De la dématérialisation à l intelligence économique

Dimension: px
Commencer à balayer dès la page:

Download "De la dématérialisation à l intelligence économique"

Transcription

1 De la dématérialisation à l intelligence économique

2

3 De la dématérialisation à l intelligence économique Ce document est issu des conférences et débats organisés par FedISA le 29 janvier 2008 En partenariat avec

4 La synthèse des interventions a été assurée par la rédaction de Best Practices Systèmes d Information Best Practices International, , rue du Gué Rueil-Malmaison FedISA, , avenue Victor Hugo Paris Le Code de la propriété intellectuelle interdit les copies ou reproductions destinées à une utilisation collective. Toute représentation ou reproduction intégrale ou partielle faite par quelque procédé que ce soit, sans le consentement des auteurs et des éditeurs, est illicite et constitue une contrefaçon sanctionnée par les articles L et suivants du Code de la propriété intellectuelle. Impression : Studio Pixart srl, via Brunacci 7, Marghera - Italie 4

5 SOMMAIRE ENVIRONNEMENT DE CONFIANCE page 7 page 19 page 23 page 31 Dématérialisation et archivage électronique : état et développement du marché, stratégies des acteurs Jean-Marc Rietsch, Président de FedISA Sécurité et stockage : les questions-clés Cyril Van Agt, Responsable avant-vente Grands Comptes, NetApp Preuve électronique et système d information Eric Caprioli, Avocat à la Cour Imprimerie Nationale : de l impression de papier à une plate-forme de confiance Loïc De La Cochetière, Président directeur général de l Imprimerie Nationale DéMATéRIALISATION ET SYSTèME D INFORMATION page 41 page 51 Sécurité et évolution des systèmes d information Philippe Rosé, Rédacteur en chef de Best Practices Systèmes d Information De la problématique de l archivage dans une grande entreprise Didier Lambert, DSI d Essilor, Président du Cigref (Club informatique des grandes entreprises françaises) SéCURITé ET INTELLIGENCE économique page 57 page 63 Identification et authentification des personnes Jean-Marie Giraudon, Vice-Président de Gemalto Protection du patrimoine informationnel : enjeux et stratégies d intelligence économique Alain Juillet, Haut responsable à l intelligence économique 5

6 L intervenant Jean-Marc Rietsch est ingénieur Civil des Mines, expert en archivage électronique et Président de FedISA (Fédération Européenne de l ILM du Stockage et de l Archivage). Il a débuté sa carrière professionnelle par le développement logiciel et l offre de services pour les PME-PMI. En 1993, il oriente sa carrière vers la sécurité et plus particulièrement la sauvegarde des données informatiques et dépose un brevet sur le sujet. En 2001, Jean-Marc Rietsch participe au lancement du premier tiers archiveur en France. Il est également : - Membre fondateur du CoRef (Confiance Référencement) et ancien expert au CoDil ( Comité Directeur du Label) qui a été remplacé par le CoRef. - Membre du groupe de travail animé par le Forum des Droits sur Internet ayant produit un rapport paru en décembre 2005 avec des recommandations concernant «La conservation électronique des documents». - Instigateur et coauteur de l ouvrage «L archivage électronique à l usage du dirigeant» en collaboration avec le Cigref. - Auteur de «Dématérialisation et archivage électronique, mise en œuvre de l ILM (Information Lifecycle Management)» paru chez Dunod en novembre

7 Dématérialisation et archivage électronique : état et développement du marché, stratégies des acteurs Par Jean-Marc Rietsch La dématérialisation correspond, dans l esprit de beaucoup, à la numérisation de documents existants. Cela correspond, bien sûr, à la réalité, mais ce n est pas suffisant. La dématérialisation concerne aussi, et de plus en plus, la mise en œuvre de processus complets, sans aucun papier (par exemple pour la télétva, le téléir, les factures,...). De même, l archivage électronique ne constitue pas une simple transformation de l archivage traditionnel papier en électronique. Cela va beaucoup plus loin, car cela concerne toute l organisation du cycle de vie de l information et correspond ainsi à une nouvelle organisation des données dans l entreprise. L archivage électronique traite essentiellement des données d origine électronique. L archivage électronique ne doit pas être vécu comme une contrainte, un mal nécessaire, mais doit favoriser une nouvelle organisation de l information pour une plus grande efficacité dans l entreprise. Gérer des volumes croissants d informations On observe une très forte croissance des volumes d informations. Par exemple, pour les s, les cabinets d études estiment que le volume de mails a augmenté de 350 % au cours des cinq dernières années, passant de 10 milliards à 35 milliards (IDC). Selon Gartner, le volume de mails va augmenter au moins de 30 % par an. L ensemble des entreprises devrait archiver pétaoctets de mails à horizon Pour Forrester, les grandes entreprises génèrent de l ordre d un million d s par jour. Enfin, selon Radicati Group, le nombre moyen, pour un usage professionnel 7

8 (envoi/réception), est de 84 s (utiles) par jour qui nécessitent 10 Mo de stockage. Ces chiffres sont colossaux. Que représente un petaoctet? 100 mégaoctets (Mo) représentent le contenu d une pile de livres d un mètre de haut, 2 téraoctets (1012 octets) correspondent à tous les ouvrages d une bibliothèque universitaire et 2 pétaoctets (Po) aux fonds de toutes les bibliothèques universitaires des Etats-Unis! Parallèlement, on observe une croissance des exigences de conformité, de plus en plus de lois et réglementations concernent les données numériques. Il est en effet nécessaire d encadrer la dématérialisation et dans tous les domaines : la finance (SOX, Bâle II, SEC 17a-4, LSF, règlement CRBF 97...), la santé et la pharmacie (Health Insurance Portability and Accountability Act (HIPAA), CFR 21 part 11...) ou les données personnelles (CNIL...). Conséquence : la croissance des risques est, elle aussi, une tendance lourde, avec des menaces qui se manifestent par exemple par des pertes d informations, des usurpations d identités, des accès non autorisés, des falsifications ou des destructions de documents... Cette liste n est pas exhaustive alors que l information est la richesse même de l entreprise! Emergence de l electronic discovery L electronic discovery ou ediscovery correspond à tout un processus (recherche, identification, sécurisation) pour lequel une donnée électronique doit potentiellement être recherchée avec l intention de l utiliser comme un élément de preuve au cours d un litige. Cela peut paraître simple de retrouver une information numérique : mais si une entreprise gère plusieurs centaines de millions de mails et que la réglementation l oblige à retrouver une information en moins de trois jours, on perçoit l ampleur de la tâche, si elle n est pas anticipée. 8

9 On observe également une rupture du document numérique avec le support. Dans le cas d un document traditionnel, l inscription est indissociable de son support et est directement perceptible (intelligible) par la lecture à l œil, comme sur une feuille de papier. Dans le cas d un document numérique, qui combine une structure, des données et une mise en forme spécifique, on a toujours besoin d un objet (support) mais qui n est plus suffisant pour la lecture directe. Il est en effet nécessaire d avoir recours à un processus capable de traduire, en fonction du format de conservation utilisé, la suite d octets enregistrée sur le support afin de la rendre compréhensible à l être humain. Ainsi, la donnée conservée n est pas celle que l on voit : il faut trier les octets pour les rendre intelligibles à l être humain qui en a besoin le moment venu. La notion même de support se complexifie et devient ambiguë : est-ce par exemple le fichier d origine, l outil matériel qui l héberge ou la surface de l écran où il s affiche? Nous sommes donc contraints d effectuer cette dissociation entre le support et le contenu informationnel. C est d autant plus vrai qu une donnée mise en archivage sur un support spécifique sera sûrement amenée à changer de support au cours du temps. C est d ailleurs un paradoxe de devoir conserver indéfiniment des informations sur des supports qui seront obsolètes très rapidement, souvent à un horizon de trois ans. I comme information, L comme cycle de vie, M comme management La prise en compte du cycle de vie de la donnée (ou ILM : Information Lifecycle Management) est donc nécessaire. On s intéressera ainsi au I comme Information (professionnelle ou personnelle, transactionnelle ou figée), au L comme cycle de vie (Lifecycle) et au M comme management. Les données peuvent être classifiées en deux catégories : les données transactionnelles et le contenu figé. Les données transactionnelles nécessitent une mise à jour continue, des écritures/lectures de petits blocs fréquentes, et se caractérisent par une faible latence et une haute performance, par exemple avec les bases de données, les solutions ERP, les applications financières, de gestion de ressources humaines. Le contenu figé regroupe des données qui ne sont plus modifiables après la création et qui sont le plus souvent des données de références, formées par des blocs physiques non structurés, ainsi qu une immuabilité et une authenticité du contenu (par exemple pour les contenus audio, vidéo, les images, les documents et images chèques ou les données d archives). 9

10 Pour les données transactionnelles, les solutions sont mieux gérées par les DAS, SAN et NAS. Pour le contenu figé, les solutions sont mieux gérées par les disques/bandes WORM, le Content Addressed Aware Storage (CAS). 10

11 En fait, le cycle de vie d une information comprend trois périodes. La première commence à la création de l information et se termine lorsque la donnée est figée. On notera que les s sont figés dès leur création, on ne fait qu ajouter des informations au contenu d origine. La seconde période, le «record management», concerne les données que les entreprises ont obligation de conserver. Enfin, la troisième période est l archivage patrimonial qui concerne 1 à 5 % des informations dans les entreprises (beaucoup plus pour le secteur public). La difficulté est de maintenir la chaîne de confiance pendant toute la durée de conservation nécessaire car la qualité et la sécurité de cette chaîne ne vaut que par le maillon le plus faible. Le management consiste à avoir une vue d ensemble de l information produite et archivée, sous l angle des volumes et par une approche qualitative. Il s agit d évaluer les risques par rapport aux obligations de conformité (compliance) en interne, et, bien sûr, de maîtriser les coûts (rapport coût/efficacité). Il ne s agit pas de se faire plaisir mais d avoir un état d esprit de type ROI (retour sur investissement). Le processus d archivage électronique est toutefois soumis à un certain nombre de contraintes, qui s expriment dans les domaines techniques, réglementaires et sécuritaires. Les contraintes techniques concernent quatre éléments : - les formats logiques, - les supports (formats physiques), - les migrations, - la signature électronique. Concernant les formats, il faut toujours être capable d interpréter les éléments conservés afin de les rendre intelligibles. Il existe différents types de formats : standards (normalisés, utilisation libre), ouverts (spécifications publiques), propriétaires (définis par une entreprise privée et soumis à des droits), ou fermés (spécifications secrètes). Il est fortement déconseillé d utiliser les formats fermés : il faut en effet toujours être capables d interpréter les éléments archivés. 11

12 Les supports WORM Les supports WORM (Write Once, Read Many) sont des dispositifs matériels et/ou logiciels garantissant une écriture non modifiable dans le temps. Autrement dit, on écrit une fois, on relit autant de fois que l on veut et l on ne peut plus effacer et/ou modifier le contenu. Notons qu une technologie émergente (WORM Compliant) permet un effacement d un enregistrement une seule fois sur support UDO (Ultra Density Optical). Ainsi, on écrit une fois, on lit autant de fois que désiré, mais on peut effacer l enregistrement une seule fois. En effet, on ne peut pas conserver sans oublier : il y a des obligations de destructions. Si on dispose de supports contenant énormément d informations, pour supprimer une information spécifique, il faut recopier toutes les autres : il est plus facile d avoir un accès direct pour faciliter l effacement. Anticiper les migrations Les migrations sont indispensables, compte tenu de l évolution technologique. C est la réponse au paradoxe de l archivage électronique : conserver pendant de longues périodes en utilisant des supports obsolètes. Il faut savoir migrer, ne serait-ce que compte tenu des évolutions technologiques. Mais ces migrations doivent être anticipées et planifiées. Il existe deux grands types de migrations : au niveau des supports physiques, sans grande conséquence, ou au niveau du format logique. Dans ce cas, c est plus délicat, car l intégrité de l information peut être affectée. La signature électronique permet d identifier le signataire et de garantir l intégrité du document traité au sens de l intégrité technique (et non intégrité de l information). Il est souvent impossible de changer de format voire de version d un même format sans perdre la visibilité de la signature. Cela nécessite donc de conserver des informations complémentaires destinées à pouvoir vérifier la signature dans le temps ou d avoir recours à d autres processus complémentaires amonts. Quelles valeurs légales? Les contraintes légales regroupent les obligations relatives à l archivage ainsi que les conditions de la valeur probante. Les principales obligations légales d archivage 12

13 résultent de la loi du 3 janvier 1979 sur les archives (Code du patrimoine), la loi du 13 mars 2000 portant adoption de la preuve aux technologies de l information et relative à la signature électronique, et la loi du 21 juin 2004 pour la confiance dans l économie numérique. Pour obtenir une valeur probante, il faut respecter deux conditions. La première est le respect des conditions légales prescrites dans les textes, notamment l intelligibilité : peu importe la forme de l information, l essentiel étant qu elle soit restituée de façon intelligible par l homme et non par la machine. Il faut également respecter l identification de l auteur (prendre en compte le cycle de vie très tôt au moment où le document se fige), garantir l intégrité (au sens juridique du terme, sur le contenu informationnel pour prouver sa non modification en cas de changement de support ou de changement de format, d où la nécessité de tracer) et assurer la pérennité, base de l archivage électronique car il s agit de respecter les durées de conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions. Seconde condition : la fiabilité du procédé technique d archivage. Elle peut s effectuer par un contrôle par le juge de la conformité du système d archivage avec les normes techniques en vigueur ou les bonnes pratiques, par une labellisation ou le recours à des experts informatiques. Les contraintes sécuritaires relèvent des mécanismes classiques utilisés pour protéger l information : - identification, authentification, - confidentialité, contrôle d accès, - disponibilité, communication, - accessibilité, habilitation, - intégrité, - pérennité, durée de conservation, - traçabilité, conservation des actions. Assurer la cohérence de la politique d archivage Comment élaborer une politique d archivage efficace? La politique d archivage répond à une nouvelle organisation de l information. La première étape consiste à qualifier l information. La seconde porte sur l optimisation du processus d archivage et l introduction de différents niveaux de services. La troisième étape fait intervenir les tiers de confiance et la notion d audit afin de vérifier la conformité du système mis en place par rapport aux objectifs fixés dans la politique. 13

14 La qualification de l information repose sur l identification des métadonnées, donnés complémentaires qui suivent les données de base pour gérer l information, selon plusieurs critères : de contexte, de source, de contenu, de forme, de format (savoir quel format), de sensibilité, d accès et de durée de vie. L information doit également faire l objet d un accompagnement dans son cycle de vie (la donnée est vivante), en fonction de l évolution de son caractère vital-critique (face aux risques de perte), de l évolution de la confidentialité (à la baisse ou à la hausse). Il importe également de gérer la durée de conservation (qui n est pas fixe), notamment en différenciant la validité pour l action ou pour la preuve, la destruction à terme (CNIL), la prolongation ou la révision des données, ainsi que la réactivation par suite d une évolution de la législation ou d un contentieux Métadonnées d informations Index Format Origine Métadonnées de gestion Durée de conservation Protection Migration Le document d origine dispose ainsi d un contenu informationnel auquel s ajoutent des métadonnées complémentaires (index, format) et de gestion (durée de conservation, protection, migration, quand doit-on détruire, combien de temps). Il faut dès lors respecter cette nouvelle contrainte de devoir alimenter les métadonnées au fur et à mesure de l évolution du document, comme par exemple penser à compléter les propriétés d un document Word. L organisation autour de la politique d archivage se matérialise par une courbe en double «S». La politique d archivage est au centre, et tient compte de toutes évolutions législatives et réglementaires. Elle tient compte également du fait que quand, d un point de vue technique, le système d archivage est en place, il faut vérifier régulièrement qu il est conforme aux objectifs fixés. Ce que beaucoup d entreprises oublient trop souvent. Dès qu un changement intervient, il faut avoir la garantie que 14

15 le système est toujours conforme. Autre avantage : la politique d archivage permet de fédérer dès le départ l ensemble des intervenants qui sont concernés : ce n est pas seulement la DSI, le RSSI, les métiers, les juristes, les archivistes, mais toutes ces fonctions qui doivent travailler ensemble. La politique d archivage doit être bâtie de façon collaborative, avec des échanges et une parfaite compréhension de ce que chacun doit faire en fonction de ses responsabilités. Une politique d archivage n a toutefois pas besoin de se matérialiser par un document de plusieurs centaines de pages, il importe de demeurer pragmatique et de s aligner sur la politique de sécurité de l entreprise. Organisation autour de la politique d archivage Le rôle central des tiers de confiance Les tiers de confiance s inscrivent dans plusieurs catégories : - les certificateurs (autorité, opérateur) dont la mission est de vérifier la validité des certificats électroniques, - les horodateurs (certification des dates et des heures), - les archiveurs, pour l intégrité et la pérennité des données, - les autorités de gestion de preuve, qui fournissent des attestations de preuve destinées à prouver la validité d une signature électronique dans le temps. En termes d organisation générale des tiers de confiance, on retrouve les composantes suivantes : autorité, opérateur, contrôle audit et autorité annexe. L AGP (Autorité de gestion de preuve) vérifie un document signé électroniquement, édite une attestation, après avoir vérifié l intégrité et la validité des certificats, la renvoie au demandeur, et la conserve. Cette attestation est conservée de façon sécurisée, en tenant compte de 15

