Dématique*, stockage, archivage gouvernance! Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l ILM du Stockage et de l Archivage) Analyste au BIT Group * Dématique : Contraction de dématérialisation et d informatique, la dématique correspond à l action de dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la dématérialisation des échanges et des processus métier en y incluant la composante légale. PCI DSS Roadshow Paris juillet 2013 1
Actualité FedISA PCI DSS Roadshow Paris juillet 2013 2
Mission / Objectifs / Actions Mission: garant de l état de l art dans le domaine du management des données numériques Objectifs: Développer le marché Assurer une veille juridique et technique Actions: (informer et assister les utilisateurs) Commissions Evènements (+province) : congrès, petits déjeuners ou soirées, conférences, Ouvrages: livres blancs, guides pratiques, dossiers Formations avec DEMATEUS La lettre mensuelle de la dématique (n 14) Un nouveau journal «Eco réseau» PCI DSS Roadshow Paris juillet 2013 3
E-learning Sensibilisation à la démat PCI DSS Roadshow Paris juillet 2013 4
Une association représentative Une véritable reconnaissance avec : Des adhérents de renom publics et privés (IN, CNP, Orange, EMC, IBM, Symantec, Atos, RSD, Cryptolog, ) Une participation très importante La production de travaux de qualité Présence internationale qui s intensifie : France Luxembourg Monaco Belgique Canada Irlande UK Suisse PCI DSS Roadshow Paris juillet 2013 5
Dématique, stockage, archivage gouvernance! 1. Introduction 2. Pourquoi? 3. Contraintes 4. Méthodologie 5. Application à PCI DSS PCI DSS Roadshow Paris juillet 2013 6
Les 3 niveaux de la dématique DEMATERIALISATION des supports : numérisation de documents existants des échanges : développement des e-mails, recommandés électronique, télé travail, des processus métier : (évolution de l informatisation) E-administration : télétva, téléir, téléacte, appels d offres, monservice-public.fr, Entreprises : factures, contrats, Europe : chronotachygraphe, PCI DSS Roadshow Paris juillet 2013 7
Le L de ILM: Life Cycle (Cycle de vie) Enterprise content management Document management Records management Patrimoine figé V1 discutée V2 diffusée V3 annule et remplace V2 court terme de 1 an à 100 ans chaîne de confiance mémoire historique (1-5%) PCI DSS Roadshow Paris juillet 2013 8
Une évolution naturelle ILM Stockage Archivage Dématique Conservation de données numériques Gouvernance PCI DSS Roadshow Paris juillet 2013 9
Stockage, archivage Pourquoi archiver Origines De quoi parle-t-on? PCI DSS Roadshow Paris juillet 2013 10
Pourquoi archiver? Répondre à ses obligations légales et réglementaires éviter de perdre Réagir / augmentation des volumes (trop d information tue l information constat d impuissance! Pb de qualité de l info) ne pas s appauvrir Garder la trace, sécuriser un savoir-faire préserver et enrichir son patrimoine «informationnel», véritable capital immatériel de toute organisation RETROUVER PCI DSS Roadshow Paris juillet 2013 11
Les origines de l archivage Dématique Rationalisation Obligations ARCHIVAGE Numérique Papier Sécurisation Patrimoine PCI DSS Roadshow Paris juillet 2013 12
Archivage électronique? N est pas une simple transposition (dématérialisation) de l archivage traditionnel papier en électronique Correspond à une nouvelle organisation des données dans l entreprise (notion de cycle de vie, ILM) Impacte fortement le système d information, en fait partie intégrante, d où son aspect stratégique Doit être pris en compte très en amont PCI DSS Roadshow Paris juillet 2013 13
Doit-on encore parler d archivage? Des données numériques qui doivent : être conservées + ou -longtemps être sécurisées de façon adaptée: risque / valeur de l info être retrouvées Pérennité : nouveau critère sécuritaire? Conservation sécurisée de données numériques, à l intérieur du SI PCI DSS Roadshow Paris juillet 2013 14
Contraintes Techniques Légales Sécuritaires Organisationnelles PCI DSS Roadshow Paris juillet 2013 15
Contraintes techniques de l archivage Formats logiques (risques) Intelligibilité (données impossible à interpréter) Supports Pérennité (perte information) Intégrité (donnée non fiable) Migrations Support (impossibilité de relire) Format (impossibilité de traduire en clair) Signature électronique Validité dans le temps Obsolescence cryptographique (perte de fiabilité et d identité) PCI DSS Roadshow Paris juillet 2013 16
Les supports de demain Retour à la pierre! Quartz, 40 Mo/i 2 contre 35 pour un CD. Lisible par microscopique optique mais fragile aux chocs. Nouveauté en matière optique le HVD pour Holographicversatile disc est une technologie de disque optique qui peut contenir jusqu à 3,9 To d information soit 5.800 CDs ou 830 DVD ou encore 60 Blu-ray! Les évolutions du magnétique Seagate a atteint 1To/i 2 et on annonce des disques de 3,5 pouces avec jusqu à 60 To! La révolution côté vivant? 6 Mo dans 337 picogramme(10-12 ) d ADN. Les chercheurs annoncent 2 po dans un seul gramme. PCI DSS Roadshow Paris juillet 2013 17
Contraintes légales Equivalence des documents signés électroniquement avec l'écrit papier Le juge décide seul pour dire si un document est recevable en tant que preuve ou élément de preuve. L archivage «légal» n existe pas à proprement parler. PCI DSS Roadshow Paris juillet 2013
Conditions valeur probante Respect des conditions légales prescrites par les textes : Intelligibilité, peu importe la forme de l information, l essentiel est qu elle soit restituée de façon intelligible par l homme et non par la machine Identification de l auteur Garantie d intégrité(du contenu informationnel) traçabilité Pérennité, respecter les durées de conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions PCI DSS Roadshow Paris juillet 2013 19
