Politique d archivage cahier des charges

Documents pareils
Glossaire. Arborescence : structure hiérarchisée et logique qui permet d organiser les données dans un système informatique.

P2A POLITIQUE ET PRATIQUES D'ARCHIVAGE (SPHÈRE PUBLIQUE)

PROGRAMME DE FORMATION

Dématérialisation du courrier: à éviter

Politique de Certification Pour les Certificats de classe 0 et 4 émis par l autorité de certification Notaires PUBLIÉ

DEMATERIALISATION & ARCHIVAGE ELECTRONIQUE

RECUEIL POLITIQUE DES

DATE D'APPLICATION Octobre 2008

La présentation qui suit respecte la charte graphique de l entreprise GMF

Agrément des hébergeurs de données de santé. 1 Questions fréquentes

Le fonctionnement d un service d archives en entreprise. Le Service national des archives

Université de Lausanne

Les outils «cloud» dédiés aux juristes d entreprises. Cadre juridique

DEMANDE D INFORMATION RFI (Request for information)

Tremplins de la Qualité. Tome 2

Connaître les Menaces d Insécurité du Système d Information

Jean-Marc Rietsch, PCI DSS Roadshow Paris juillet

Qu est-ce qu un système d Information? 1

L archivage pérenne du document numérique au CINES. CINES (O.Rouchon) JRES Novembre 2007

27 mars Sécurité ECNi. Présentation de la démarche sécurité

L ARCHIVAGE LEGAL : CE QU IL FAUT SAVOIR

L'AUDIT DES SYSTEMES D'INFORMATION

"Le Référentiel des Métadonnées Documentaires" ou "le MDM appliqué au Records Management"

Manuel Management Qualité ISO 9001 V2000. Réf Indice 13 Pages : 13

Dématique et archivage

! "! #! $%& '( )* &#* +,

Conférence CRESTEL. Du risque SI aux risques business v1.0 09/03/2015

Signature électronique. Romain Kolb 31/10/2008

La cartographie des risques outil fédérateur de pilotage: exemple d'application dans un groupement d'établissements. Marc MOULAIRE

MESDAMES ET MESSIEURS LES DIRECTEURS ET CHEFS DE SERVICE

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

Référentiel de qualification de prestataires de services sécurisés d informatique en nuage (cloud computing) - référentiel d'exigences

Législation et droit d'un administrateur réseaux

L archivage pérenne du document numérique au CINES. CINES (O.Rouchon) Rencontres RNBM 3 Octobre 2007

Archivage électronique et valeur probatoire

Table des matières détaillée

CODE DE CONDUITE FOURNISSEUR SODEXO

CATALOGUE DE LA GAMME EASYFOLDER OFFRE GESTION DE CONTENUS NUMERIQUES

Ministère de la Culture et de la Communication

APX Solution de Consolidation de Sauvegarde, restauration et Archivage

L ENREGISTREMENT DU COURRIER

QUESTIONNAIRE Responsabilité Civile

I partie : diagnostic et proposition de solutions

Livre blanc Compta La dématérialisation en comptabilité

Présentation Application Coffre-fort électronique Cloud Access for Salesforce

LES PROCEDURES DE LA POLITIQUE D ARCHIVAGE

LA VERSION ELECTRONIQUE FAIT FOI

Conférence EDIFICAS. Le document électronique et sa valeur probante

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing

ISO la norme de la sécurité de l'information

INTERNET ET e-commerce

PLATEFORME MÉTIER DÉDIÉE À LA PERFORMANCE DES INSTALLATIONS DE PRODUCTION

La gestion des documents administratifs à la Bibliothèque nationale de France

Rapport d'audit étape 2

Conditions Générales d Intervention du CSTB pour la délivrance d une HOMOLOGATION COUVERTURE