16 l obsolescence cryptographique. En effet, les algorithmes d aujourd hui auront probablement été cassés dans dix ans, il faut donc anticiper pour garantir l intégrité même si le document est signé avec un algorithme qui se révélera, avec le temps, fragile. Intérêt du dépôt électronique notarial Outre ceux mentionnés plus haut, il existe d autres types de tiers de confiance qui existaient avant la dématérialisation. Prenons l exemple du dépôt électronique notarial. Le notaire est un officier public délégataire du Sceau de l État (les actes qu il signe ont valeur de preuve). C est le tiers de confiance par excellence (tiers rédacteur, tiers d archivage, tiers d horodatage), il ne faut pas l oublier. Il vérifie l identité et la capacité des parties. L acte authentique notarié confère une force probante, une date certaine et une force exécutoire. La durée de conservation des actes notariés est sans limite dans le temps. Ce processus peut s effectuer avec un dépôt électronique. Le service de «dépôt électronique notarial» permet d abord de constituer à tout moment la preuve que des documents numériques existaient à une date donnée. Ensuite, de conserver ces documents sur support électronique pour un temps déterminé en un lieu sécurisé (le «coffre-fort électronique») garantissant leur confidentialité et leur intégrité pour le temps convenu. Enfin, le dépôt électronique notarial permet de disposer à tout moment des documents déposés, soit en en obtenant une copie tout en les conservant en dépôt, soit en demandant la restitution pure et simple, sans conservation d un exemplaire ou d une copie. L acte authentique contient les empreintes de l enveloppe électronique (données d indexation renseignées par le notaire et les documents déposés) ainsi que les empreintes de chaque document déposé. Le processus peut paraître lourd mais il fournit de fortes garanties en matière de preuve d existence d un document à une date donnée. Le monde des notaires bouge beaucoup, en témoigne une initiative européenne menée par les notaires italiens, allemands, hollandais et français : le ewitness. Les services ewitness concerne les documents (archivage et certification de documents électroniques pour le long terme), les mails (enregistrement de services de mail avec notion d accusé de réception, que le notaire signe), le téléphone (archivage et certification du contenu de conversations téléphoniques sur IP) et le Web (certification et authentification de transactions avec une véritable valeur légale). 16

17 L interface XAM XAM (extensible Access Method) est une initiative SNIA (Storage networking industry association) pour l archivage des données. Elle définit, pour la réalisation d un service d archivage (stockage à contenu fixe), une interface standard (API) entre une application, un logiciel d administration (Consumers) et systèmes de stockage (Providers). XAM permet le respect des règles légales pour la conservation et la sécurité appliquée aux données. XAM fixe des règles de gestion de la donnée (ILM) : des métadonnées ajoutées permettent la classification et l annotation, les règles ILM sont enregistrées dans des champs prédéfinis et sont implémentées au niveau stockage et/ou par des solutions tierces ajoutées. Par ailleurs, XAM permet l accès universel aux données d archives, avec un stockage et une restitution des informations indépendant des applications. XAM permet également une interopérabilité basée sur les standards. Une application compatible XAM fonctionne (doit fonctionner) avec n importe quel fournisseur de stockage compatible XAM. Les métadonnées associées permettent l interopérabilité et les informations peuvent être migrées entre différents systèmes de stockage (pérennité). La première expérience pilote a été mise en place fin

18 L intervenant Cyril Van Agt est responsable avant-vente Grands Comptes chez NetApp depuis Il a été auparavant Consultant chez Oracle France, puis chez Ixos Software. 18

19 Sécurité et stockage : questions-clés et bonnes pratiques Par Cyril Van Agt Le besoin d archivage est de plus en plus lié à l explosion des données soumises à des contraintes réglementaires. On observe en effet la prolifération des réglementations, telles que SEC 17a-4, Sarbanes-Oxley, GoBS, SB 1386, Basel II, Check 21, Graham- Leach-Bliley Act, Patriot Act, HIPAA... De plus en plus de données sont donc concernées, qu elles soient structurées, semi-structurées ou non structurées. A cela s ajoutent de longues périodes de rétention. Par exemple, aux Etats-Unis, elles atteignent trois ans pour les s dans le cadre de la réglementation SEC 17a-4, cinq ans pour les données hospitalières et jusqu à la mort des patients pour les données médicales. Le choix d une plate-forme de stockage pour l archivage légal suppose d abord de se poser les bonnes questions. Retenons-en six, qui sont fondamentales dès lors qu une entreprise envisage de mettre en œuvre une politique cohérente de stockage. 1 - Puis-je vérifier que mes contenus resteront sous leur forme authentique pendant toute la durée de conservation requise? La conservation sécurisée des données doit s effectuer par une journalisation des écritures par cache, un checksum disques, des vérifications périodiques de l intégrité et une protection RAID contre les doubles pannes et les erreurs de media. Dans ce contexte, le mode WORM offre une protection contre toute altération ou effacement par l utilisateur, l application et même l administrateur, la gestion de la période de rétention avec une granularité enregistrement et l utilisation d une horloge séparée. 2 - Cette solution me protège-t-elle contre l obsolescence des technologies et garantitelle la disponibilité de mes documents sur le long terme? 19

20 Le support matériel doit être utilisable au plus loin possible, tant que la technologie le permet et il faut une garantie de relecture des archives dans le futur par utilisation de standards pour l accès aux données archivées (protocoles NFS-CIFS). Il importe également de prévoir une réplication en garantissant la propagation de l état WORM et une sauvegarde des archives (sur disque ou bande). 3 - En cas de requête ou de contentieux judiciaire, me donne-t-elle la possibilité de produire les pièces requises dans les délais prescrits? Les archives doivent être disponibles en ligne, à la lecture, même si l application est perdue. La lecture des enregistrements doit être possible via des protocoles ouverts NFS et CIFS. Par ailleurs, aucun impact en performance ne doit se produire et la recherche s effectuer à l aide d outils standards ou optimisés. 4 - Répond-elle à la fois aux besoins de mon activité et aux exigences réglementaires propre à mon secteur d activité? La réponse à cette question est variable selon le secteur de l entreprise. Il faut toutefois prévoir dans tous les cas une protection contre toute altération ou effacement par l utilisateur, l application ou même l administrateur. 5 - Est-elle compatible avec l ensemble des applications génératrices de contenus utilisées dans mon entreprise? Des connecteurs doivent être disponibles avec les acteurs majeurs de l archivage, avec une intégration simplifiée, sans API propriétaire. La solution doit se suffire à elle-même pour les données non structurées. 6 - Est-elle en mesure de faire face à l augmentation inévitable des volumes de contenus à archiver durablement et à un coût acceptable? Le volume de stockage doit être suffisant (par exemple jusqu à deux milliards d objets par baie et jusqu à un petaoctet par baie). L espace libéré en fin de rétention et après destruction doit pouvoir être réutilisé. 20

21 Les points clés pour le choix d une solution Pérennité - Solution ouverte, reposant sur des standards. - Support des applications d hier, aujourd hui et de demain. Performance et Disponibilité - Avantage au disque rapide par rapport aux bandes et aux medias optiques. Sécurisation - Protection contre incidents matériels et désastres de site. - Maintien de la chaîne de conformité. Conformité - Respect des régulations et exigences légales. Evolutivité - Gestion de l explosion des volumétries. 21

22 L intervenant Eric Caprioli est Docteur en droit, avocat à la Cour de Paris, spécialiste en droit de la propriété intellectuelle et des TIC. Vice-président de la Fédération Nationale des Tiers de Confiance (F.N.T.C.) et de la FedISA. Expert aux Nations Unies pour les questions de commerce électronique. 22

23 Preuve électronique et système d information Par Eric Caprioli «Non jus deficit sed probatio» : ce n est pas le droit qui est défaillant mais la preuve. Ce principe résume le fait que la preuve est l élément fondamental du droit. Elle est au droit ce que l ombre est à l homme. La preuve constitue ainsi la «démonstration de l existence d un fait ou d un acte (contrat, testament) dans les formes admises par la loi.». De cette définition découlent deux types de preuves. D une part, la preuve libre : il s agit de la preuve du fait juridique, entre commerçants, ou lorsque le montant d une transaction est inférieur à euros. Elle peut être apportée par tous moyens. D autre part, la preuve littérale : écrite, elle est liée à l acte juridique. Le principe de la preuve est le suivant : les contrats sont consensuels (sans forme particulière). Mais il y a trois exceptions particulières à la nécessité de la preuve par écrit (cas par défaut) : d abord, le commencement par écrit rend recevable d autres preuves dites imparfaites ou des présomptions ; ensuite, l impossibilité matérielle ou morale de se procurer un écrit (application en matière de la preuve des ordres de bourse passés par téléphone) ; enfin, la copie «fidèle et durable» (cas de l archivage en GED). Il existe des situations où l écrit n est plus seulement nécessaire à la preuve de l acte mais également à sa validité. Qu il s agisse de la volonté de protection du consommateur, par exemple avec l indication de mentions manuscrites, le cautionnement de crédit mobilier et immobilier à la consommation, l Offre préalable de crédit (OPC) et la rétractation ; ou de l importance des droits cédés ou concédés nécessitant un formalisme particulier (apposition d une mention particulière ), 23

24 par exemple pour le droit d auteur, le contrat de société (statuts), le nantissement commercial, les instruments cambiaires (lettre de change, chèque ), l écrit est nécessaire à l existence de l acte. Le développement des échanges par voie électronique nécessite certaines évolutions des pratiques classiques dans le domaine probatoire. On peut ainsi citer plusieurs textes significatifs de ces évolutions (voir encadré). Les principaux textes à connaître - Loi du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l information et relative à la signature électronique ; - décret du 30 mars 2001 pris pour l application de l article du Code civil ; - décret du 18 avril 2002 relatif à la certification des produits de sécurité ; - arrêté du 26 juillet 2004 portant schéma de qualification des P.S.C.E.; - loi du 21 juin 2004 pour la confiance dans l économie numérique (art et c. civ.) ; - décret du 16 février 2005 pris en application de l article L du Code de la Consommation (archivage > ou = 120 pendant 10 ans) ; - ordonnance du 6 juin 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs ; - ordonnance du 16 juin 2005 prise en application de l article 26 de la LCEN ; - décrets du 10 août 2005 introduisant les actes authentiques électroniques pour les actes notariés et les actes d huissier ; - décret du 25 novembre 2005 relative à la commercialisation à distance de services financiers auprès des consommateurs ; L écrit à valeur probante est régi par deux dispositions. La première est l article du Code civil : «l écrit sous forme électronique est admis en preuve au même titre que l écrit sur support papier, sous réserve que puisse être dûment identifiée la personne dont il émane et qu il soit établi et conservé dans des conditions de nature à en garantir l intégrité.» 24

25 La seconde disposition concerne la pluralité d originaux (article 1325 al. 5 du Code civil, innovation de l ordonnance du 16 juin 2005) : «l exigence d une pluralité d originaux est réputée satisfaite pour les contrats sous forme électronique lorsque l acte est établi et conservé conformément aux articles et et que le procédé permet à chaque partie de disposer d un exemplaire ou d y avoir accès.» L écrit ad validitatem concerne l exigence de l écrit requis à des fins de validité. L article du Code civil précise ainsi : «lorsqu un écrit est exigé pour la validité d un acte juridique, il peut être établi et conservé sous forme électronique dans les conditions prévues aux articles et et, lorsqu un acte authentique est requis, au second alinéa de l article 1317.» Cela signifie qu il faut un écrit pour la validité d un acte (par exemple pour un contrat de crédit à la consommation). Mais certains actes ne peuvent être dématérialisés (art du Code civil), par exemple le cautionnement personnel (les cautionnements commerciaux peuvent l être). Importance de la signature électronique Dans ce contexte, la signature électronique revêt une importance particulière dans tous les processus de dématérialisation (voir les documents publiés sur le site www. caprioli-avocats.com). Le principe est le suivant : tous les types techniques de signatures électroniques répondant a priori ou a posteriori aux exigences de l article du Code civil sont valables. Une signature doit permettre l identification de l auteur, la manifestation du consentement à l acte et elle confère l authenticité à l acte quand elle est apposée par un officier public. La signature électronique simple est définie par l article 1-1 du décret du 30 mars 2001, comme «une donnée qui résulte de l usage d un procédé répondant aux conditions définies à la première phrase du second alinéa de l article du code civil». Il s agit d un procédé fiable d identification qui garantit le lien avec l acte auquel elle s attache. Il convient de distinguer les notions d identification et d authentification. Identifier quelqu un consiste à établir l identité de la personne. Authentifier revient à certifier l exactitude de son identité. L article 4.e du Règlement CE n 460/2004 du Parlement européen et du conseil du 10 mars 2004 instituant l Agence européenne chargée de la sécurité des réseaux et de l information définit l authentification comme «la confirmation 25

26 de l identité prétendue d entités ou d utilisateurs». Le principe est d identifier une personne souhaitant accéder à un système d information grâce à un système d identifiant (login) assorti d un mot de passe. Face au risque de compromission ou de vol des identifiants, il faut avoir recours à un système d «authentification forte» consistant à vérifier avec quasi certitude que la personne qui s identifie est bien celle qu elle prétend être (par exemple avec un certificat électronique). La signature électronique sécurisée (SES) est une signature électronique qui doit satisfaire en outre aux trois exigences suivantes (art. 1-2 du décret du 30 mars 2001) : la sécurité et l identification personnelle («être créée par des moyens que le signataire puisse garder sous son contrôle exclusif» ), l intégrité («garantir avec l acte auquel elle s attache un lien tel que toute modification ultérieure de l acte soit détectable») et l unicité et l identification («être propre au signataire»). La SES présumée fiable se compose à la fois d un dispositif de création de signature certifié par la DCSSI (décret du 18 avril 2002) et d une vérification à l aide d un certificat électronique qualifié (décret du 30 mars 2001 et arrêté du 26 juillet 2004). Ainsi, l utilisation de la SES (avec dispositif de création de signature certifié et certificat qualifié) permet de bénéficier d une présomption de fiabilité. Selon l article 2 du décret du 30 mars 2001 : «la fiabilité d un procédé de signature électronique est présumée jusqu à preuve contraire lorsque ce procédé met en œuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l utilisation d un certificat électronique qualifié.» La présomption de fiabilité aboutit au renversement de la charge de la preuve. La preuve pèse alors sur celui qui conteste la fiabilité du procédé de signature utilisé. Les articles et du Code civil constituent la base pour reconnaître la valeur juridique d un écrit sous forme électronique, en tant que preuve, en tant que formalité ad validitatem et en tant qu original. La fiabilité de la signature électronique est donc essentielle pour les écrits sous forme électronique (sauf pour les commandes en ligne). Concernant les commandes en ligne de produits, ce sont les articles et s. du Code civil qui trouvent à s appliquer. La gestion de la preuve présente plusieurs intérêts. Même si elle n est pas une activité juridiquement définie, elle est pourtant essentielle. L objectif est de convaincre un juge de la valeur juridique et de la force probante d un écrit sous forme électronique (signature électronique). 26

27 Le rôle de l Autorité de gestion de preuve Une politique de gestion de la preuve doit être écrite sur la base des engagements (obligations et responsabilités «juridiques») relatifs à la fiabilité technique et organisationnelle vis-à-vis de clients. Elle décrit les rôles de l autorité en charge de la gestion de la preuve, les processus de création de l attestation de preuve délivrée et de l archivage de la preuve. La gestion de preuve peut s effectuer avec un tiers indépendant : une autorité de gestion de preuve (AGP), entité en charge de garantir que la validité de données est assurée au moment de l émission de l attestation de preuve. Les éléments suivants sont alors vérifiés : l origine des données dont la validité doit être attestée, la signature électronique (intégrité des données et validité du certificat à la date de réception des données, chemin de confiance), et un jeton d horodatage indiquant la date à laquelle l attestation de preuve est établie. L autorité de gestion de preuve est responsable de la validité des Attestations de preuve établies conformément aux pratiques figurant dans la politique de gestion de preuve. Elle archive pour son compte ses exemplaires d attestations de preuve. Les obligations de l Autorité de gestion de preuve - L AGP est responsable des opérations relatives aux attestations de preuve réalisées par l une quelconque des composantes de l AGP ; - Information et documentation apportées par le client ; - Etre auditable ; - Respecter des règles de sécurité ; - Effectuer la journalisation des opérations effectuées ; - Garantir l intégrité des données ; - Archiver les fichiers de preuve (et les attestations). Une attestation de preuve, qui est l affirmation, par l AGP, de la validité juridique d un fait ou d un acte au moment de leur transmission à l AGP, contient plusieurs éléments : - les relations de faits auxquelles l AGP a assistées ou qu elle a constatées ; - le résultat des vérifications effectuées par l AGP ; - les coordonnées détaillées de l auteur de l attestation de preuve ; - l indication qu elle est établie en vue de sa production en justice ; 27

