FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"



Documents pareils
Conférence EDIFICAS. Le document électronique et sa valeur probante

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

PROGRAMME DE FORMATION

PASSI Un label d exigence et de confiance?

Archivage électronique - Règle technique d exigences et de mesures pour la certification des PSDC

Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

Dossier de presse L'archivage électronique

CIMAIL SOLUTION: EASYFOLDER SAE

Tiers de Confiance : importance pour le marché du SaaS et aspects légaux

Organisme de certification de personnes et d entreprises. Certification en technologies de l information et monétique.

L archivage dans votre entreprise

Qu'est-ce que la normalisation?

RÉFÉRENTIEL GÉNÉRAL DE SÉCURITÉ

CATALOGUE DE LA GAMME EASYFOLDER OFFRE GESTION DE CONTENUS NUMERIQUES

DOCSaaS Cloud Computing Solutions

LA VERSION ELECTRONIQUE FAIT FOI

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

La fonction de «Records manager» -

REFERENTIEL DE CERTIFICATION

Une réponse concrète et adaptée pour valoriser votre engagement pour l environnement.

FICHE EXPLICATIVE Système de management de l Énergie (SMÉ)

! "! #! $%& '( )* &#* +,

EDC FAST CONTRAT LA DÉMATÉRIALISATION DES CONTRATS: ASSURANCE, BAIL, INTERIM,

LA SIGNATURE ELECTRONIQUE

AUDIT ÉNERGÉTIQUE ET SYSTÈMES DE MANAGEMENT DE L ÉNERGIE ISO 50001: Quels sont les liens et comment évoluer de l un à l autre?

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

GUIDE OEA. Guide OEA. opérateur

Dématique et archivage

accueil Ecole Supérieure du Numérique de Normandie

Université de Lausanne

Club toulousain

Information Technology Services - Learning & Certification. «Développement et Certification des Compétences Technologiques»

LA TRAÇABILITÉ AU SERVICE DE LA DÉMATERIALISATION

Livre blanc. Archivage Electronique et Conformité Réglementaire

ETUDE SERDALAB SOMMAIRE «GED ET GESTION DE CONTENU : MARCHE, BESOINS ET TENDANCES »

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

Dématérialisation du courrier: à éviter

Règles de certification

2 ASIP Santé/DSSIS : Guide Pratique - Règles de sauvegarde des Systèmes d Information de Santé (SIS) Juillet 2014 V0.3

Art. 2. Les vérificateurs environnementaux, tels que définis à l article 2, point 20) du règlement (CE), relèvent du régime suivant :

Tremplins de la Qualité. Tome 2

FICHE D IMPACT PROJET DE TEXTE REGLEMENTAIRE

GUIDE DE L ARCHIVAGE ELECTRONIQUE ET DU COFFRE-FORT ELECTRONIQUE COLLECTION LES GUIDES DE LA CONFIANCE DE LA FNTC

Archivage électronique Un nouveau domaine d'expertise au service de la gouvernance des systèmes d'information

Au-delà de la "Gestion Électronique des Documents" le "Records Management"

Présentation Application Coffre-fort électronique Cloud Access for Salesforce

REGLEMENT DE CERTIFICATION

CONTRAT LOGICIEL CERTIFICATION

Audit COFRAC sur site : un examen détaillé pour la réussite de votre accréditation!

MESDAMES ET MESSIEURS LES DIRECTEURS ET CHEFS DE SERVICE

LA VERSION ELECTRONIQUE FAIT FOI

RECUEIL DE LEGISLATION. S o m m a i r e. ARCHIVAGE électronique

Pour le Développement d une Relation Durable avec nos Clients

Table des matières détaillée

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet

J'ai un patrimoine électronique à protéger

Processus 2D-Doc. Version : 1.1 Date : 16/11/2012 Pôle Convergence AGENCE NATIONALE DES TITRES SECURISÉS. Processus 2D-Doc.

PRESENTATION 2009 L'ingénierie Documentaire

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Les signes de qualité des entreprises du bâtiment

MEMENTO Version

I partie : diagnostic et proposition de solutions

Comment financer sa stratégie d efficacité énergétique

REGLEMENT DE CERTIFICATION

Sécurité de la. dématérialisation De la signature électronique au coffre-fort numérique, une démarche de mise en œuvre. D i m i t r i M o u t o n

MISE EN PLACE D UNE DEMARCHE CQP / CQPI AU SEIN D UNE BRANCHE

CERTIFICATION CERTIPHYTO

Organisme Notifié N 1826 REFERENTIEL POUR LA CERTIFICATION DE CONFORMITE CE DES PLOTS RETROREFLECHISSANTS

Quelle gouvernance de l information avec le Cloud Computing?