Contraintes sécuritaires Disponibilité, communication Intégrité Confidentialité, contrôle d accès, habilitation Traçabilités, conservation des traces Pérennité, durée de conservation Identification, authentification PCI DSS Roadshow Paris juillet 2013 20
Contraintes / système d information L archivage électronique fait partie intégrante du SI qui: Supporte l ensemble des processus métiers S ouvre vers un plus grand nombre d utilisateurs Progresse au niveau de ses capacités de stockage et de traitement Le SI passe d une logique de collecte des données à une logique de production d informations... de valeur! PCI DSS Roadshow Paris juillet 2013 21
Premières briques méthodologiques Grands processus d archivage Aspect pluridisciplinaire Politique d archivage PCI DSS Roadshow Paris juillet 2013 22
Grands processus de l archivage 1- Identifier, capturer et classifier ce qui ne doit plus être modifié Système d Archivage Electronique (SAE) 3- Mettre l information à disposition des utilisateurs 2- Conserver l intégrité jusqu à la destruction! 4- Tracer l ensemble des opérations effectuées, sécuriser les traces. PCI DSS Roadshow Paris juillet 2013 23
Aspect pluridisciplinaire dématiqueet conservation de données numériques Technique : Répondre au paradoxe de devoir utiliser pour de longues périodes des technologies à l obsolescence rapide. Organisationnel : Bien définir ses besoins très en amont afin d avoir la garantie de pouvoir retrouver l information désirée ultérieurement. Mettre en œuvre une véritable gestion de projet. Juridique : Tenir compte des obligations légales et réglementaires afin de pouvoir faire valoir des documents numériques en cas de besoin. Aspects pluridisciplinaires exigent une collaboration transverse indispensable PCI DSS Roadshow Paris juillet 2013 24
Aspect transverse de la dématiqueet de la conservation de données numériques Complétude des processus : Traiter les processus dans leur ensemble. Ne pas négliger l amont ou l aval d un processus sous prétexte qu il se déroule en dehors de l organisation. Transversalité des projets d AE : Aborder le projet de façon transverse, éviter de raisonner en silo, à prendre très en amont de tout projet. Vision globale : Réunir dès le départ l ensemble des compétences nécessaires, avoir une vision globale pour ensuite planifier une mise en œuvre progressive. PCI DSS Roadshow Paris juillet 2013 25
Un document n est pas seul! Méta données d informations Véritable identité numérique Index Format Origine Document (contenu informationnel) Méta données de gestion Durée de conservation Protection Migration, conversion PCI DSS Roadshow Paris juillet 2013 26
Savoir relier : données/documents -systèmes D Disponibilité Sécurité S O N Intégrité Confidentialité Preuve/traçabilité Y S N Service T E E Ouverture service Dispo verst, interro Durée E M S Destruction SE E PCI DSS Roadshow Paris juillet 2013 27
La politique d archivage La politique d archivage (outil de gouvernance): élément charnière, interface indispensable entre : lois, réglementations, systèmes informatiques (techniques et sécurité adaptée) PCI DSS Roadshow Paris juillet 2013
Les trois couches d un SAE La couche gouvernance : les règles Les couches métier : l opérationnel Le coffre numérique : le socle L infra avec différentes solutions techniques/niveaux sécurité-service PCI DSS Roadshow Paris juillet 2013
Intérêt de la «certification» La loi fait référence à l état de l art (state of the art). Les normes peuvent représenter l état de l art à partir du moment où elles sont représentatives et évolutives Les différents niveaux de «conformité»: Autodéclaration Conformité par un tiers (technique et juridique) Référencement Labellisation (dépend de la légitimité de l organisme) Certification par un organisme tiers, lui-même accrédité (portée internationale) Agrément La certification représente le niveau de garantie le plus élevé que l on puisse présenter à un juge concernant la «fiabilité» de son système. PCI DSS Roadshow Paris juillet 2013
Protéger les données de titulaires de cartes stockées (condition 3) PCI DSS Roadshow Paris juillet 2013 31
(3.1) Conservation des données carte Stockage des données : politique de conservation et d élimination procédures correspondantes PCI DSS Roadshow Paris juillet 2013
(3.1.1) La politique d archivage Définition des : données stockées délais de conservation processus d élimination (fréquence trimestrielle) conditions de conservation (DICP) PCI DSS Roadshow Paris juillet 2013
(3.2) Ne stocker aucune données d authentification Si de telles données sont reçues : Protection sécurisée si «vraiment» nécessaire Processus d élimination sans récupération possible des données PCI DSS Roadshow Paris juillet 2013
Ne pas stocker (3.2.1) contenu complet d une piste (3.2.2) valeur de vérification (3.2.3) code PIN PCI DSS Roadshow Paris juillet 2013
Gestion du PAN (3.3) Masquer à l affichage, sauf pour les personnes qui en ont l utilité (3.4) Illisible au niveau stockage y compris sur support numérique portable, jeux de sauvegarde et journaux + gestion des clés PCI DSS Roadshow Paris juillet 2013
Conclusion PCI DSS Roadshow Paris juillet 2013 37
Nécessité de gouverner l information, pour : Mettre en œuvre des infrastructures Classifier/organiser les données Prendre en compte le cycle de vie de l information Assurer la qualité de l information Administrer des politiques Gérer les risques et la conformité Créer de la valeur Etre efficace, être compétitif PCI DSS Roadshow Paris juillet 2013 38
Merci pour votre attention jm.rietsch@fedisa.eu www.fedisa.eu PCI DSS Roadshow Paris juillet 2013 39