28 - les limitations de responsabilité liées à l attestation de preuve et notamment liées à la valeur maximale d utilisation et aux limitations d usage du certificat. - la signature électronique du système de l AGP. Dans le cadre de sa gestion de l attestation de preuve, l AGP doit effectuer plusieurs tâches : - traiter les demandes d attestations de preuve ; - vérifier la signature électronique ; - effectuer la génération des attestations de preuve ; - assurer la transmission des dossiers de preuve au client ; - transmettre le paquet de données à archiver au client ; - archiver ses exemplaires de dossiers de preuve ; - assurer l accessibilité aux dossiers de preuve archivés par l AGP ; - conserver une trace imputable des actions émanant du client. L AGP a la responsabilité de la mise en œuvre du système qui permet de générer les attestations de preuve et elle assure la gestion de leur cycle de vie selon les demandes du client. Les données opérationnelles à archiver concernent les demandes d attestation de preuve, les exemplaires des dossiers contenant l ensemble des données (attestation, jeton d horodatage, etc.), les fichiers de configuration des équipements informatiques de l AGP, et les journaux d événements. Les données doivent être archivées en utilisant un format destiné à en garantir la lisibilité dans le temps. Un contrôle d intégrité doit être opéré tout au long de la conservation des données. Des dispositifs de vérification d intégrité basés sur l empreinte des documents doivent ainsi être régulièrement réalisés. La sécurité des données durant leur conservation doit être assurée à plusieurs niveaux : - Sécurité physique : accès aux locaux, pannes, conservation des medias - Sécurité organisationnelle : compétence, gestion des habilitations, séparation des rôles - Sécurité technique : contrôle des postes de travail, des mesures cryptographique, veille technologique - Sécurité juridique : confidentialité, accessibilité, intégrité, les engagements sont formalisés dans la PGP et le contrat. 28

29 Les régimes de preuves Si la gestion de la preuve électronique constitue de façon certaine un marché en devenir pour lequel la demande ne cesse de croître, l absence de textes relatifs à l établissement des attestations de preuve et à la conservation des données oblige à se conformer à l état de l art en la matière et à un encadrement contractuel rigoureux. La question de l assurance doit également être prise en considération. Le développement d une politique de gestion de la preuve cohérente repose donc sur une veille technologique et réglementaire, un management juridique des risques et le recours à une organisation pérenne. 29

30 Les intervenants Loïc de la Cochetière (photo) est Président directeur général de l Imprimerie Nationale, nommé par le Conseil des Ministres du 11 juin Il était auparavant directeur associé de la société de conseil en stratégie Lamco. Vincent Dreux est directeur du réseau Sakarah. Gilles Taib est directeur délégué Chronoservices. 30

31 Imprimerie Nationale : de l impression de papier à une plate-forme de confiance Par Loïc De La Cochetière (avec Vincent Dreux et Gilles Taib) L Imprimerie Nationale est une vieille maison, qui trouve son origine en Durant le précédent siècle, sa mission, couverte par un privilège de fait découlant de son statut de direction du ministère des Finances, est la fabrication des imprimés de gestion et de communication des administrations centrales de l Etat. Ce privilège a été conservé jusqu au 31 décembre A cette date, une loi a transformé l Imprimerie Nationale en société anonyme. Son monopole a ainsi été précisé, limité, et, de fait, sanctuarisé. Résultat : seulement 15 % du chiffre d affaires de l Imprimerie Nationale relevaient alors de du monopole ainsi défini. Il s agit de l ensemble des documents nécessitant des conditions particulières de sécurité : passeports, titres de séjour, documents d identité Le reste des 250 millions d euros du chiffre d affaires de l époque relevait du domaine concurrentiel. Entre 1994 et 2003, pour faire face à l ouverture à la concurrence de l essentiel de son chiffre d affaires, l Imprimerie Nationale a cherché à acquérir une taille critique dans tous ses métiers. Devant l échec de cette stratégie, elle a entamé en 2003 un recentrage sur trois métiers, au lieu de treize auparavant, les autres étant ou cédés ou arrêtés, ce qui a conduit à réduire les effectifs de à 400 salariés et le nombre de sites de production de cinq à un. Quelques dates clés de l Imprimerie Nationale François 1er accorde un privilège à un imprimeur qui devient «Imprimeur du Roi pour le grec» Le roi Louis XIII, sur les recommandations de Richelieu, transforme cette imprimerie en Manufacture Royale d Imprimerie qui deviendra ensuite l Imprimerie 31

32 Royale. Elle s installe au Louvre L Imprimerie impériale prend le titre d Imprimerie Nationale qu elle porte encore Changement de tutelle, du Ministère de la Justice à celle du Ministère des Finances L Imprimerie Nationale devient l Imprimerie Nationale S.A, une société de droit privé à capitaux d Etat Sortie du premier CD-Rom conçu par l Imprimerie Nationale Création des ateliers de production de cartes plastique Plan de restructuration conduisant à un très important recentrage des activités. Trois métiers Outre son activité de conservation du patrimoine ( pièces classées monument historique), l Imprimerie Nationale est organisée désormais autour de trois métiers. Son premier métier est celui de plate-forme graphique et d impression en continu proposant des solutions globales d édition de documents administratifs et de gestion. C est l activité la plus proche du métier d origine, l imprimerie stricto sensu. Dans ce métier, notre vocation n est plus de maîtriser en interne l ensemble de la chaîne de production, mais de faire appel à des partenaires, lorsque cela se justifie, et de développer les activités de conception, de conseil et d optimisation graphique. Le deuxième métier de l Imprimerie Nationale regroupe les activités fiduciaires de production et d émission de titres sécurisés, pour la France mais également à l export pour 26 pays. Ce métier comprend notamment aujourd hui l intégration de l électronique, de la biométrie et de la cryptographie dans les documents de sécurité et la centralisation des infrastructures d émission. La réalisation du passeport électronique français nous a donné la responsabilité supplémentaire de la personnalisation centralisée des documents. Ainsi, dans notre usine de Douai, nous produisons passeports par jour, dans un délai de quatre jours maximum entre la fourniture des informations par le ministère de l Intérieur et la livraison en mairie. Enfin, le troisième métier de l Imprimerie Nationale regroupe la plate-forme de confiance et d administration électronique (dématérialisation et sécurisation d enregistrement, émission et gestion pour compte de tiers de documents et de transactions électroniques). 32

33 Au-delà de la personnalisation, nous développons des services nouveaux dans la chaîne de confiance. Nous avons par exemple créé en 2002 la société Chronoservices qui a remporté l appel d offres de délégation de services public pour la fourniture des cartes chronotachygraphe. Ainsi, nous sommes désormais responsables non seulement de la fabrication et de la personnalisation des cartes, mais également de leur délivrance, fonction d autorité de confiance par excellence, et c est pour nous une énorme avancée. Pour résumer, l Imprimerie Nationale évolue profondément par l acquisition de compétences dans les domaines technologiques de la confiance et une mutation culturelle des métiers de l imprimerie de labeur vers les services à haute valeur ajoutée. Mais au-delà de la mutation des métiers, que l on observe à la fois dans les domaines des supports (papier fiduciaire, cartes plastiques), des nouvelles technologies (marquage de sécurité physique, puces avec ou sans contact) et de la personnalisation des documents (documents nominatifs, produits finis à plus forte valeur), il s agit aussi de faire évoluer les prestations associées, en privilégiant la valeur ajoutée avec les services de bureau d enregistrement (service d enrôlement, relation client), les tiers de confiance, la lutte contre la contrefaçon (bases de données ) et la dématérialisation des factures. En termes d administration électronique, l Imprimerie Nationale propose trois services majeurs : Chronoservices, une autorité de gestion de preuve et une plate-forme collaborative d échanges commerciaux et financiers avec les entreprises. Chronoservices, une véritable chaîne de confiance Chronoservices est une autorité d émission de titres sécurisés, autorité de gestion et de délivrance des cartes pour le chronotachygraphe numérique (délégation de service public, titre sécurisé européen). C est également une chaîne de confiance avec un bureau d enregistrement, des contrôles et des vérifications, la décision d émission, la production et l expédition au titulaire. Le règlement européen sur le chronotachygraphe numérique s applique à trente cinq pays : ce règlement remplace le mouchard papier par un dispositif électronique comportant un boîtier installé dans le véhicule et des cartes à puces qui identifient les conducteurs, les employeurs, les contrôleurs et les ateliers en charge du scellement des appareils de contrôle. A travers cette délégation de service public, Chronoservices organise l ensemble de la délivrance, des relations avec les professionnels, le contrôle des pièces produites (validité des permis de conduire). Cela débouche sur la décision 33

34 d émission. Par ailleurs, la prestation comprend la traçabilité et la gestion du cycle de vie des cartes. Le service repose sur la carte de conducteur qui contient trois types de données : sociales (représentative de l activité du conducteur pendant un mois, source du processus de paie), électroniques (enregistrées automatiquement et contrôlable partout en Europe avec une interopérabilité totale : un conducteur français peut ainsi être contrôlé par un lituanien avec des données en lituanien) et des données certifiées opposables à valeur de preuve présumée fiable. Les données sociales électroniques certifiées sont conservées dans la carte pendant un mois, par l entreprise pendant un an et opposables devant les prud hommes pendant cinq ans, avec la nécessité de gérer les preuves Chronoservices Plate-forme de confiance La construction d un tel système pose la question de la disparition du papier, concernant les données sociales, alors qu il faut les conserver. Que faire quand le papier disparaît pour résoudre les litiges en droit du travail? Par exemple, comment être certain que les données détenues par les employeurs n ont pas été modifiées? Ces questions ont été examinées avec des conseillers prud homaux et de là est née la réflexion autour de la gestion de la preuve, dont l objectif est de maintenir la valeur juridique de la preuve dans le temps. Il n est pas question bien sûr de se substituer au chef d entreprise : la plate-forme de confiance, dans sa mission d autorité de 34

35 gestion de la preuve, ne vérifie donc pas le contenu, ce n est pas son métier. Le chef d entreprise signe les données, la plate-forme de confiance vérifie la signature, trace les opérations (horodatage), génère une attestation signée. Elle conserve un double et remet à l entreprise ses données : le document source, l attestation, le tout étant déposé chez un tiers archiveur. Si un litige se présente, la plate-forme de confiance peut certifier que le document présenté est bien conforme au document original. L autorité de gestion de preuve a pour mission de pérenniser les preuves, c est-àdire le maintien de sa valeur juridique dans le temps. L attestation de preuve est le constat d un fait juridique, utilisable comme élément de preuve, par exemple afin de certifier des transactions électroniques, de lutter contre la contrefaçon ou d assurer la traçabilité de serveurs. Sakarah, outil de gestion collaborative La plate-forme Sakarah propose, au lieu d un simple transport d informations, des services de gestion collaborative d informations dans les domaines commerciaux, comptables et financiers. C est un modèle multi-opérateurs, afin de favoriser l émergence des acteurs légitimes (voir schéma ci-après). Sakarah : plate-forme collaborative 35

36 Lorsque l Imprimerie Nationale a pris la décision d étudier le marché, elle a analysé ce qui existait en matière d échanges électroniques et de systèmes de dématérialisation et a constaté que les systèmes existants souffraient d un point faible : celui d avoir été conçu suivant la même logique et le même processus que le document papier, c est à dire conception, impression et transmission du document. Le processus est le même dans la déclinaison électronique : un objet numérique est créé et il est transmis. Réseau Sakarah Un modèle multi-opérateurs pour favoriser l émergence des acteurs légitimes Pour introduire davantage de cohérence dans ce processus, il a semblé intéressant d observer comment procédaient les entreprises avant l utilisation du papier : n oublions pas que les multinationales existaient déjà chez les romains! Et que la comptabilité, inventée par les assyriens, était déjà à l époque très proche de nos normes. Nous avons ainsi étudié les processus basés sur les tablettes d argile, les systèmes égyptiens, phéniciens, jusqu aux extraordinaires systèmes de compensation de foires des marchands italiens. Notre attention a été attirée par le système de la taille. Le principe est le suivant : une baguette de noisetier coupée en deux. Le client en conserve une moitié, le commerçant détient l autre moitié. Tous les matins, lorsque le client va acheter son 36

37 pain, le boulanger le sert, rapproche les deux exemplaires de la baguette de noisetier et fait une encoche qui marque simultanément les deux parties. A la fin de la semaine, lorsque le client vient payer ce qu il doit au boulanger, les deux morceaux de baguette sont rapprochés et les encoches évidées. Ce système définit une notion parfaite d original partagé et infalsifiable. La comptabilité du client chez le fournisseur et celle du fournisseur chez le client étaient toujours en miroir. Ce système a disparu de l inconscient populaire. Mais il nous semble possible d assurer la gestion de l information électronique avec une notion de taille électronique pour gérer les relations entre deux entreprises ou entre une entreprise et une administration et dont les premiers objets concernés peuvent être des factures, des règlements, des notes de frais, des déclarations, des dossier de litiges. Développer un réseau d opérateurs Ainsi, sur des plates-formes indépendantes, gérées par un tiers de confiance, nous sommes capables de proposer aux acteurs économiques, d une part, le partage de l information et, d autre part, la garantie de son intégrité. Chacun peut donc avoir la certitude que l information présente dans ses propres systèmes correspond aux transactions réellement effectuées. Notre projet cible est de rassembler les partenaires commerciaux sur une plate forme collaborative. Mais pour que cela fonctionne, il faut proposer à ces acteurs économiques des systèmes pour gérer la dissymétrie entre les grandes organisations et les plus petites, entre celles qui privilégient l électronique et celles qui préfèrent encore le mode papier, ou bien entre des secteurs différents par leurs contraintes. Pour réussir, il faut donc imaginer des solutions utilisables à la fois par toutes les entreprises, sans que les unes soient lésées par rapport aux autres du fait de leurs différences d utilisation de processus électroniques. Nous avons développé la notion de réseau d opérateurs commerciaux, chacun de ces opérateurs détenant et administrant une instance de nos plates-formes et pouvant proposer ses services aux entreprises. Nous recrutons essentiellement des entreprises présentes commercialement dans des domaines et des secteurs complémentaires. Par exemple, dans le domaine de la facture, travailler avec des comptables a un sens, au niveau métier, avec des banques à un sens au niveau financier, de même travailler avec des spécialistes de l éditique, de la numérisation ou de l archivage a un sens au niveau logistique et technique. 37

38 Notre objectif est de mettre en place un premier niveau de réseau qui permette d avoir une offre qui soit globale dans la chaîne d échanges d informations entre les entreprises, les administrations et les collectivités. L Imprimerie Nationale ne se positionne directement, sur le plan commercial, que sur un seul marché : celui des informations échangées entre les entreprises et les administrations. Pour tous les autres marchés, nous recherchons des prestataires qui vont revendre notre service en l état ou l intégrer dans leurs propres prestations. Nous proposons à ces prestataires d ouvrir les référentiels clients et fournisseurs de leurs clients sur nos plates-formes. Nous prévoyons d avoir comptes ouverts sur la plate-forme, avec huit opérateurs à fin Nous mettons ainsi à la disposition des entreprises des offes globales intégrant des «aiguillages» de transmission de l information, soit par des flux électroniques, soit par édition papier ou inversement, des flux papiers numérisés avec saisies complémentaires vers les flux électroniques. Le respect des usages est fondamental pour assurer un déploiement efficace : il est essentiel de proposer aux entreprises qui continuent à travailler en papier les moyens d entrer dans le système, en ayant accès à nos plates-formes, sans bouleverser leurs processus. Au niveau de l expression de besoins des entreprises, nous avons cherché à répondre aux deux points majeurs relevés qui sont, d une part, la qualité de l information avec notamment comme conséquence, la conformité avec les normes IFRS (traçabilité de l information) et, d autre part, la réduction des coûts. En France, les collaborateurs des services comptabilité fournisseurs et comptabilité clients passent en moyenne 30 % de leur temps à se parler pour combler des déficits d information. Dans 90 % des cas, il ne s agit pas de vrais litiges mais d échanges d informations de base sur la bonne réception des factures, sur la validation des numéros de commandes, les modes de règlement Enfin, en termes de volumes, il s échange annuellement entre 1,7 et 2 milliards de factures entre entreprises structurées, auxquelles s ajoute un milliard de factures produites par les professionnels indépendants et un milliard de plus transitant entre les entreprises et l Administration. 38

