l entreprise sur n importe quelle durée. Les produits Perceptive Software aident les entreprises à assurer leur conformité, mais aussi à transformer les investissements informatiques imposés par la réglementation en des outils d amélioration de l efficience et de la rentabilité. À propos de Perceptive Software Perceptive Software, filiale de Lexmark (code NYSE : LXK), développe une famille complète de produits de capture intelligente, de gestion des processus et du contenu, de recherche pour les entreprises et d intégration, qui connectent vos applications aux processus et aux informations qui n y sont pas gérés, et qui donnent la visibilité et la maîtrise dont vous avez besoin pour améliorer la performance financière, réduire les risques et assurer votre flexibilité future. ~ ~ Audit : Génération facile d un certificat de destruction et production d une chaîne de conservation de toute l information. Des audits détaillés valident l exactitude de votre information à tout moment.

13 22701 West 68th Terrace Shawnee, KS USA tf tel fax Lexmark International SAS 18 rue Flourens Horizon Building Defense Suresnes France tel fax Perceptive Software, LLC. All rights reserved.