REGLES DE CERTIFICATION MARQUE NF REACTION AU FEU MANCHONS ET PLAQUES D ISOLATION THERMIQUE EN ELASTOMERE EXPANSE PARTIE 4

Dématérialiser les échanges avec les entreprises et les collectivités

L agrément des entreprises pour le conseil indépendant à l utilisation de produits phytopharmaceutiques. Ordre du jour

DEMANDE D INFORMATION RFI (Request for information)

GUIDE sur le bon usage

Faites grandir votre carrière!

LA DEMATERIALISATION DES DOCUMENTS : Une démarche d avenir!

Démarches de sécurité & certification : atouts, limitations et avenir

Article225: Guide sectoriel CNCC Audition plateforme RSE, 20 février 2014

Audit interne. Audit interne

Food. Notes de Doctrine IFS, Version 2

L IDENTITÉ NUMÉRIQUE MULTISERVICES EN FRANCE : LE CONCEPT IDÉNUM

Cahier des charges à l'attention des organismes de formation

Annonces internes SONATRACH RECHERCHE POUR SA DIRECTION CENTRALE INFORMATIQUE ET SYSTÈME D INFORMATION :

REFERENTIEL DE CERTIFICATION DE CONFORMITE CE DES DISPOSITIFS DE RETENUE

NF habitat & nf habitat hqe TM

La certification «sans gluten»

Cybersecurite. Leader européen - management des vulnérabilités - monitoring sécurité - Expertise as a service depuis 2007

Groupe AFNOR au service de votre performance

CLASSEMENT des MEUBLES de TOURISME EN DORDOGNE

Section 10 - intégrité, authenticité et preuve

Cahier des Clauses Techniques Particulières

28/06/2013, : MPKIG034,

Spécialiste de l archivage et de la conservation des dossiers médicaux

Référentiels d Interopérabilité

Rencontres ERFA Records Management

La gestion globale des contenus d entreprise

Transposition de l article 8 de la directive européenne 2012/27 relative à l efficacité énergétique

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

Transcription:

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels" Compte-Rendu Date publication : 19/07/2013 *SAE = Système d Archivage Electronique 1

1 Introduction Le présent document est plus une synthèse qu un véritable compte-rendu de cette table-ronde. Il a essentiellement pour vocation de préciser toutes les normes, les référentiels et agréments qui ont été cités lors de celle-ci. Il permet aux participants, grâce à un tableau de synthèse, de mieux positionner les différents niveaux de ces approches : management, service et produit. Le modérateur de cette table ronde était Jean-Louis Pascon, vice-président de FedISA. 2

2 Intervenants Intervenants Arnaud Belleil Organisme : La Fédération Nationale des Tiers de Confiance (FNTC) est aujourd'hui reconnue comme un acteur essentiel de la sécurisation des échanges électroniques et de la conservation des informations. Créée en 2001, la FNTC regroupe les principaux professionnels de la dématérialisation de la sécurisation des échanges électroniques et de la conservation des informations. La FNTC délivre les labels «Tiers-archiveurs» et «Coffre-fort électronique». La FNTC a participé activement à l élaboration des normes AFNOR NF Z 42-013 et Z 42-020 ainsi qu aux dispositifs de certification AFNOR associés à ces normes. CV : Hervé Streiff Organisme : Arnaud Belleil est directeur associée de Cecurity.com. Les coffres-forts électroniques de cette société, membre de la FNTC, bénéficient du label Coffre-fort électronique de la FNTC et de la certification CSPN de l ANSSI. La société est candidate déclarée à l obtention de la certification NF Logiciel CCFN qui sera délivrée à partir de cette année. LOCARCHIVES : Tiers archiveur depuis 35 ans, LOCARCHIVES est présente sur 7 sites pour 400 collaborateurs et 41 M de CA. LOCARCHIVES propose une offre globale de gestion des archives papier et numérique dans une approche «Record Management». Son portail unifié DEXTO permet aux utilisateurs de gérer leurs fonds physiques et électroniques. Il s appuie sur un SAE certifié NFZ 42013 et un système d archivage physique certifié NFZ 40350. CV : Armelle Trotin Organisme : Hervé STREIFF : Responsable Qualité, Sécurité et Environnement de LOCARCHIVES assure la conformité du système de management aux référentiels systèmes, métiers et sécurité. Membre du GT Archivage de la FNTC, de l APROGED, PAGE et de la CN 171, Il a contribué à la rédaction des règles de certification NF461. "Acteur majeur de la confiance dans le domaine de la sécurité et de la certification électronique, LSTI est un 3