39 39

40 L intervenant Philippe Rosé, docteur ès Sciences Economiques, rédacteur en chef de Best Practices Systèmes d Information a été rédacteur en chef de CIO - Stratégie et Technologie, un magazine dédié aux management des systèmes d information créé en Auparavant, il a été journaliste au Monde Informatique. Il a également été responsable des études économiques et statistiques sur la sécurité monétique au sein du Groupement Cartes Bancaires et, auparavant, a exercé des fonctions similaires à la Fédération Française des Sociétés d Assurances. Il est par ailleurs membre du conseil d administration de la Fondation pour la Recherche Sociale, Président de la commission Identification-Authentification de FedISA, conseiller éditorial pour les Editions Dunod, membre du groupe de travail sur la cybercriminalité du Clusif (Club de la sécurité de l information français) et du groupe de travail «Systèmes d information et compétitivité» de l Association nationale des docteurs ès sciences économiques et en sciences de gestion. Il est l auteur de plusieurs ouvrages sur la sécurité, l économie et le management des technologies de l information. 40

41 Sécurité et évolution des systèmes d information Par Philippe Rosé Les entreprises françaises souffrent d un étrange paradoxe. D un côté, il est indéniable, et peu de dirigeants d entreprises le contestent, que les systèmes d information constituent l épine dorsale du fonctionnement opérationnel des entreprises et, de fait de leur compétitivité. De l autre, les réflexions et les actions engagées par ces mêmes dirigeants (et ceux qui ont la tâche de gérer au quotidien les systèmes d information) pour garantir la disponibilité de ces ressources vitales, n apparaissent guère probantes. Il suffit d observer le nombre d incidents plus ou moins graves qui affectent les systèmes informatiques et les réseaux, compromettant par là même la disponibilité, donc la compétitivité des entreprises, pour s en convaincre. Sans parler des actes de malveillance qui font régulièrement l actualité. Les chiffres que publie chaque année le Clusif (Club de la sécurité de l information français) sont à cet égard tout à fait éloquents. Ainsi, l étude publiée mi 2008 montre que la dépendance des organisations, qu elles soient privées ou publiques, à l égard des systèmes d information est très forte : 75 % des entreprises sont exposées à une dépendance forte vis-à-vis du système d information : une indisponibilité de moins de 24 heures a des conséquences graves sur l activité. Cette dépendance est bien évidemment beaucoup plus forte dans les grandes entreprises et dès lors que les systèmes sont interconnectés avec ceux d organismes tiers. Certes, la conscience du risque progresse mais il n y a pas encore, aujourd hui, de véritable identification entre le risque technologique et le risque business. Pourtant, à l heure du commerce électronique, de la dématérialisation des échanges, des interconnexions entre les réseaux et de la globalisation économique, les risques n ont jamais été aussi potentiellement significatifs. Jusqu à devenir majeurs par exemple pour des entreprises qui ont basé leur business modèle sur la technologie 41

42 (c est le cas pour le e-commerce). Et pour celles qui ne sont pas 100 % «web centric», les modifications organisationnelles montrent que l interdépendance devient la règle. Un contexte organisationnel fragile La physionomie des entreprises d aujourd hui n a plus rien à voir avec celle que l on a historiquement connues. Aujourd hui, l entreprise devient hyper relationnelle, au sens où elle accentue ses liens avec ses propres salariés, ses partenaires, ses soustraitants, ses fournisseurs et ses clients. Tous ses liens sont produits et systématisés avec les technologies de l information (systèmes d information ressources humaines, chaîne logistique, web commerce, dématérialisation des échanges commerciaux...). La technologie permet ainsi de produire à moindre coût et de s engager dans des activités qui, sans elle, n auraient pas été possibles. Pour le système d information, cela introduit un degré de complexité supplémentaire qu il est difficile de maîtriser dans sa totalité. Dès lors que les réseaux de distribution s entremêlent, il est difficile de tous les identifier et de savoir quelle est la contribution de chacun à la valeur de l ensemble. Une rupture dans la disponibilité de cette chaîne complexe introduit donc des risques importants. Les technologies de l information et Internet en particulier, apportent théoriquement de la fluidité dans le maillage complexe que les entreprises ont initié. Mais, globalement il est difficile de cartographier les infrastructures, donc les risques qui y sont liés. L enjeu est clair et se mesure en milliards d euros. Le patrimoine informationnel des entreprises est considérable, même si on ne peut l estimer de façon précise, la comptabilité ne permettant pas de mener à bien un tel exercice. La fin de l intégration verticale Historiquement, trois ruptures se sont succédées. D abord, les entreprises ont procédé à une intégration verticale, par exemple les constructeurs automobiles qui ont produit eux-mêmes tous les composants des véhicules, ou les constructeurs informatiques, qui produisaient des microprocesseurs aux disques durs, en passant par les châssis et les claviers. Les technologies ont rendu cet objectif plus aisément réalisable. Cela s est traduit concrètement par la mise en relation des relations avec les fournisseurs (en amont) et ses distributeurs (en aval), souvent par le biais de liens EDI, puis Internet. 42

43 Seconde phase, une fois achevée cette intégration verticale : l intégration horizontale. Elle fut à la fois interne (c est la vocation première des systèmes d information d entreprise que d appuyer le management pour rendre l organisation plus efficace) et externe. Ce fut d ailleurs l une des causes de l équipement des entreprises en progiciels intégrés. Mais les intégrations verticale et horizontale ont vite trouvé leurs limites : celles d un espace fini, bordé par le fait que les entreprises ne géraient que deux ou trois métiers avec, pour chacun, quelques partenaires. Aujourd hui, les entreprises sont embarquées dans un mouvement sans fin qui se traduit par la multiplication, presqu à l infini, des lignes de produits, des filiales, des marchés toujours plus finement ciblés, des technologies, des partenariats. Autant d axes d intégration à gérer! D où une troisième rupture : dès lors qu intégrations verticales et horizontales se démultiplient, on abouti logiquement à ce que l on pourrait symboliser par une «intégration sphérique». Celle-ci se trouve face à deux contraintes majeures. La première est de nature temporelle : elle impose à l entreprise une accélération de ses processus (la concurrence contraint à réduire les cycles de décisions, de réorganisation, de repositionnement, d investissements...). Ces transformations profondes rendent les enjeux de disponibilité des activités et des services plus cruciaux pour les entreprises. 43

44 Evolution historique des systèmes d information et des besoins en disponibilité Bases du système d information Années Mainframe Années 1980 PC (début de l informatique distribuée) Années 1990 Réseaux, clientserveur Années Internet Approches Sécurité Maîtriser les techniques formalisées Contrôler les process Contrôler l organisation Contrôler le système d information Besoins en Sécurité Disponibilité (pour les traitements batch) Intégrité (fragilité de l informatique distribuée) Confidentialité (risques de fuites d informations) Traçabilité (risque systémique) Profil RSSI Mécanicien Architecte Architecte Stratège Impact d une indisponibilité Limité géographiquement Plusieurs dizaines à plusieurs centaines d utilisateurs Plusieurs milliers d utilisateurs Plusieurs millions d utilisateurs Source : La pérennité du système d information, Dunod, Maîtriser les concepts clés de la sécurité : disponibilité, intégrité, confidentialité et traçabilité Si l on reprend les quatre concepts fondamentaux de la sécurité, la disponibilité est celui qui a probablement le plus d impact. Les trois autres critères de sécurité de n importe quel système d information (confidentialité, intégrité, traçabilité) peuvent également induire des ruptures de disponibilité, par exemple lorsque des fuites d informations conduisent à arrêter temporairement une application pour colmater les failles, lorsqu une mauvaise traçabilité ou une corruption de données imposent qu un réseau soit stoppé pour identifier la source du problème. La disponibilité se définit comme la capacité d un système d information à pouvoir être utilisé à tout moment, en fonction des performances prévues. Or, la 44

45 disponibilité est d autant plus importante que le système d information intègre des composantes tels que des systèmes d information tiers (liens avec les sous-traitants, les partenaires...). L intégrité assure que des informations ne sont pas modifiées entre le moment où elles sont émises et celui où elles sont réceptionnées par leurs destinataires. Elle assure également que les informations ne sont modifiées que par les utilisateurs autorisés. Il faut donc qu aucune modification volontaire ou accidentelle ne survienne. La confidentialité est un besoin fondamental de tout système d information. Il s agit de la propriété qui assure que seuls les utilisateurs habilités ont accès aux informations. La perte de confidentialité se traduit de multiples manières, la plus connue étant la pénétration de hackers dans le système d information. L imputabilité des transactions est le mécanisme par lequel on peut imputer de façon certaine une opération à un utilisateur, à un instant donné. Il s agit de pouvoir garantir une non-répudiation, c est-à-dire le fait qu un utilisateur A a bien envoyé à un utilisateur B un message ou une transaction, sans que celui-ci puisse nier l avoir reçu. Dans ce contexte qui, rappelons-le, se caractérise par une complexification des organisations et par le danger des risques systémiques, le rôle des responsables de la sécurité des systèmes d information s est considérablement transformé. Hier informaticien formé sur le tas et noyé dans l organigramme de son entreprise, le RSSI est aujourd hui, avec les DSI, l un des hommes-clé des systèmes d information, il apparaît comme le garant de la pérennité de l entreprise et de son patrimoine informationnel. En fait, les transformations du métier de RSSI s analysent selon trois dimensions. La première dimension est évidemment technologique, en fonction de l évolution de la typologie des systèmes d information. Le problème est la maîtrise de la situation à un instant t ne présage en rien de la pérennité de l état de la sécurité. Cette approche technologique de l évolution du rôle du RSSI est certes intéressante, mais pas suffisante. Il faut en ajouter deux autres. D une part, une approche managériale, dans la mesure où, parallèlement à son rôle de gestionnaire de la complexité technologique et des risques afférents, le RSSI est devenu un «modeleur de comportements». Le RSSI devient plus stratège et communicant, notamment 45

46 vers les utilisateurs. D autre part, une approche transversale dans la mesure où, et c est une tendance de fond dont peu de RSSI ont encore conscience, la sécurité de l entreprise sort du système d information : déstabilisation médiatique, dénigrement sur Internet, OPA hostiles, espionnage, s ajoutent aux risques de fraude, d attaques virales et de pénétration informatique. Autant de risques qui menacent la disponibilité du système d information. Les quatre facettes du métier de RSSI face à la pérennité du système d information Aspects technologiques Aspects managériaux Aspects humains Aspects stratégiques Enjeux Garantir l état de l art Conserver la cohérence de la politique sécurité Eviter les failles humaines Favoriser la synergie avec la stratégie métier de l entreprise Déclinaison sur la disponibilité du SI Ne pas créer de décalage entre la nature des risques d indisponibilité et l architecture sécurité Eviter un empilement de briques sécurité qui complexifie et ralentit la réactivité en cas d incident Développer un état d esprit sécurité : sensibiliser aux enjeux de la disponibilité Adapter la politique sécurité aux contraintes métier et à la taille de l entreprise, et aux risques sur la pérennité du système d information Source : Best Practices Systèmes d Information. S il y a seulement un mot pour caractériser un plan de sécurité, c est : cohérence. D abord dans les ressources, financières et humaines, ensuite dans les ressources techniques, et, enfin, dans les ressources «immatérielles» (essentiellement du temps). Il est hélas facile de construire un plan de sécurité non cohérent. Généralement, la stratégie n est pas cohérente pour quatre raisons : - La direction générale n est pas impliquée dans la stratégie sécurité et considère que dans la mesure où «quelqu un s en occupe chez nous», les problèmes sont réglés. Or, il est essentiel de comprendre que la vulnérabilité des systèmes d information a un impact direct sur la compétitivité de l entreprise. - La sécurité se résume à une accumulation de produits sans qu il y ait de cohérence 46

47 entre ceux-ci. Résultat : des failles subsistent et la chaîne sécuritaire n est pas continue. - Les responsables chargés de la sécurité sont mal formés et n ont pas les compé tences essentielles pour gérer de façon optimale la sécurité des systèmes d information. - Les risques sont mal identifiés : soit les risques mineurs sont surestimés, soit les risques majeurs sont complètement ignorés alors qu ils peuvent mettre en péril l entreprise. Par exemple, les risques d erreurs sont surestimés alors que l entreprise a développé de manière anarchique des connexions Internet, d où des risques majeurs potentiels de malveillance externe. Dans tous les cas, cela se traduit par une mauvaise allocation des ressources. Nombre de ces constats résultent des mêmes causes. Les systèmes d information ne sont pas bien maîtrisés et, dans l ensemble, sont mal protégés, pas tant du point de vue des solutions de sécurité elles-mêmes, que de celui de l insuffisance des procédures et de l organisation associées, à cause aussi de l incohérence des actions et mesures entre elles (problèmes organisationnels et architecturaux). Ensuite, on observe souvent une inadéquation de l efficacité des mesures par rapport aux menaces en nature et en niveau (ce qui tient à la déficience de l analyse des risques). Enfin, on constate l insuffisance du contrôle (on en vient encore à des questions fondamentales d organisation de management, d éducation, de définition des responsabilités, etc.) n est pas abordée. Mais la sécurité ne peut résulter d un empilement désordonné de dispositifs de prévention ou de protection, les clés essentielles tiennent à la cohérence des architectures et des procédures, ainsi qu à la maîtrise des comportements humains. Ainsi, lorsqu on analyse la phénoménologie du sinistre, des causes aux conséquences, il convient de mettre l accent sur l engagement de l homme en termes de responsabilité. Nous voyons croître le nombre de risques potentiels pouvant se traduire par des catastrophes à l issue de phénomènes sériels et cumulatifs. Un même progiciel, une même base de données, peuvent être utilisés par un très grand nombre de systèmes d information, dans le monde entier. Un bogue, une erreur, une inconsistance dans un contexte particulier, et c est un sinistre touchant des milliers de sites ayant la même activité. Non seulement le phénomène est cumulatif, mais il peut aussi être sériel. C est à dire qu un système réagit automatiquement et envoie une information vers un autre qui, à cause de cela réagira de la même façon. C est l intérêt d un plan de sécurité de prendre en compte ces phénomènes. 47

48 Il paraît donc raisonnable de ne plus admettre une prolifération incontrôlée des systèmes mais de s interroger le plus en amont possible sur les implications potentielles en termes de risques majeurs. L analyse des risques, avant de se référer à une collection d outils, devrait être un réflexe essentiel et systématique. Parallèlement, les entreprises et les grandes administrations publiques vont faire évoluer leur stratégie en matière de sécurité, car : 1. D un problème ponctuel, la sécurité des systèmes d information devient un problème de stratégie d entreprise. L arrêt ou la compromission des systèmes signifie la fin d une entreprise. Ce qui était vrai il y a quelques années seulement pour certaines fonctions stratégiques l est aujourd hui pour toute l entreprise. 2. D un problème privé, la sécurité des réseaux devient un problème de politique publique, car il existe des menaces que les infrastructures, par exemple les réseaux de télécommunications ou de distribution d énergie, qui ont des conséquences sur les entreprises. 3. D un problème technique la sécurité des réseaux devient un problème managérial. Autrement dit, rien ne sert d empiler des outils de sécurité, par exemple des systèmes de stockage, d archivage ou des outils de contrôle d accès, sans cohérence d ensemble, et, surtout, sans principes organisationnels. C est à la fois une problématique de cohérence des architectures techniques qu à une problématique de cohérence des ressources et comportements humains. 48

49 49

50 L intervenant Didier Lambert est DSI d Essilor et Président du CIGREF (Club informatique des grandes entreprises françaises). Diplômé de mathématiques, il débute sa carrière comme enseignant en mathématiques. Il évolue plus tard vers l informatique et travaille de 1973 à 1980 à l UAP puis de 1980 à 1983 pour La France. Il travaille ensuite comme consultant chez Deloitte Haskins and Sell pendant deux ans. Il a été DSI de Digital Equipement France pendant huit ans, de 1984 à Puis il devient directeur des activités de conseil de Digital pendant deux ans, de 1992 à Il a rejoint le groupe Essilor en

51 De la problématique de l archivage dans une grande entreprise... par Didier Lambert Dématérialisation et archivage : de quoi parle-t-on? Je vis la problématique de l archivage quotidiennement... Lorsque l on m a demandé de réfléchir à ce thème, j ai achoppé sur la notion de «dématérialisation des informations». En effet, les informations ne sont-elles pas, par nature, dématérialisées? Elles ont simplement changé de support, passant respectivement du papier aux cartes, puis aux bandes, disques, DVD. Demain, les informations seront contenues dans les mémoires de masse. Ainsi, la problématique ne réside pas dans la dématérialisation des échanges en tant que telle mais plutôt dans l évolution des supports. Un second mot me pose problème : «l archivage». De quoi s agit-il? Selon le contexte dans lequel évolue l entreprise, cette notion d archivage peut ne pas avoir tout son sens! Prenons un exemple très simple : chez Essilor, nous vendons les verres à l unité. Chaque verre est différent, nous en commercialisons 250 millions par an, sur mesure, avec des procédés de fabrication complexes. Lorsque l on interroge les responsables de la logistique ou des directions métiers, leur réponse est simple : ils ont besoin de tout, rapidement et pour une période illimitée. Dans un tel contexte, la notion d archivage devient diffuse et complexe à gérer. Plus généralement, les utilisateurs se réfèrent à Google qui ne fait pas d archivage! Toutes les informations sont disponibles en permanence. En outre, la notion même d archivage ne cadre pas avec les contraintes que nous imposent certains textes réglementaires. Le Code des Impôts, par exemple, impose aux entreprises d être en mesure de reconstituer les traitements (pas seulement les résultats). Or, où trouve-t-on un dérouleur de bande comme il en existait il y a dix ans? Nous sommes incapables de nous conformer à de telles obligations réglementaires qui deviennent, de fait, inapplicables. Nous, DSI, sommes tous hors la loi puisque nous ne disposons pas des moyens nécessaires pour 51