Passez au bulletin de salaire électronique grâce à la solution Novapost RH

CIMAIL SOLUTION: EASYFOLDER SAE

Autorité de Certification OTU

nexus Timestamp Server

MANUEL D UTILISATION DE LA SALLE DES MARCHES APPEL D OFFRES OUVERT ACCES ENTREPRISES. Version 8.2

SERVICES TECHNIQUES CENTRE HOSPITALIER. d AURILLAC. 1er congrès de l AFGRIS

GPIH - CCTP D AUDIT D INTRUSION ET D AUDIT DE LA PLATEFORME DE SECURITE GESTION ET PRESTATIONS INFORMATIQUES POUR L HABITAT GIE - GPIH

CREDIT AGRICOLE SUD RHONE ALPES

Maintenance/évolution d'un système d'information

ARCHIVISTIQUE ET INGÉNIERIE DOCUMENTAIRE

22 avril l investissement responsable de la maif

Prestations d audit et de conseil 2015

CONTEXTE GENERAL : CADRE DE REFLEXION ET D ACTION ET DOMAINES D INTERVENTION

CHARTE D UTILISATION DE GÉOANJOU : PLATEFORME MUTUALISEE POUR LE PARTAGE

CHARTE FOURNISSEUR INERIS. Préambule : 1 - QUALITE & TECHNOLOGIE QUALITE DE LA SOURCE

Le management des risques de l entreprise Cadre de Référence. Synthèse

Avantages de l'archivage des s

Management de la sécurité des technologies de l information

Gestion des risques liés aux systèmes d'information, dispositif global de gestion des risques, audit. Quelles synergies?

Archivage électronique Un nouveau domaine d'expertise au service de la gouvernance des systèmes d'information

Augmenter l efficacité et la sécurité avec la gestion des identités et le SSO

Date : 16 novembre 2011 Version : 1. 2 Nombre de pages : 13

Club Utilisateurs 2 ème Réunion, 8 Octobre 2014 International RFID Congress, Marseille. Diffusion Restreinte

Politique de gestion documentaire

Archivage pérenne : les formats conformes Version :

CREDIT AGRICOLE DE CENTRE LOIRE

REGLES INTERNES AU TRANSFERT DE DONNEES A CARACTERE PERSONNEL

Panorama général des normes et outils d audit. François VERGEZ AFAI

CONTRAT DE SOUSCRIPTION «ALERTES par SMS ou » Compléter les zones grisées, signer et renvoyer à l adresse suivante :

Les archives de l entreprise à l ère du numérique. Présentée par: HAMMA Mustapha

FedISA Congrès 2013 Table ronde du 17 mai "Certification d'un SAE*, normes et référentiels"

Politique de Sécurité des Systèmes d Information

BANK AL-MAGHRIB Le Gouverneur DN 49/G/2007 Rabat, le 31 août 2007 Directive relative à la fonction "conformité"

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

PRESENTATION 2009 L'ingénierie Documentaire

Traçabilité Du besoin à la mise en oeuvre

28/06/2013, : MPKIG034,

Fiches micro-informatique SECURITE LOGIQUE LOGIxx

PRESENTATION DU. DE LA Gestion Eléctronique des Documents ( GED)

1. Présentation de l échelle de maturité de la gestion des risques

METIERS DE L INFORMATIQUE

Comprendre et pratiquer le records management Analyse de la norme ISO au regard des pratiques archivistiques françaises

CONDITIONS PARTICULIERES D UTILISATION DES SERVICES EN LIGNE TANGO

Transcription:

Politique d archivage cahier des charges Jean-Marc Rietsch Ingénieur Civil des Mines Expert en dématérialisation et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l ILM du Stockage et de l Archivage) 1

Archivage/RM/eDiscovery Analyse de différentes visions / cycle de vie du document création document document figé suppression document Evolution Utilisation au quotidien Accès épisodique Recherches historiques e-discovery Records Management Suivi Archivage courant Archivage intermédiaire Obligations légales et réglementaires Archivage définitif Notion patrimoniale qq semaines qq mois qq années qq siècles temps copyright JM Rietsch 2

Introduction à la PA Rappels Définition Auditabilité Autorité/opérateur d archivage Groupe de travail

Rappel 1: Intérêt d un archivage électronique à valeur probante Garantir que le document sera conservé dans le respect des conditions légales, réglementaires et jurisprudentielles afin de produire ses effets juridiques dans le temps.