organisme de certification qui apporte à ses clients, aux autorités publiques et administratives, aux collectivités locales et territoriales et aux usagers des services publics un label de sécurité basé sur les normes françaises, européennes et internationales. Accrédité par le cofrac (comité français d accréditation) pour la majorité de ses activités de certification, LSTI est le seul organisme habilité par l état français pour délivrer des certificats de conformité pour les prestataires de services de confiance conformément au Règlement Général de Sécurité (RGS). LSTI est membre de l European Telecommunications Standards Institute (ETSI), organisme de normalisation européen du domaine des télécommunications. Premier organisme en Europe à être approuvé membre à part entière de l IPC (International Personnel Certification Association) dans le domaine de la sécurité et de la dématique, LSTI certifie également la compétence des auditeurs, implémenteurs et risk manger sur les normes ISO/CEI 27001, 27005, 20000 et 22301, certifications qui sont aujourd'hui reconnues dans le monde entier. CV : Michel Jacobson Organisme : Armelle Trotin est présidente générale de LSTI depuis sa création en 2004 Le SIAF (Service interministériel des archives de France) est un service de l'administration centrale dépendant du ministère de la culture et de la communication et dont les missions sont principalement la définition de la politique en matière d'archivage (règles d'application du code du patrimoine) et l'exercice du contrôle scientifique et technique sur la gestion des archives publiques. Pour assurer ses missions, il assure également un veille sur différents aspects liés à la conservation et est présent dans les organismes de normalisation et de standardisation CV : Michel Jacobson. Ingénieur informaticien. Chef de projet sur l'archivage électronique au SIAF depuis 2008 4

3 Résumé des interventions Armelle Trotin Fondements : directive européenne «services». Son article 26 en matière de politique de qualité des services pour assurer le libre échange au sein de la communauté européenne : les mesures en faveur de la certification de conformité ou le ralliement à des chartes ou label élaborés au niveau communautaire. Le futur règlement européen relatif à la certification électronique et l impact sur les prestataires de services de confiance dans les états membres. Le positionnement des tiers archiveurs dans ce règlement. Les travaux de l'etsi sur «Data Preservation Systems Security-Requirements for Implementation and Management» (norme TS101 533) permettant la présomption de conformité au règlement européen et basée sur la norme ISO 27001. Le Projet PSCD au Luxembourg basé sur la norme iso 27001. L intérêt du choix de la certification en fonction du marché visé par le prestataire d archivage. Hervé Streiff Certification NFZ 42013 / NF461 Cette certification s adresse à différents demandeurs et périmètres d application : Tiers archiveur pour le compte de ses clients ou donneur d ordre pour son propre compte. Archivage électronique seul ou Archivage électronique + numérisation. Il existe une modalité d allégement de la durée d audit si l organisation est préalablement certifiée ISO 9001 ou ISO 27001. Présentation des enjeux de la certification : NF Z 42013 n était pas certifiable jusqu à présent. La certification est un élément de confiance supplémentaire qui vise à rassurer le marché. La certification a un sens juridique. Elle contribue à minimiser le risque juridique pour le client en cas de contestation de preuve. La certification vs les autres labels et agréments. Ma vision est qu il n y a pas de concurrence et qu au contraire, nous vivons une étape d harmonisation : La certification NF Z 42013 (1 société certifiée) est initialement motivée pour aider à obtenir l agrément SIAF (10 sociétés agréés). 5

La certification est donc complémentaire à l agrément. Le label FNTC TA (4 sociétés labélisées) est basé sur NF Z 42013 et un référentiel d interopérabilité et visera à l avenir la communication des SAE. ISO 27001 (19 certifiés la plupart hors SAE) semble s imposer comme référentiel pour chacun de ces labels. D un point de vue de l utilisation, chacun y trouve sa place : Un donneur d ordre peut prétendre à la certification, pour répondre à un enjeu de conformité interne. Un tiers archiveur a intérêt à pouvoir capter des flux, donc d avoir un système le plus interopérable possible (FNTC, SEDA, ) et le client un format de réversibilité connu. Les donneurs d ordres et tiers archiveur ont intérêt à acheter un composant coffre certifié NFZ 42-0120 pour simplifier la démarche de certification NF Z 42013 et sécuriser leurs SAE. Michel Jacobson Le code du patrimoine a ouvert depuis 2009 la possibilité pour les services d'externaliser de la conservation de leurs archives publiques auprès d'un tiers agréé pendant la période courante et intermédiaire. L'obtention de l'agrément est conditionné, entre autre, sur des critères de respect des règles de bonnes pratiques (définies dans l'arrêté du 4 décembre 2009 comme étant, pour le numérique, les normes NF Z 42-013 et ISO 14721). Alors que la certification a pour objectif principal d'apporter de la confiance, l'agrément a lui pour but de donner un droit, celui pour un prestataire d'exercer une activité (conservation d'archives publiques durant l'âge courant et intermédiaire). La certification basée sur la norme 42-013 n'est pas une condition obligatoire pour l'obtention de l'agrément. Elle vient faciliter le travail d'instruction des dossiers de demande d'agrément, et sans doute représente une bonne préparation pour la constitution d'un dossier de demande d'agrément. La certification ne vaut pas pour agrément, elle n'ouvre pas de droit particulier. L'obtention de l'agrément est aussi conditionnée par d'autres critères comme la territorialité, la mise en œuvre dans les procédures des règles du contrôle scientifique et technique, etc. Arnaud Belleil La norme AFNOR NF Z 42-020 de juillet 2012 relative au Composant coffre-fort numérique est une norme de produit. Elle bénéficie d un dispositif de certification associé : la certification NF Logiciel Coffre-fort numérique. Cette certification NF Logiciel existe déjà pour d autres types famille de produit comme les logiciels de comptabilité et les assistants d aide à la conduite. Le label «Coffre-fort électronique» de la FNTC délivré depuis 2009 et qui compte deux sociétés labélisées est un projet 6