52 répondre à ces contraintes. Par ailleurs, les dirigeants ont besoin de pouvoir accéder à tout moment aux informations de l entreprise, même si cela représente un coût financier important Archiver les données, oui mais lesquelles, dans quelles conditions et à quel prix? La frontière entre l informatique et le reste de l entreprise, si elle était claire il y a encore quelques années, tend aujourd hui à s estomper. D où un nouveau problème : j ai essayé de mettre en place, au sein d Essilor, un PCA (Plan de continuité d activités). Je n y suis pas parvenu. Pourquoi? La raison est simple : il y a quelques années, un PCA pouvait être mis en place relativement facilement dans un contexte où étaient gérés de grands systèmes et des traitements isolés. Il y avait l informatique, puis le reste de l entreprise. Sachant où l informatique s arrêtait, la frontière était claire. Aujourd hui, cette organisation est inenvisageable : les systèmes d information sont transversaux, ils touchent toute l organisation de l entreprise. Tous les process constituent un mix de procédures manuelles et de procédures informatiques qu il est très difficile de découper. De plus, le système d information évolue en permanence. Dans une entreprise comme Essilor, 400 modifications importantes portent sur le système d information. Cela signifie que si nous voulions mettre en place un plan de continuité exhaustif, il faudrait le tester à chaque fois qu une modification est faite. C est inenvisageable chez Essilor et, en réalité, la plupart des DSI croisent les doigts ou brûlent des cierges! Par ailleurs, les directeurs métiers ont des attentes fortes vis-à-vis de la DSI en matière de qualité de services et de disponibilité de l information : - sur les SLA (engagements de services) et/ou sur les problématiques de disponibilité et de retour à la normale : s engager sur ce type d exigences est difficile, surtout quand on sait que la disponibilité d un système d information ou d une application n atteint jamais les 100 %! - sur la conservation et la disponibilité de l information : d une part, la DSI ne peut pas décider seule de la politique de conservation des données, les utilisateurs doivent être impliqués dans la démarche. D autre part, l archivage représente un coût financier non négligeable pour les entreprises, même si la baisse des coûts des technologies a eu un impact positif sur le coût de l archivage des données. Les DSI sont également sollicités en matière de gestion du patrimoine informationnel. 52

53 Or, sur ce terrain, il est nécessaire d éduquer les utilisateurs, d autant que les règles comptables ne nous aident pas beaucoup... La valeur des actifs immatériels ne figure pas dans les bilans. Les systèmes d information ne sont donc pas valorisés comme ils le devraient. Dans une société industrielle, on considère que les produits et les machines forment l actif des entreprises. Or, ce qui est plus important pour un groupe comme Essilor, ce n est pas la conception du produit (les verres), mais le procédé qui permet de fabriquer les produits de façon automatisée, avec une très bonne qualité. Or, le procédé est un système d information. C est la connaissance (non brevetable) de ce système qu il importe de protéger. Au-delà de ces problèmes techniques, liés aux process, aux technologies et aux méthodologies, la problématique de protection du patrimoine informationnel réside dans la culture et la formation des dirigeants des entreprises. La multiplicité des supports de diffusion de l information complexifie l archivage des données Si l on admet que l information constitue la mémoire de l entreprise et si l on se réfère à ce que nous expliquent les psychologues, l élément le plus important dans la mémoire humaine, c est la capacité d oubli, d effacement! D où un problème concret pour nous, DSI : qu efface-t-on et comment efface-t-on? Par exemple, effacer un mail peut sembler très simple mais, en réalité c est impossible! Simplement parce qu un mail adressé à plusieurs personnes se retrouve stocké à plusieurs dizaines d exemplaires, sur les postes de travail, sur les serveurs et sur les supports de back up. Il en va de même pour l effacement des données, tout aussi complexe quand celles-ci sont disponibles sur plusieurs supports. La problématique de l archivage des données se pose aussi pour la gestion des doublons. Je ne connais pas de méthode pour dédoublonner les données à l échelle de l entreprise afin de conserver une information en un exemplaire en un seul endroit. L archivage implique-t-il de savoir ranger les données ou de savoir les chercher? L archivage, tel que je le conçois, correspond aux actions de ranger, d indexer. Or, nous voyons apparaître dans les entreprises une génération qui a l habitude de ne plus ranger mais de savoir chercher. Autrement dit, on laisse le système se débrouiller en demandant aux utilisateurs d apprendre à chercher. Or, le rangement est individualiste et n est pas transmissible. Tout le monde peut interroger Google et retrouver une information dans un univers non rangé. Dès lors, que devient le 53

54 concept d archivage dans une société où ce qui a accompagné le développement économique et scientifique réside précisément dans les capacités des utilisateurs à catégoriser et à classer les informations? On peut certes apprendre à ranger mais tout va trop vite... Chacun peut en faire l expérience avec des messageries qui débordent de mails non rangés, faute de temps à consacrer à cette tâche! Aujourd hui, Essilor travaille avec des robots de picking, dont la fonction est d optimiser la production des verres. Une expérience a été menée récemment sur la recherche des derniers verres produits. Dans une première approche, les verres ont été rangés manuellement par catégories, selon leur puissance. Or, nous nous sommes aperçus que la meilleure façon d assurer cette tâche de recherche était de laisser faire le robot. Mais en procédant ainsi, nous avons constaté que seul le robot sait où se trouvent les verres, les hommes eux ne le savent plus! De fait, le rangement devient complètement inefficace. La tendance désormais est à ne plus ranger, d autant que le prix du stockage diminue. De nouvelles approches organisationnelles Dans une entreprise, il existe trois façons de gérer l information : - la réutilisation, essentielle pour ne pas effectuer la même tâche plusieurs fois ; - l oubli : si on ne veut pas se faire submerger, il faut apprendre à oublier ; - la traçabilité : nous avons besoin de tracer ce qui se passe. Dans les grandes entreprises, la gestion de l information est très complexe parce que l on ne garde pas seulement l information finale, mais tous les éléments qui ont généré cette information. D où un problème d authentification pour identifier qui a modifié telle information, à quel moment, et en vertu de quels droits. Et lorsque le processus ne fonctionne pas, la responsabilité en revient au DSI. Cela nécessite une réflexion profonde sur la façon de faire travailler l entreprise. Si l on veut tracer tous les mouvements sur le SI au niveau le plus fin, le coût doit pouvoir être supporté. Ce problème est central car il en va de la responsabilité du DSI d assurer la continuité du système d information. En 25 ans de métier, il ne s est pas passé un seul jour au cours duquel la menace d une panne n ait pas plané! Les DSI connaissent tous ça Le risque de ne pas pouvoir redémarrer immédiatement un SI qui tombe existe, et ce n est pas qu un problème technique : les aspects «méthode et formation» des dirigeants sont fondamentaux. Les DSI travaillent de plus en plus sur le mode de la prestation de services pour des clients internes. C est difficile de défendre des coûts 54

55 considérés parfois comme excessifs si, en face, les clients internes ne comprennent pas vraiment les enjeux. Heureusement, les DSI ont quand même deux alliées naturels : la direction juridique (qui précise les contraintes réglementaires), et la direction financière (qui voit l explosion des coûts et veut réduire les volumes). Le plus souvent, il faut attendre les financements pour (ré)agir nous ne sommes jamais à l abri d un problème. Je citerai deux exemples : - afin de connecter son PC au SI de l entreprise, un utilisateur a mis un câble deux fois dans le même sens et a occasionné un court circuit : le réseau n a pas fonctionné durant une demi-journée. C est très difficile de prévoir et de diagnostiquer ce type d incident. - notre système de messagerie, qui fonctionne sur des machines à tolérance aux pannes, est tombé en panne. Six mois plus tard, on ne sait toujours pas pourquoi! En réalité, la sécurité est l affaire de tous, ce n est pas uniquement le problème du RSSI D ailleurs, chez Essilor, nous n en avons pas (sinon, il serait responsable de tous les dysfonctionnements). Il est préférable d agir pour responsabiliser les maîtrises d ouvrage et les directions métiers. Et la première mesure de sécurité, c est d avoir des informaticiens heureux! 55

56 L intervenant Jean-Marie Giraudon est vice-président de Gemalto. Il a plus de quinze ans d expérience dans le monde de la sécurité. Il est responsable des activités du groupe Gemalto dans le domaine de la sécurité de l entreprise. 56

57 Importance de l identification et de l authentification des personnes Par Jean-Marie Giraudon Sans que l on s en aperçoive vraiment, la révolution numérique a transformé notre vie quotidienne. Il est ainsi possible, en quelques clics, de transporter ses informations personnelles en tout lieu, d acheter en ligne, d écouter sa musique et de regarder la télévision partout, de faire du business n importe où, à tout instant, de partager ses photos et blogs, de voyager plus facilement et de traverser les frontières sans contraintes en toute sécurité. Ce phénomène est exponentiel si l on en juge par l explosion du nombre d utilisateurs d Internet, de téléphones mobiles, de cartes de paiement... Nous n avons pas imaginé la portée de cette explosion des échanges, qui est l une des conséquence de la mondialisation. Croissance des échanges numériques, nouvelles menaces, nouveaux besoins de sécurité Ainsi, il se vendra environ 950 millions de téléphones portables dans le monde chaque année à l horizon Les transactions par cartes de paiement s élèveront à 130 milliards en Les investissements en sécurité sont, eux aussi, en forte croissance : la gestion des identités a représenté un marché mondial de six milliards de dollars en Mais la croissance des échanges numériques engendre de nouveaux risques : - le vol de mot de passe entraîne 10 % de l indisponibilité des systèmes d information au niveau mondial (source : Pricewaterhouse/CIO). - En moyenne un objet communicant (PC, téléphone, clé USB) est perdu toutes les 24 secondes dans les grandes villes comme Paris ou Londres (source : Gartner). - Le coût annuel d un mot de passe oublié par personnes sur une entreprise de employés est de euros par an (source Dunod, Protection des systèmes d information). 57

58 - Bien que le «phishing» reste à ce jour une faible partie de la fraude à la carte bancaire, 74 % des porteurs ont des réticences à acheter en ligne (source : Gartner). Or, le besoin de chacun est de pouvoir se connecter en toute confiance et liberté. En réalité, La sécurité et la liberté individuelle convergent par exemple lorsque l on peut acheter en ligne des objets rapidement et facilement, dans un environnement sécurisé, que l on peut reconstituer un carnet d adresses après le vol de son mobile... De même, cette convergence se concrétise lorsque le contenu des systèmes d information de l entreprise garde son intégrité vis-à-vis d attaques malveillantes, lorsque l on peut accéder et échanger ses données professionnelles, quelle que soit la localisation, lorsque l on maîtrise la gestion de ses différents mots de passe quelque soit l outil de communication, ou encore lorsque l on peut accéder à des périmètres sécurisés dans les limites de ses droits d accès. Les exigences des utilisateurs ont grandi avec le boom numérique, à la fois dans les domaines personnels, professionnels et gouvernementaux. Les individus ont besoin d avoir à disposition des interfaces numériques simples à l utilisation, d être rassurés sur la protection de la vie privée et d être assurés de la protection du flux Internet dans le cadre de ses propres transactions. Nous sommes aujourd hui, au quotidien, confrontés à la sécurisation de l information. Quand un consommateur achète en ligne, il ne doit pas se faire voler son numéro de carte : la confidentialité et l intégrité sont des besoins incontournables. Les entreprises ont besoin d outils simples et d un bon rapport qualité/prix, l assurance de pouvoir facturer les services offerts supportés par les réseaux numériques et de s assurer de la sécurisation des données confidentielles de l entreprise. Les collaborateurs nomades qui parcourent la planète doivent se connecter en permanence et envoyer des données sensibles. Il faut savoir qui fait quoi, qui a accès à quoi, pour quoi et se prémunir des intrusions, fraude, détournement d informations. En outre, le stockage de l information sur des clés USB accentue cette fragilité, avec le risque qu elles tombent entre des mains pas toujours bienveillantes. Quant aux organisations publiques, elles ont besoin de promouvoir la dématérialisation de documents administratifs vis-à-vis du citoyen, de fournir des solutions à haut niveau de confiance pour le citoyen et pour le contrôle des frontières. Elles ont également besoin de mettre en place un cadre légal adapté aux nouvelles formes d échanges avec le service public. 58

59 Renforcer la sensibilisation La sensibilisation et la prise de conscience ne sont pas toujours optimales : il suffit d observer la façon dont on conserve les mots de passe dans les entreprises, souvent des dizaines sont nécessaires pour accéder à de multiples applications et ils sont inscrits sur des feuilles de papier ou des agendas. Même si cette conscience de la sécurité progresse, on a tendance à penser que les incidents n arriveront qu aux autres. Par rapport aux solutions déployées, par exemple les générateurs de mots de passe, on s aperçoit qu en France, selon les chiffres du Clusif, les deux tiers des entreprises ne font rien. Chez Gemalto, nous avons récemment rencontré un grand site marchand pour leur parler de sécurisation. Nous leur avons conseillé de prendre de nouvelles dispositions pour leurs clients. Un conseil qui est resté lettre morte dans la mesure où les dirigeants de ce site estimaient que leur taux de fraude n était pas significatif. Trois mois plus tard, ils se sont fait volés un million de numéros de cartes bancaires, dans une opération de phishing! Ces numéros sont ensuite utilisés, non pas pour faire des achats importants, mais pour effectuer des micro-transactions de quelques centimes, répétées chaque mois. C est un business très lucratif. Par rapport à l archivage des données, l élément fondamental est d être certain que ceux qui consultent ou manipulent les archives soient autorisés en fonction de leurs droits d accès. Quand une entreprise donne un droit d accès, elle doit savoir ce qui se passe. La gestion du contrôle d accès «bout en bout» 59

60 Chaque acteur exige des niveaux de confiance. Pour les individus, il y a une crainte par rapport aux interfaces numériques. Il faut qu elles soient simples et la raisonnement est le suivant : «si c est simple je sais m en servir et si je sais m en servir je suis sûr de ne pas faire de mauvaises manipulations. Donc on va m authentifier plus facilement.» A cela s ajoutent les préoccupations liées à la protection de la vie privée. Les entreprises, elles, recherchent des outils simples et peu coûteux. Face à ces menaces et aux besoins de sécurité, les solutions d authentification forte à base de carte à puce permettent de sécuriser la «vie numérique». Dans l entreprise, les solutions de mots de passe dynamique sont de ce point de vue prometteuses, du fait de leur fiabilité. Dans ce contexte, la machine et l individu sont complémentaires. Et un même support permet d offrir de multiples services. Les solutions d authenfication forte à base de carte à puce sécurisent la vie numérique Elles permettent notamment la gestion du contrôle d accès de bout en bout (voir schéma ci-dessus). La chaîne de valeur est ainsi de plus en plus étendue : serveur, carte, lecteur, middleware, aplications... C est à la fois une question de sécurité logique et physique. L identification ne concerne pas seulement la direction 60

61 informatique ou le responsable sécurité, car il y a un troisième acteur qui monte en puissance : le département RH. La DRH va ainsi devenir le dénominateur commun de l authentification, dans un monde qui demande de tels niveaux d identification. Identification / Authentification : les travaux de FedISA Les entreprises ont des besoins croissants en matière de contrôle d accès physique et logique. Cette commission FedISA s inscrit dans les nouvelles problématiques de sécurité autour de l authentification et de l identification forte. Dans ce contexte, la commission Identification/authentification a pour objectif d étudier tous les aspects des problématiques d authentification/ identification. Il s agit ainsi d analyser : - La chaîne informatique pour gérer le contrôle d accès et ses solutions pratiques (cartes, clés USB etc.). - Les mécanismes de contrôle d accès : scénarios de risque : pertes directes et indirectes, risque maximum admissible et assurances. - L évaluation de la force des mécanismes de contrôle d accès physiques et logiques. - L audit des mécanismes de contrôle d accès et solutions. - Le contrôle d accès vis-à-vis des données sensibles de l entreprise (scénarios de menaces, échelle de criticité, classement et solutions d amélioration du niveau de sécurité du contrôle d accès). - La mutation des solutions informatiques de contrôle d accès : processus, upgrade et retour sur investissement (ROI). - Le contrôle d accès et besoin de traçabilité dans l entreprise : portée et limites. 61

62 L intervenant Le 31 décembre 2003, Alain Juillet est nommé Haut Responsable Chargé de l Intelligence économique au Secrétariat Général de la Défense Nationale (SGDN) par le Président de la République Jacques Chirac suite au rapport «Intelligence économique, compétitivité et cohésion sociale» du député Bernard Carayon. 62

63 Protection du patrimoine informationnel : enjeux et stratégies d intelligence économique Par Alain Juillet «Nous sommes dans la guerre de la connaissance», nous a expliqué Jacques Attali à l occasion de la publication de son rapport sur la modernisation et la libéralisation de la croissance française. Cette notion traduit la possibilité d un conflit dans lequel un certain nombre d acteurs vont tenter de récupérer les connaissances qu ont les autres. Sachant que la connaissance est un ensemble d informations traitées et retraitées, il s agit ici, clairement, de guerre de l information. Un nouveau paysage concurrentiel Ne soyons pas naïfs, et nous avons encore trop tendance à l être dans notre pays. Il faut être conscient que nous sommes entrés dans un monde qui sera particulièrement dur car terriblement concurrentiel. Notre monde est en train de basculer comme le démontre tous les soubresauts que nous sommes en train de vivre. Nous entrons dans un monde dans lequel l information constitue la clé essentielle tandis que le nombre d acteurs susceptibles d occuper le premier rang devient exponentiel. Il y a vingt ou trente ans, il y avait seulement une quinzaine, une vingtaine de pays qui dominaient le monde. Leurs entreprises contrôlaient les marchés avec des systèmes et des régulateurs économiques qui permettait de gérer l ensemble des opérations à notre profit quasi exclusif. Le début du XXIème siècle nous fait entrer dans une compétition dans laquelle, avant dix ans, il y aura plus de cent pays dans cette situation, soit un nombre de pays concurrents multiplié par cinq ou six. Toutes les entreprises de ces pays vont être à la fois les sentinelles, les acteurs, et les opérateurs de cette bataille au niveau mondial dans laquelle chacun va essayer de capitaliser sur ses points forts. Or nous allons 63

64 découvrir que chacun peut en avoir à l image de Bangalore, en Inde, où opérateurs font de l informatique. Il y a plus d informaticiens à Bangalore qu il n y en a dans toute la France! Et ce n est qu un début. Dans la compétition mondiale, face à des gens efficaces et qui savent travailler. il faut des capacités de réponse. C est tout le problème de la recherche et de l innovation, de la capitalisation sur les savoir faire, de la capacité à identifier les opportunités de marché. Tout est marché car nous n avons plus de communautés d intérêts, d Empires ou de Commonwealth. Aujourd hui, chacun peut aller et réussir partout s il apporte la bonne proposition de valeur, celle que l autre attend : c est le client qui est roi et plus le fournisseur. Reconnaissons que nous l avons un peu oublié dans notre pays ces derniers temps. Favoriser la conscience des menaces D un autre côté, il faut être conscient des menaces qui peuvent arriver de tous côtés. Faire face, saisir les opportunités, développer les savoir faire, la recherche, l innovation, impliquent d aller chercher toutes les informations utiles, de les transférer, de les stocker pour les utiliser, face à cette centaine de pays qui vont devenir concurrents par leurs entreprises. Si nous ne sommes pas capables de le faire, de détecter ce que font les concurrents, les attaques qui se préparent nous rayerons de la carte. L enjeu est simple : il y aura des perdants et des gagnants. Si la vieille Europe ne réagit pas, elle aura perdu. Fort heureusement, nos pays, nos entreprises, l ont compris. Elles commencent à se mettre en ordre de bataille en élaborant des politiques de collecte d informations et de développement des produits et services hors de l Hexagone. Il faut reconnaître qu elles se défendent plutôt bien sans pour autant tomber dans un protectionnisme totalement ringard. D ailleurs, comment pourrait-on mettre en place des barrières pour se protéger alors que notre seule condition de survie c est d aller vendre à l extérieur de nos frontières? Si nous en érigeons, nos concurrents en érigeront également chez eux. Ceci étant, développer cette capacité d acquisition et de traitement de l information pour acquérir la connaissance afin d être plus compétitif au niveau mondial suppose que nous développions des moyens de protection du patrimoine informationnel. Il faut des systèmes de protection pour éviter qu on viennent nous piller, nous prendre l essentiel ou, pire qu on vienne injecter dans nos systèmes des informations erronées 64

65 pour fausser nos stratégies et nos raisonnements. Cette nécessité de protection plus globale commence par un état d esprit. Aujourd hui, si l on dispose d un mot de passe, d une carte à puce, d un droit d accès, on peut rentrer dans n importe quel système d information, ce dont ne privent pas les hackers. Certes, c est illégal, mais il faut être conscient que l on doit lutter contre ce phénomène et prendre les mesures techniques et intellectuelles pour se protéger. Toute perte de capacité ou de valeur du patrimoine informationnel, qui regroupe nos savoir-faire, nos connaissances peut être catastrophique pour l entreprise. C est même mortel pour l emploi de demain alors que l on ne se bat plus pour nous-mêmes, mais pour l avenir de nos enfants. Changer les mentalités Rappelons-le : nous sommes dans un système dans lequel de plus en plus de concurrents vont essayer de récupérer des informations utiles pour eux. Il faut en être conscient et mettre en place des barrières de protection que ne doivent pas seulement reposer sur des cartes à puces ou des espaces de confiance. Cela va plus loin. Lorsque je visite des entreprises et que je vois sur les écrans des stickers avec les mots de passe d accès aux ordinateurs, je me dis qu il y a un grave problème car les salariés n ont pas compris les enjeux de la protection du patrimoine informationnel. Nous sommes parfois d une naïveté confondante. On ne pense pas que d autres puissent commettre des actes que nous ne ferions pas. Sans parler de certains stagiaires dont la mission est de collecter des informations, ou de nos chercheurs qui, selon le principe qu il faut publier pour être reconnu, mettent en toute bonne foi sur la place publique les résultats d années de recherche. Il faut être sérieux : en face de nous, des concurrents ayant besoin de rattraper leur retard économique et technologique, utilisent des moyens de piratage de l information et du patrimoine. Il ne s agit pas de susciter une phobie face aux chinois ou aux indiens ou à certains de nos alliés mais être conscient qu information rime avec désinformation : 20% de l information que l on lit ou entend est fausse! Non pas parce que ceux qui la produisent trompent leur public mais parce que les médias véhiculent les fausses informations qu ils n ont pas le temps de recouper. La vérité peut éclater six mois plus tard, mais tout est oublié. Il faut changer de mentalité et ne pas accorder une confiance aveugle à un système parce que l information qu il véhicule est chiffrée. Les failles existent toujours. Il est possible d injecter des informations sous n importe quelle forme pour fausser les analyses. Ce n est pas la guerre de demain, c est la guerre d aujourd hui, dans un environnement où l on a quitté le monde de l offre et 65

66 de la demande pour entrer dans le monde de la connaissance. Or, le combat pour la maîtrise de la connaissance suppose la maîtrise de l information. Nous devons sortir du patrimoine traditionnel pour privilégier la notion de patrimoine immatériel. C est difficile, dans un monde piloté par des normes financières inspirées par les anglo-saxons où la propriété matérielle détermine la valeur des entreprises. Aujourd hui, on s aperçoit que cette vision comptable est erronée car incomplète puisqu elle ne prend pas en compte le patrimoine immatériel. Ceci a eu des résultats pervers : lorsque l on veut améliorer le résultat d une entreprise, on préfère réduire l investissement en recherche-développement ou sous traiter plutôt que d investir dans une usine parce que cela ne dégage pas de retour sur investissement dans les trois ans. Cela conduit à fragiliser le futur de l entreprise qui, elle, s inscrit dans la durée. On observe toutefois une évolution : les fonds d investissements importants tendent à abandonner leur vision court-termiste à trois ans et travaillent de plus en plus sur un horizon de sept à dix ans. Nous aussi nous devons évoluer pour gagner la compétition qui s ouvre. Il va falloir prendre le virage de l acquisition et du traitement de la connaissance, tout en renforçant nos capacités de protection. 66

67 67

68 Pour en savoir plus Challenges pour les DSI Cet ouvrage s adresse aux DSI actuels et futurs. Comment mener la fusion de deux SI? À quelles métriques et à quels tableaux de bord faut-il se référer? Comment aligner le SI sur la stratégie de l entreprise? Faut-il «outsourcer» les télécoms? Voici quelquesunes des questions auxquelles toute direction des systèmes d information peut aujourd hui se trouver confrontée. Cet ouvrage est le fruit de la collaboration entre le Cigref qui a apporté son expérience des systèmes d information des grandes entreprises françaises et deux grandes écoles, HEC et l École des Mines de Paris, qui ont su formaliser des méthodes d analyse et de réflexion sur le pilotage des grands projets informatiques dans le cadre d un mastère spécialisé. L objectif de cet ouvrage est de stimuler la réflexion du lecteur en lui proposant 21 études de cas réels. L étude de cas est l outil d apprentissage et de perfectionnement le mieux adapté pour apprendre à maîtriser les situations à forte complexité que l on rencontre fréquemment dans les systèmes d information d aujourd hui. Les auteurs Alain Berdugo, professeur au Groupe HEC et Robert Mahl, professeur à l École des Mines de Paris, sont les responsables du mastère spécialisé «Management des systèmes d information et des technologies». Jean-Pierre Corniou est Président d EDS Consulting Services France. Il a été directeur des technologies et systèmes d information de Renault, et Président du Cigref. Jean-François Pépin en est le délégué général. Le Cigref, Club informatique des grandes entreprises françaises, regroupe 115 grandes sociétés. Sa mission est de promouvoir l usage des systèmes d information comme facteur de création de valeur pour l entreprise. 68

69 Le point de vue de Robert Mahl L idée de cet ouvrage est apparue avec le besoin d exprimer de façon vivante à nos étudiants ce qu est le système d information, à partir d études de cas que nous n avions pas, sauf à prendre des études de cas d origine anglosaxonne. Nous avons envoyé des étudiants dans les entreprises et sélectionné le meilleur de ce qu ils ont étudié. Les cas traités dans cet ouvrage abordent 21 différentes problématiques, depuis le e-procurement, la gouvernance, jusqu à l urbanisation, en passant par la conduite du changement. Il ne s agit pas de cas abstraits, nous avons étudié des vraies entreprises, des vrais projets menés par des vrais chefs de projets, nous avons seulement changé les noms et les sigles. 69

70 Pérennité du système d information Cet ouvrage s adresse aux DSI (directeurs des systèmes d information), aux RSSI (responsables de la sécurité des systèmes d information), aux risk managers, aux directions métiers qui sont confrontées régulièrement aux impératifs de haute disponibilité et de continuité d activité des systèmes d information. Les entreprises françai ses souffrent d un étrange paradoxe : d un côté tout le monde admet que le système d information constitue l épine dorsale du fonctionnement opérationnel de l entreprise, d un autre côté les actions engagées pour en garantir la disponibilité sont loin d être toujours probantes. Partant de ce constat cet ouvrage propose une démarche pratique : d abord une méthodologie pour optimiser la disponibilité et la pérennité du SI, ensuite une approche pour évaluer les risques et réaliser un audit, et enfin quelques pistes pour la gestion de crise. Les auteurs René Hanouz est chef d entreprise et expert européen dans le domaine de la qualité et de la sécurité des SI. Ancien vice-président du Clusif (Club de la sécurité des systèmes d information français). Il est membre invité du Forum des compétences. Paul de Kervasdoué, ancien DSI dans le secteur bancaire, est le fondateur d Aquis et consultant spécialisé en sécurité des SI. II est également membre de la FedISA (Fédération de l ILM, du stockage et de l archivage). Philippe Rosé, docteur ès sciences économiques, est journaliste spécialisé dans le management des systèmes d information et la sécurité. Il est éditeur de Best Practices Systèmes d Information et ancien rédacteur en chef du magazine CIO - Management des systèmes d information, qu il a co-fondé en II est également responsable éditorial du référentiel Protection des systèmes d information chez Dunod. 70

71 Le point de vue de Paul de Kervasdoué La pérennité du système d information recouvre tout ce qui concerne la continuité de service ou d activité, c est à dire les atteintes à la disponibilité du système d information. Dans cet ouvrage, nous proposons une méthodologie pratique ainsi qu un progiciel : «Continuity Plan Secours» (téléchargeable directement sur le site de Dunod) pour bâtir, tester et gérer votre Plan de continuité. Un plan de continuité permet, face à un accident ou une malveillance, de pérenniser votre système d information, c est à dire qu il continue à fonctionner après un accident ou une malveillance. Il s agit donc de garantir la continuité de la disponibilité de votre système d information. On distingue deux notions : le plan de continuité de service et le plan de continuité d activité. Dans le premier cas, on s intéresse aux seuls aspects informatiques et télécoms, dans le second, il faut prendre en compte aussi l hébergement des collaborateurs-métiers. Par exemple, pour redémarrer l activité d une salle des marchés, la mise à disposition du seul système d information n est pas suffisante, il faut également héberger physiquement les traders et leur donner les moyens d exercer leur métier professionnellement et en toute sécurité, dans des locaux d hébergement provisoires. Un plan de continuité doit être soigneusement préparé. Cela passe par une analyse et un chiffrage des risques d indisponibilité. Dans l ouvrage : «Pérennité du SI» nous étudions le cas pratique réel d une société d investissement boursier (Banque X) et démontrons que les pertes directes ne représentent qu un huitième du total des pertes. Les pertes indirectes représentent alors 87% du montant total du sinistre brut. Il est essentiel de bien auditer les facteurs de disponibilité et de traçabilité, en réalisant un diagnostic de sécurité ISO Cela permet de jauger le niveau minimum de sécurité en matière d infrastructure, soit par exemple en termes disponibilité de réseaux télécoms et de qualité des sauvegardes des données et programmes. Cela s opère à l intérieur du périmètre de la cible du plan de continuité. Il importe également d évaluer vos contraintes professionnelles de disponibilité : par exemple, dans une banque, les activités de marchés doivent redémarrer en une demi-journée tandis que pour l activité de crédit bail, un redémarrage en 48 heures suffit. Il y aura donc au minimum pour cette banque deux cibles distinctes avec des critères de niveau de disponibilité spécifique : haute disponibilité pour la «Salle des Marchés» et basse disponibilité pour la société de Crédit Bail. 71

72 Dématérialisation et archivage électronique Cet ouvrage s adresse aux responsables des systèmes d information, ainsi qu à tous ceux qui dans leur métier (administration, finances, industrie, RH...) ont la responsabilité de mener à bien des projets de dématérialisation et d archivage sous forme numérique. A l ère du web, des intranets et du commerce électronique, gérer des données numériques éventuellement d origine papier, les transmettre, les utiliser, les échanger, puis les archiver de manière à pouvoir y accéder rapidement est une préoccupation qui concerne chaque jour un nombre croissant d entreprises, ne serait-ce que par rapport à des obligations légales et réglementaires. La première partie de cet ouvrage dresse un panorama complet des contraintes liées à ces projets tant sur les plans techniques qu organisationnels ou juridiques. La seconde partie cherche à apporter des réponses en fournissant des méthodes et des solutions pratiques pour la mise en place de projets de dématérialisation et par voie de conséquence d archivage électronique. Les auteurs Jean-Marc Rietsch est expert en archivage électronique, plus particulièrement pour les aspects conformité, économie et risque, il a publié un livre et de nombreux articles sur ce sujet. Il est le président de FedISA (Fédération européenne de l ILM, du stockage et de l archivage. Marie-Anne Chabin est expert dans le domaine des archives et de l archivage. Elle a fondé le cabinet d expertise Archive 17 (www.archive17.fr). Elle est membre fondateur de FedISA. Eric Caprioli est avocat à la Cour, docteur en droit, associé-fondateur de Caprioli & associés, expert aux Nations unies sur les TIC, la sécurité et les risques informatiques. Il est administrateur de FedISA. 72

73 73

74 Sites web utiles

75 Fédération de l ILM (Information Lifecycle Management), du Stockage et de l Archivage FedISA est la première association qui regroupe à la fois des groupes d utilisateurs des intégrateurs des experts techniques et juridiques des fournisseurs de technologies, matériels et logiciels FedISA, a pour mission d informer et d assister les utilisateurs, de fluidifier et de participer au développement du marché de la gestion et de la conservation de l information électronique. FedISA s est fixée pour principales missions : - d informer et assister les utilisateurs sur les nouvelles technologies, les nouveaux processus et les nouvelles réglementations en effectuant une véritable veille tant technologique que juridique, normative ou encore organisationnelle. - d aider les responsables de projet à justifier leurs dossiers : - en les sensibilisant aux nouvelles technologies et aux obligations corres pondantes ; normatives, organisationnelles, juridiques et réglementaires, - en leur permettant d estimer les risques encourus (légaux et financiers) et les avantages compétitifs comme une meilleure réactivité. - de fluidifier et participer au développement du marché de l archivage électronique et de la gestion et de la conservation de l information. - de favoriser la mise en place des «certifications et des référencements» relatifs aux tiers archiveurs, aux outils matériels et logiciels et aux systèmes internes d archivage des entreprises. 75

NetApp SnapLock TM Une approche unifiée et souple pour répondre aux défis opérationnels de l archivage légal