précurseur de la certification NF Logiciel coffre-fort numérique. La certification produit NF Logiciel et la certification services NF 461 relative aux SAE sont complémentaires et non concurrent. D ailleurs les règles de certification services prévoient que les audits puissent être allégés si le demandeur de la certification met en œuvre un produit lui-même certifié. La communauté des éditeurs de coffre-fort électronique ou numérique aborde sereinement la question de la certification. Nombre d entre eux ont déjà obtenu depuis 2011.La certification CSPN de l ANSSI pour les coffres forts des jeux et paris en ligne. 7

4 Synthèse des différents labels et certifications NF Z 42 013 Label FNTC TA Agrément SIAF NF Z 42 020 Label FNTC CFE ISO 27001 ETSI TS 101 533 Organisme COFRAC COFRAC COFRAC COFRAC d accréditation Propriétaire du schéma AFNOR certification FNTC Code du patrimoine Infocert FNTC de conformité Organisme de AFNOR Certification FNTC Ministère de la culture et de la AFNOR Certification FNTC LSTI LSTI certification communication Organisme d audit Auditeurs qualifiés par AFNOR COREF SIAF Infocert COREF LSTI LSTI Demandeur Tiers Archiveur Tiers Archiveur Tiers Archiveur Editeur Editeur Tout organisme Prestataire d archivage Donneur d ordres Périmètre Conservation Conservation + Numérisation Coffre-Fort numérique Coffre-fort numérique Conservation des archives à minima Conservation des archives à minima Conservation Conservation + Numérisation Conservation archives publiques courantes et intermédiaires Référentiel SSI Possibilité d utiliser l ISO 27001 COBIT TA Pas dans le RGS aujourd hui - ISO 27001 ISO 27001 Référentiel - Référentiel technique SEDA (préconisé) interopérabilité FNTC TA (volume FNTC) Allègement ISO 9001 - Certification NFZ 42013 - ISO 27001 ISO 27001 Durée d audit initial 7j + 2j complémentaire pour la partie 7j 1j (+ analyse documentaire) 5 j (environ) 2 j Dépend du périmètre pend du périmètre numérisation Validité certificat 3 ans 2 ans 3 ans - 3 ans 3 ans max 3 ans max Modalité suivi 1j par an (suivi) puis renouvellement 3j / 2ans Renouvellement 3 ans - 1j / 3 ans annuel annuel Modalité d audit NF461 Jeu de test fonctionnalités et journalisation Test d export / import volume FNTC Grille d évaluation détaillée Evaluation par rapport au référentiel Infocert Audit documentaire + jeux de tests Audit de certification selon la norme ISO 19011 et ISO 27006 Audit de certification selon la norme ISO 19011 et ISO 27006 Nombre de certifiés 1 4 10 Début de la certification en juillet 2 1 En cours (archivage électronique) Objectif Confiance Minimiser le risque juridique Confiance Interopérabilité Droit d exercer Exigences sectorielles 2013 Fournir à des non spécialistes des informations techniquement valides concernant le fonctionnement des coffres forts numériques Respect des exigences minimales relatives aux fonctions majeures d un coffre-fort numérique Sécurité de l information liée à l archivage Organisation du management de la sécurité de l information Sécurité de l information liée à l archivage Organisation du management de la sécurité de l information Implémentation des techniques cryptographique de protection et conservation des données d archive 8

111, avenue Victor Hugo 75116 Paris Port : +33 (0)6 77 63 84 74 Fax : +33 (0)1 76 50 81 51 info@fedisa.eu 9

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back