NetApp SnapLock TM Une approche unifiée et souple pour répondre aux défis opérationnels de l archivage légal NetApp SnapLock TM Une approche unifiée et souple pour répondre aux défis opérationnels de l archivage légal Cyril VAN AGT Responsable Avant-Ventes Grands Comptes NetApp Plan A. Le besoin d archivage légal

Plus en détail

Dématérialisation et archivage électronique

Dématérialisation et archivage électronique Dématérialisation et archivage électronique Jean-Marc Rietsch Ingénieur Civil des Mines Expert en archivage électronique Président de FEDISA (Fédération Européenne de l ILM du Stockage et de l Archivage)

Plus en détail

Dématérialisation du courrier: à éviter

Dématérialisation du courrier: à éviter Dématérialisation du courrier: idées reçues et pièges à éviter Jean-Marc Rietsch Expert en archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l ILM du

Plus en détail

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR INTRODUCTION A la suite de grands scandales financiers qui ont ébranlés le monde des affaires, les instances législatives et réglementaires des Etats Unis ont remis

Plus en détail

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique Les outils «cloud» dédiés aux juristes d entreprises Cadre juridique Présenté par Béatrice Delmas-Linel et Céline Mutz Cabinet De Gaulle Fleurance & Associés 29 juin 2012 1 Introduction La dématérialisation

Plus en détail

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet 2013 1

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet 2013 1 Dématique*, stockage, archivage gouvernance! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération

Plus en détail

Signature électronique et archivage long terme Atelier Aristote / PIN du 13 janvier 2009

Signature électronique et archivage long terme Atelier Aristote / PIN du 13 janvier 2009 Signature électronique et archivage long terme Atelier Aristote / PIN du 13 janvier 2009 DICTAO 152, avenue Malakoff 75116 PARIS, France Tél. : +33 (0) 1 73 00 26 10 Fax : +33 (0) 1 73 00 26 11 Internet

Plus en détail

ELOECM Conference2015

ELOECM Conference2015 ELOECM Conference2015 Signature Electronique et SAE Comment s assurer que les documents signés électroniquement conservent leur valeur probatoire? Patrick ANGE Consultant GED et Archivage http://www.opusconseils.com/

Plus en détail

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha Les archives de l entreprise à l ère du numérique Présentée par: HAMMA Mustapha Définition des archives Toute information enregistrée, produite ou reçue dans la conduite d'une activité institutionnelle

Plus en détail

Les Tiers de Confiance

Les Tiers de Confiance ANR LISE - ADIJ Preuve informatique : quelles nouveautés techniques pour quelles évolutions juridiques? Bibliothèque de l Ordre, Paris, 8 décembre 2011 Les Tiers de Confiance Eric A. CAPRIOLI Avocat à

Plus en détail

Solutions sécurisées au service de l État français et de ses administrations

Solutions sécurisées au service de l État français et de ses administrations Solutions sécurisées au service de l État français et de ses administrations 500 ans d histoire et d expérience au service de l État et des citoyens La révolution numérique mondiale dicte ses règles :

Plus en détail

www.digitech-sa.ch PRESENTATION 2009 L'ingénierie Documentaire

www.digitech-sa.ch PRESENTATION 2009 L'ingénierie Documentaire PRESENTATION 2009 L'ingénierie Documentaire 1 Historique 1992 Création de Digitech France 1993 Création de Digitech Suisse 1999 Rachat de la société DOC PLUS 2000 Rachat du département AIRS (gestion documentaire)

Plus en détail

Cloud Computing, archivage électronique et valeur probante

Cloud Computing, archivage électronique et valeur probante 1 Cloud Computing, archivage électronique et valeur probante Jean-Marc Rietsch, Président de FedISA Mission / Objectifs / Actions Mission: «Garant de l état de l art dans le domaine du management des données

Plus en détail

! "! #! $%& '( )* &#* +,

! ! #! $%& '( )* &#* +, !"#$ % & '! "! #! $%& '( )* &#* +, ( )' *!- + Le Système d Information AUJOURD HUI : à tous les Acteurs «DEMAIN La révolution : à tous digitale les inverse «Citoyens les défauts» : ce qui était autrefois

Plus en détail

LA SIGNATURE ELECTRONIQUE

LA SIGNATURE ELECTRONIQUE LA SIGNATURE ELECTRONIQUE Date de publication : 14/11/2008 Les échanges par voie électronique ne cessent de croître. Or, leur caractère entièrement dématérialisé fait naître de nouveaux enjeux juridiques.

Plus en détail

Les solutions sécurisées pour les entreprises et les institutions

Les solutions sécurisées pour les entreprises et les institutions Les solutions sécurisées pour les entreprises et les institutions La smart attitude Optimisation et renforcement des identités professionnelles, protection des accès physiques aux sites et logiques aux

Plus en détail

SIGNATURE ELECTRONIQUE

SIGNATURE ELECTRONIQUE SIGNATURE ELECTRONIQUE 14/11/2008 Les échanges par voie électronique ne cessent de croître. Or, leur caractère entièrement dématérialisé fait naître de nouveaux enjeux juridiques. La loi du 13 mars 2000

Plus en détail

Ce que dit la norme 2009

Ce que dit la norme 2009 Mettre en œuvre un système d archivage électronique : les apports de la norme révisée Ce que dit la norme 2009 Formation APROGED 2009 1 Domaine d application de la norme Politique et pratiques d archivage

Plus en détail

Livre blanc Compta La dématérialisation en comptabilité

Livre blanc Compta La dématérialisation en comptabilité Livre blanc Compta La dématérialisation en comptabilité Notre expertise en logiciels de gestion et rédaction de livres blancs Compta Audit. Conseils. Cahier des charges. Sélection des solutions. ERP reflex-erp.com

Plus en détail

LE RÔLE DE L ORDRE DANS LA PRATIQUE DE L ACTE D AVOCAT

LE RÔLE DE L ORDRE DANS LA PRATIQUE DE L ACTE D AVOCAT LE RÔLE DE L ORDRE DANS LA PRATIQUE DE L ACTE D AVOCAT Les cas de mise en jeu de la Responsabilité Civile Professionnelle Rapport de Monsieur Larry PELLEGRINO Directeur de la Société de Courtage des Barreaux

Plus en détail

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME

Dématérialisation des données. Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes PROGRAMME Les petits déjeuner du CT M Réunion n 4 du Club de Laboratoires Accrédités Dématérialisation des données Partage d expériences, Evolutions dans le domaine de l accréditation, échanges d auditeurs internes

Plus en détail

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales?

«De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques internationales? C.N.U.D.C.I./U.N.C.I.T.R.A.L. Nations Unies - New York, 14 février 2011 «De l authentification à la signature électronique : quel cadre juridique pour la confiance dans les communications électroniques

Plus en détail

Solutions d archivage d e-mails Gamme FileNet Software Capitalisez pleinement sur vos investissements existants en matière de gestion des e-mails

Solutions d archivage d e-mails Gamme FileNet Software Capitalisez pleinement sur vos investissements existants en matière de gestion des e-mails Minimisation des risques liés aux e-mails, conformité et reconnaissance Solutions d archivage d e-mails Gamme FileNet Software Capitalisez pleinement sur vos investissements existants en matière de gestion

Plus en détail

la Facture électronique mes premiers pas

la Facture électronique mes premiers pas b e X la Facture électronique SOMMAIRE INTRODUCTION Pourquoi émettre des factures?... 5 Pourquoi passer à l électronique?... 6 Etape 1 : qu est-ce que c est? 8 Définition... 8 Modes d échange... 8 Etape

Plus en détail

Groupe PIN Paris le 28 juin 2005

Groupe PIN Paris le 28 juin 2005 Groupe PIN Paris le 28 juin 2005 Caractéristiques d un système d archivage Ouverture Le modèle OPETIS Pérennité Sécurité Évolutivité Intégrité Traçabilité Les fonctions couvertes par ARCSYS Interfaces

Plus en détail

Les ressources numériques

Les ressources numériques Les ressources numériques Les ressources numériques sont diverses et regroupent entre autres, les applications, les bases de données et les infrastructures informatiques. C est un ensemble de ressources

Plus en détail

Groupe de travail «TECHNOLOGIES DE L INFORMATION ET DE LA COMMUNICATION» Réunion du 26 janvier 2006. L archivage électronique

Groupe de travail «TECHNOLOGIES DE L INFORMATION ET DE LA COMMUNICATION» Réunion du 26 janvier 2006. L archivage électronique Département Administration et Gestion Communale AP/DB N 11 Paris, le 25 janvier 2006 Groupe de travail «TECHNOLOGIES DE L INFORMATION ET DE LA COMMUNICATION» Réunion du 26 janvier 2006 L archivage électronique

Plus en détail

la Facture électronique mes premiers pas

la Facture électronique mes premiers pas b X la Facture électronique mes premiers pas 2 e SOMMAIRE INTRODUCTION Pourquoi émettre des factures?... 5 Pourquoi passer à l électronique?... 6 Etape 1 La facture électronique : qu est-ce que c est?

Plus en détail

30 SEPTEMBRE 2014. 30/09/2014 www.ulys.net - cathierosalie.joly@ulys.net - ULYS 2014 1

30 SEPTEMBRE 2014. 30/09/2014 www.ulys.net - cathierosalie.joly@ulys.net - ULYS 2014 1 30 SEPTEMBRE 2014 Me Cathie-Rosalie JOLY Avocat Associé Cabinet Ulys Docteur en droit et Avocat au barreau de Paris Avocat communautaire au barreau de Bruxelles (Liste E) Chargé d enseignement à l Université

Plus en détail

Référentiel Général de Sécurité. version 2.0. Annexe A1

Référentiel Général de Sécurité. version 2.0. Annexe A1 Premier ministre Agence nationale de la sécurité des systèmes d information (ANSSI) Secrétariat général pour la modernisation de l action publique (SGMAP) Référentiel Général de Sécurité version 2.0 Annexe

Plus en détail

VALEUR JURIDIQUE DES ECRITS SUR SUPPORT ELECTRONIQUE

VALEUR JURIDIQUE DES ECRITS SUR SUPPORT ELECTRONIQUE VALEUR JURIDIQUE DES ECRITS SUR SUPPORT ELECTRONIQUE 14/11/2008 L écrit est associé depuis des siècles à son support, le papier. Le développement des nouvelles technologies de l information et de la communication

Plus en détail

Système d archivage électronique

Système d archivage électronique Les Mémos du CR2PA Système d archivage électronique Comment le choisir? Le bon progiciel d archivage, c'est celui qui répond à la fois à vos besoins et aux exigences légales et/ou réglementaires régissant

Plus en détail

OpenScribe L ECM Sagem. Pour maîtriser simplement tous les flux d informations

OpenScribe L ECM Sagem. Pour maîtriser simplement tous les flux d informations OpenScribe L ECM Sagem. Pour maîtriser simplement tous les flux d informations Solution complète clé en main pour la gestion des flux d informations Gestion du cycle de vie du document actif Partage et

Plus en détail

Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Introduction et cadrage Jean Pierre Buthion, Pdt de la Commission Identités Analyse et synthèse

Plus en détail

Textes officiels de la Commission bancaire

Textes officiels de la Commission bancaire Textes officiels de la Commission bancaire Instruction n 2007-01 du 18 janvier 2007 modifiée par les instructions 2007-03 du 26 mars 2007, 2008-03 du 28 janvier 2008, 2008-05 du 20 juin 2008 et n 2009-02

Plus en détail

Cible de sécurité CSPN

Cible de sécurité CSPN Cible de sécurité CSPN ClearBUS Application cliente pour la communication sécurisée Version 1.12 Le 25/11/2011 Identifiant : CBUS-CS-1.12-20111125 contact@clearbus.fr tel : +33(0)485.029.634 Version 1.12

Plus en détail

Depuis 1537, nous pensons que préserver notre patrimoine intellectuel et culturel est vital.

Depuis 1537, nous pensons que préserver notre patrimoine intellectuel et culturel est vital. Depuis 1537, nous pensons que préserver notre patrimoine intellectuel et culturel est vital. Le service d Archivage numérique de la Bibliothèque nationale de France 1. Les enjeux 2. Le système SPAR 3.

Plus en détail

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS

RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS RÉFÉRENTIEL SUR LA SÉCURITÉ DES TITRES CHEQUES EMPLOI-SERVICE UNIVERSELS Février 2015 SOMMAIRE 1. INTRODUCTION... 3 2. PÉRIMÈTRE... 4 3. MISE EN OEUVRE... 5 4. PRÉSENTATION DES OBJECTIFS DE SÉCURITÉ...

Plus en détail

K alpa. Documents électroniques, recherchez l équivalence fonctionnelle. Conseils Billling Éditique LIVRE BLANC

K alpa. Documents électroniques, recherchez l équivalence fonctionnelle. Conseils Billling Éditique LIVRE BLANC K alpa Conseils Billling Éditique LIVRE BLANC Documents électroniques, recherchez l équivalence fonctionnelle. NOV. 2015 Introduction Publié il y a presque deux ans, en juillet 2014, la nouvelle réglementation

Plus en détail

CONTRAT D ACHEMINEMENT SUR LE RESEAU DE GRTGAZ

CONTRAT D ACHEMINEMENT SUR LE RESEAU DE GRTGAZ Page 1 sur 10 CONTRAT D ACHEMINEMENT SUR LE RESEAU DE GRTGAZ ANNEXE A3 MODELE DE CONVENTION DE PREUVE Page 2 sur 10 ENTRE : GRTgaz, Société anonyme au capital de 536 920 790 euros, immatriculée au RCS

Plus en détail

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS

LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS LES ENJEUX JURIDIQUES ET TECHNIQUES DE LA DÉMATÉRIALISATION DES MARCHÉS PUBLICS MARCHÉS PUBLICS INTRODUCTION La dématérialisation des procédures de marchés publics est une technique permettant une gestion

Plus en détail

La Politique de Gestion des Preuves «K.WEBSIGN»

La Politique de Gestion des Preuves «K.WEBSIGN» La Politique de Gestion des Preuves «K.WEBSIGN» SOMMAIRE 1 QUEL EST LE ROLE DE LA POLITIQUE DE GESTION DES PREUVES? 3 2 COMMENT FONCTIONNE LE SERVICE K.WEBSIGN? 3 3 QUELS SONT LES USAGES ET APPLICATIONS

Plus en détail

La Politique de Gestion des Preuves «K.WEBSIGN»

La Politique de Gestion des Preuves «K.WEBSIGN» La Politique de Gestion des Preuves «K.WEBSIGN» SOMMAIRE 1 QUEL EST LE ROLE DE LA POLITIQUE DE GESTION DES PREUVES? 3 2 COMMENT FONCTIONNE LE SERVICE K.WEBSIGN? 3 3 QUELS SONT LES USAGES ET APPLICATIONS

Plus en détail

aroline MASCRET Mission Juridique Pôle «Actes et Produits de Santé» Haute Autorité de Santé

aroline MASCRET Mission Juridique Pôle «Actes et Produits de Santé» Haute Autorité de Santé Champ référentiel 1.2 Chapitre 1, domaine 2 : Juridique Les principes généraux du droit d accès aux données de santé aroline MASCRET Mission Juridique Pôle «Actes et Produits de Santé» Haute Autorité de

Plus en détail

Archivage de documents à valeur juridique. Présentation du coffre-fort électronique CDC Zantaz

Archivage de documents à valeur juridique. Présentation du coffre-fort électronique CDC Zantaz Archivage de documents à valeur juridique Présentation du coffre-fort électronique CDC Zantaz CDC ZANTAZ Tiers archiveur - Tiers de confiance La référence en matière de confiance CDC ZANTAZ créée 2001

Plus en détail

Solutions logicielles d'archivage répondant à des contraintes légales et réglementaires. 2009 IBM Corporation

Solutions logicielles d'archivage répondant à des contraintes légales et réglementaires. 2009 IBM Corporation Solutions logicielles d'archivage répondant à des contraintes légales et réglementaires. IBM SWG IM-ECM 2009 Nicolas Coscino Agenda (45mn) Stratégie IBM : SWG Information On Demand. Enjeux, normes et standards.

Plus en détail

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique

Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique Commission Nationale de l Informatique et des Libertés (CNIL) Délibération n 03-036 du 1er juillet 2003 portant adoption d'une recommandation relative à la sécurité des systèmes de vote électronique 01

Plus en détail

Référentiel d imputabilité

Référentiel d imputabilité VERSION V0.3 Référentiel d imputabilité Politique Générale de Sécurité des Systèmes d Information de Santé (PGSSI-S) - Juillet 2014 MINISTÈRE DES AFFAIRES SOCIALES ET DE LA SANTÉ Le présent document a

Plus en détail

CIMAIL SOLUTION: EASYFOLDER SAE

CIMAIL SOLUTION: EASYFOLDER SAE 01100011 01101001 01101101 01100001 01101001 01 CIMAIL SOLUTION: EASYFOLDER SAE IRISLINK le 15 Février 2012 01100011 01101001 01101101 01100001 01101001 01101100 Un monde d informations en toute confiance

Plus en détail

Protection des données personnelles et sécurisation des données

Protection des données personnelles et sécurisation des données Protection des données personnelles et sécurisation des données Journées d études des documentalistes et archivistes des ministères sociaux Paris, 2 février 2012 Jeanne BOSSI, Secrétaire générale de l

Plus en détail

Dossier de presse L'archivage électronique

Dossier de presse L'archivage électronique Dossier de presse L'archivage électronique Préambule Le développement massif des nouvelles technologies de l information et de la communication (TIC) a introduit une dimension nouvelle dans la gestion

Plus en détail

Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l

Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l Note d observations de la Commission nationale de l informatique et des libertés concernant la proposition de loi relative à la protection de l identité Examinée en séance plénière le 25 octobre 2011 Depuis

Plus en détail

Conférence EDIFICAS. Le document électronique et sa valeur probante

Conférence EDIFICAS. Le document électronique et sa valeur probante Conférence EDIFICAS Le document électronique et sa valeur probante 26 mai 2011 Le document électronique Quels normes/standards adopter pour être le plus conforme à la législation française? Les grands

Plus en détail

Eway-Solutions Plateforme d inter-échange de factures électroniques. Service en mode SAAS orienté PMI/PME

Eway-Solutions Plateforme d inter-échange de factures électroniques. Service en mode SAAS orienté PMI/PME Eway-Solutions Plateforme d inter-échange de factures électroniques Service en mode SAAS orienté PMI/PME le 11/04/2012 ARISTOTE Contexte Adaptation française de la directive 115 de l UE, les articles 289V

Plus en détail

CONTRAT D INTERCHANGE EDI

CONTRAT D INTERCHANGE EDI CLUB INFORMATIQUE DES GRANDES ENTREPRISES FRANCAISES 21, avenue de Messine - 75008 PARIS Tél. : 01 56 59 70 00 - Fax : 01 56 59 70 01 http://www.cigref.fr cigref@cigref.fr CONTRAT D INTERCHANGE EDI Janvier

Plus en détail

PROGRAMME DE FORMATION

PROGRAMME DE FORMATION F-5.04 : METHODOLOGIE D UN PROJET DE DEMATERIALISATION ET D ARCHIVAGE ELECTRONIQUE, APPLICATION AUX MAILS /// Objectifs pédagogiques Apporter aux participants les informations essentielles pour aborder

Plus en détail

L application doit être validée et l infrastructure informatique doit être qualifiée.

L application doit être validée et l infrastructure informatique doit être qualifiée. 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 Annexe 11: Systèmes informatisés

Plus en détail

Pensez socle d'archivage électronique unifié pour un ROI rapide

Pensez socle d'archivage électronique unifié pour un ROI rapide Pensez socle d'archivage électronique unifié pour un ROI rapide Paul TERRAY, Consulting Manager, SOLLAN Alexis FRITEL, System Engineer, EMC 16/06/2015 Sommaire Partie 1 : Présentation de la problématique

Plus en détail

Archivage électronique et valeur probatoire

Archivage électronique et valeur probatoire Archivage électronique et valeur probatoire Livre blanc Archivage électronique et valeur probatoire Livre blanc 2 Sommaire 1 Introduction 3 2 Archive et archivage 5 2.1 Qu est-ce qu une archive? 5 2.2

Plus en détail

Solution d archivage

Solution d archivage Solution d archivage Storage Magazine Security Product of the Year June 06 Computer Technology Review Editor s s Choice November 05 ITPRO Editor s s Choice Jan 07 www.rise.fr 01 47 55 79 62 marketing@rise.fr

Plus en détail

CONDITIONS GÉNÉRALES D UTILISATION DE LA CLÉ REAL ET DES CERTIFICATS ASSOCIÉS

CONDITIONS GÉNÉRALES D UTILISATION DE LA CLÉ REAL ET DES CERTIFICATS ASSOCIÉS CONDITIONS GÉNÉRALES D UTILISATION DE LA CLÉ REAL ET DES CERTIFICATS ASSOCIÉS 1 PRÉAMBULE ET OBJET Le Conseil Supérieur du Notariat (CSN) propose aux notaires et à leurs collaborateurs, une Clé Real dans

Plus en détail

Solutions et Gestion Sécurisées des données Safe and secure data solutions and management

Solutions et Gestion Sécurisées des données Safe and secure data solutions and management Solutions et Gestion Sécurisées des données Safe and secure data solutions and management Chantal PRALIAUD Chef de Projet Transports Intelligents Groupe Imprimerie Nationale Mme Chantal Praliaud Mission

Plus en détail

SUR LE CADRE JURIDIQUE DE LA

SUR LE CADRE JURIDIQUE DE LA SÉMINAIRE INTERNATIONAL DE LA CERTIFICATION ELECTRONIQUE (SICE 2011) ARPT, ALGER DU 28 AU 30 JUIN 2011 SUR LE CADRE JURIDIQUE DE LA SIGNATURE ET DE LA CERTIFICATION ÉLECTRONIQUE EN ALGÉRIE: QUE RESTE-T-IL

Plus en détail

Le cadre législatif de la certification électronique, de la signature électronique pour la mise en oeuvre d'une Economie Numérique

Le cadre législatif de la certification électronique, de la signature électronique pour la mise en oeuvre d'une Economie Numérique Le cadre législatif de la certification électronique, de la signature électronique pour la mise en oeuvre d'une Economie Numérique Présentation du 8 décembre Alain Laniesse Directeur conseil et expert

Plus en détail

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique. Cadre législatif et règlementaire Code du patrimoine Code général des collectivités territoriales. Décret n 79-1037 du 3 décembre 1979 modifié relatif à la compétence des services d publics et à la coopération

Plus en détail

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise

Votre référentiel documentaire. STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise Votre référentiel documentaire STS.net Solution de gestion et de conservation des actifs documentaires de l entreprise STS group le groupe STS Créé en 1984 Autonomie et stabilité financière Partenaire

Plus en détail

TABLE DES MATIERES. Section 1 : Retrait... 20-22 Section 2 : Renonciation... 23-25 Section 3 : Nullité... 26-28

TABLE DES MATIERES. Section 1 : Retrait... 20-22 Section 2 : Renonciation... 23-25 Section 3 : Nullité... 26-28 Ordonnance n 03-08 du 19 Joumada El Oula 1424 correspondant au 19 juillet 2003 relative à la protection des schémas de configuration des circuits intégrés TABLE DES MATIERES Articles Titre I : Dispositions

Plus en détail

Le statut juridique de l archivage électronique : questions choisies

Le statut juridique de l archivage électronique : questions choisies Le statut juridique de l archivage électronique : questions choisies 05.06.2014 Brussels London - www.liedekerke.com Bernard VANBRABANT, Counsel Kirsten VAN GOSSUM, Associate Amandine PHILIPPART DE FOY,

Plus en détail

18/01/2011 Intervention groupe PIN

18/01/2011 Intervention groupe PIN Archivage des e mails Offres et outils Jean Marc MarcRietsch, Président defedisa Ingénieur Civil des Mines Expert en dématérialisation et archivage électronique Chargé de cours à Mines ParisTech Analyste

Plus en détail

LE PAIEMENT EN LIGNE :

LE PAIEMENT EN LIGNE : Les Mardis de l ADIJ Maison du barreau le 4 juillet 2006 LE PAIEMENT EN LIGNE : L état du droit face à la technique Cathie-Rosalie JOLY Docteur en droit avocat Directrice du site d information juridique

Plus en détail

L archivage pérenne du document numérique au CINES. CINES (O.Rouchon) Rencontres RNBM 3 Octobre 2007

L archivage pérenne du document numérique au CINES. CINES (O.Rouchon) Rencontres RNBM 3 Octobre 2007 L archivage pérenne du document numérique au CINES CINES (O.Rouchon) Rencontres RNBM 3 Octobre 2007 Sommaire La mission d archivage du CINES Le contexte, la problématique et les constats Les défis, orientations

Plus en détail

Le modèle européen MoReq mars 2001

Le modèle européen MoReq mars 2001 Le modèle européen MoReq mars 2001 présentation de la version française Marie-Anne Chabin Réunion PIN 01/09/04 1 Model Requirements for the Management of Electronic Records Modèle d exigences pour l organisation

Plus en détail

Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin

Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin Horodatage Sécurisé J.M. Fourneau Laboratoire PRiSM, CNRS UMR 8144 Université de Versailles St-Quentin M2 ASS-ACSIS 2008, Université de Versailles St Quentin [1/25] Horodatage Sécurisé Le service d horodatage

Plus en détail

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité

Cahier des charges des dispositifs de télétransmission des actes soumis au contrôle de légalité Cahier des charges des dispositifs de télétransmission des actes télétransmission des actes Page 2 / 10 1 PRÉAMBULE...3 2 CADRAGE : LA TÉLÉTRANSMISSION DES ACTES...5 2.1 Le contrôle de légalité...5 2.2

Plus en détail

Pérennisation des Informations Numériques

Pérennisation des Informations Numériques Pérennisation des Informations Numériques Besoins, Enjeux, Solutions. Ronald Moulanier Hubert Lalanne 28 juin 2005 Besoins et enjeux d une solution pérenne Contraintes légales Intégration des contraintes

Plus en détail

La gestion du cycle de vie des documents dans la banque de détail Société Générale : GED et Archivage électronique

La gestion du cycle de vie des documents dans la banque de détail Société Générale : GED et Archivage électronique Décembre 2007 JJ Mois Année La gestion du cycle vie s documents dans la banque détail Société Générale : GED et Archivage électronique 2 Sommaire Contexte : les projets GED et archivage électronique Constat

Plus en détail

Arc r h c i h va v g a e g E lect c r t o r n o i n qu q e u à valeur probatoire

Arc r h c i h va v g a e g E lect c r t o r n o i n qu q e u à valeur probatoire Archivage Electronique à valeur probatoire Tiers archiveur Tiers de confiance.2 Visionnaire, la Caisse des Dépôts crée CDC Arkhinéo en 2001 avec pour mission la conservation à long terme des documents

Plus en détail

Système d archivage Exabuilder. Matinée de veille technologique Argos 22 novembre 2012

Système d archivage Exabuilder. Matinée de veille technologique Argos 22 novembre 2012 Système d archivage Exabuilder Matinée de veille technologique Argos 22 novembre 2012 Exabuilder Qui sommes-nous? Vocabulaire du stockage des données Pourquoi archiver? Les besoins induits Les approches

Plus en détail

ARCHIVAGE ET DEMATERIALISATION

ARCHIVAGE ET DEMATERIALISATION 2 JOURS DE FORMATION ARCHIVAGE ET DEMATERIALISATION 6 et 7 octobre 2009 CNIT - PARIS LA DÉFENSE Mardi 6 octobre Comment gérer un projet de mise en place d un système d archivage électronique, application

Plus en détail

Les Auteurs. Ont également contribué à ce document

Les Auteurs. Ont également contribué à ce document Les Auteurs Jean-Marc Rietsch Pilote de l ouvrage, Jean-Marc Rietsch (jm.rietsch@fedisa.eu) est expert des métiers de la confiance et plus particulièrement de l archivage électronique. Ingénieur Civil

Plus en détail

Archivage électronique sécurisé. Version du 16 mai 2006

Archivage électronique sécurisé. Version du 16 mai 2006 PREMIER MINISTRE Secrétariat général de la défense nationale Direction centrale de la sécurité des systèmes d information Sous-direction des opérations Bureau conseil Archivage électronique sécurisé ENJEUX

Plus en détail

La dématérialisation fiscale

La dématérialisation fiscale La dématérialisation fiscale Mondial Assistance met en place la facture électronique, ou dématérialisation fiscale. Ce document a pour objectif de vous présenter les normes qui encadrent un nouveau mode

Plus en détail

Sécuritédes Applications Web Conférence CLUSIF 15 décembre 2011

Sécuritédes Applications Web Conférence CLUSIF 15 décembre 2011 Sécuritédes Applications Web Conférence CLUSIF 15 décembre 2011 Les enjeux réglementaires de la protection des informations en ligne Garance MATHIAS Avocat Dématérialisation des données et informations

Plus en détail

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM,

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM, EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM, Réf. Commercial/documentations FR/EDC/D-Présentations PPT EDC/EDC_fast_contrat_14-11-15 PP Schéma sans ou avec EDC FAST Sans

Plus en détail

ure Gestion de Preuve 15/10/2014

ure Gestion de Preuve 15/10/2014 Protect and Sign: : Personal Signat ure Politique de Signature et Preuve de Gestion de Emmanuel Montacutelli 15/10/2014 POLITIQUE DE SIGNATURE ET DE GESTION DE PREUVE Version du document : V1.3 Nombre

Plus en détail

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance

PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance PLAN DE CONTROLE EXTERNE DU REFERENTIEL AFAQ Service Confiance REF 118 01 Sauvegarde à distance de données numériques REFERENCE : PCE-118-01 30/03/2001 PCE- 118 01 Page 1 sur 17 30/03/2001 Toute reproduction

Plus en détail

éditée par Cryptolog

éditée par Cryptolog powered by La plateforme Cloud de signature électronique, d horodatage et de gestion des identités éditée par Cryptolog www.universign.com LES OFFRES CLOUD Signature électronique Universign Pro Universign

Plus en détail

Présentation du cadre technique de mise en œuvre d un Service d Archivage Electronique

Présentation du cadre technique de mise en œuvre d un Service d Archivage Electronique Présentation du cadre technique de mise en œuvre d un Service d Archivage Electronique Isabelle GIBAUD Consultante au Syndicat Interhospitalier de Bretagne Co-chair vendor IHE-FRANCE Sommaire 1 Périmètre

Plus en détail

Dématique et archivage

Dématique et archivage Dématique et archivage Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l ILM du

Plus en détail

Archives et factures électroniques

Archives et factures électroniques Archives et factures électroniques Edito En 2001, le Conseil de l Union Européenne a publié la Directive 2001/115/CE relative à la facturation. Son objectif était de simplifier, de moderniser et d harmoniser

Plus en détail

Politique de Signature électronique Hélios. de la Direction Générale des Finances Publiques (DGFiP)

Politique de Signature électronique Hélios. de la Direction Générale des Finances Publiques (DGFiP) Direction Générale des Finances Publiques --------- Politique de Signature électronique Hélios de la Direction Générale des Finances Publiques (DGFiP) Pour les flux informatiques transmis par les ordonnateurs

Plus en détail

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper

ISO 17799 : 2005/ISO 27002. Bonnes pratiques pour la gestion de la sécurité de l information. White Paper White Paper ISO 17799 : 2005/ISO 27002 Bonnes pratiques pour la gestion de la sécurité de l information Éric Lachapelle, CEO Veridion René St-Germain, Président Veridion Sommaire Qu est-ce que la sécurité

Plus en détail

15. Protection de la propriété intellectuelle au Canada. Brevets

15. Protection de la propriété intellectuelle au Canada. Brevets Protection de la propriété intellectuelle au Canada En cette période où la recherche scientifique, le domaine technique et les activités commerciales évoluent rapidement, il devient de plus en plus important

Plus en détail

Politique de Signature Électronique de DICTServices

Politique de Signature Électronique de DICTServices Politique de Signature Électronique de DICTServices Politique de signature électronique de DICTServices version 1.0.0 1/8 Suivi du document Version Date Origine de la mise à jour Rédigé par 1.0.0 01/12/12

Plus en détail

Présentation Application Coffre-fort électronique Cloud Access for Salesforce

Présentation Application Coffre-fort électronique Cloud Access for Salesforce Présentation Application Coffre-fort électronique Cloud Access for Salesforce CDC Arkhinéo Présentation Application Cloud Access 1 De la preuve papier à la preuve électronique Loi du 13 mars 2000 (modifiant

Plus en détail

La baisse des coûts liés au

La baisse des coûts liés au AVIS D EXPERT Paris, le 27 mai 2013 ILM (Information Lifecycle Management) : comment garantir la disponibilité des données à l heure du Big Data conformément aux exigences règlementaires tout en réduisant

Plus en détail

I partie : diagnostic et proposition de solutions

I partie : diagnostic et proposition de solutions Session 2011 BTS assistant de manager Cas Arméria: barème et corrigé Remarque: la 1 ère partie doit être cohérente avec les éléments déterminants du contexte décrit dans cet encadré, qui n est pas attendu

Plus en détail

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE

CONSERVATION DES DOCUMENTS ELECTRONIQUES SANS SYSTEME D ARCHIVAGE ELECTRONIQUE Cadre législatif et règlementaire Code du patrimoine Code général des collectivités territoriales Décret n 79-1037 du 3 décembre 1979 modifié relatif à la compétence des services d publics et à la coopération

Plus en détail

E-DOC AWARDS 2011. Les dossiers incomplets ne seront pas traités.

E-DOC AWARDS 2011. Les dossiers incomplets ne seront pas traités. E-DOC AWARDS 2011 Périmètre Les E-Doc Awards, est un concours co-organisé par FedISA (Fédération de l ILM, du Stockage et de l Archivage) dont le siège social est 55 avenue Victor Hugo, 75116 Paris, ayant

Plus en détail