Rappel 2: Exigences de la valeur probante Pour conférer une valeur probante, exigence ad probationem (ou la validité, ad validitatem) à un document, son archivage doit être fiable et sécurisé. Il doit répondre aux exigences suivantes : Identification (imputabilité) Intégrité => traçabilité Intelligibilité Accès et pérennité de l information (Confidentialité)

Rappel 3: Une approche pluri disciplinaire La mise en place d une solution d archivage implique une forte imbrication des dimensions: Juridique, Technique, Organisationnelle menées de concert en fonction des besoins d archivage des documents et des organismes concernés.

Définition Définition de l archivage à valeur probante «L ensemble des modalités de conservation et de gestion des données électroniques ayant une valeur juridique lors de leur établissement ; cet archivage garantissant la valeur juridique jusqu au terme du délai durant lequel des droits y afférents peuvent exister.»

Auditabilité L archivage électronique doit être auditable afin de suivre tout le cycle de vie du document électronique

Autorité/opérateur d archivage L AA (autorité d archivage) est responsable de l'ensemble des prestations rendues par le service d archivage électronique conformément à la politique d archivage dont elle est à l origine. L ensemble des prestations peut être décliné en plusieurs niveaux de sécurité/service. L OA (opérateur d archivage) est quant à lui responsable des moyens mis en œuvre pour satisfaire les exigences définies dans la PA. L AA doit posséder un droit de contrôle sur l OA.

Entités Documents de référence Générique Autorité : responsable du service offert Opérateur : responsable de la mise en œuvre du service sous contrôle de l autorité Politique : ensemble de règles Déclaration de pratiques : description des moyens mis en œuvre Archivage électronique Autorité d archivage : responsable du service d archivage Opérateur d archivage : responsable de l infrastructure et de sa mise en œuvre permettant au SAE de délivrer le service d archivage attendu Politique d archivage : définition des objectifs, des intervenants et des niveaux de sécurité et de service Déclaration des pratiques d archivage : description de la mise en œuvre technique et opérationnelle des fonctions de la politique d archivage 10

Groupe de travail Composition du groupe de travail destiné à élaborer la PA avec l impulsion de la Direction Générale : MOA métier Juridique SI Production Sécurité informatique Archivistes Risk management Compliance + Qualité

Elaboration d une PA

Eléments d une PA 1. Objectifs 2. Périmètre 3. Cadre législatif et réglementaire 4. Définitions 5. Enoncé de politique 6. Responsabilités des intervenants 7. Principes pour la gestion des archives 8. Audit 9. Suivi 13

1 Objectifs de la politique d archivage Définir un cadre global pour la gestion des archives (aussi bien papier qu électronique) Décrire les responsabilités de chacun

2 Périmètre de la PA Quels sont les personnels concernés Documents pris en compte et formats Exclusions éventuelles Remarque/exclusions: destinées à montrer que l on a rien oublié, l exclusion étant volontaire et non définitive, exemple des e-mails.

3 Cadre législatif et réglementaire Liste de textes législatifs pertinents, normes, guides, Dispositions spécifique au domaine d activité de l organisation (réglementations) Prendre en compte éventuellement l aspect international de la problématique

4 Définitions Principaux termes utilisés : Confidentialité. Document. Document électronique. Empreinte. Intégrité. Records management. Etc. Veiller à tenir compte des us et coutume de l organisation

Exemples Termes Archive Auditabilité Authentification Condensât Confidentialité Contenu d information Disponibilité Empreinte Hash Intégrité Définitions Paquet d informations reçu, conservé et communiqué par un service d archives (définition issue du Standard d échange). Garantie de la maîtrise et de la traçabilité complète et permanente des événements survenant sur le système pour pouvoir retracer tous les événements au cours d'une certaine période. Procédé visant à vérifier l'identification d une personne physique par des moyens techniques, tels que mot ou phrase de passe, un code secret, une réponse à un défi ou encore une sécurisation numérique (par exemple certificat électronique). Voir empreinte Caractère réservé d'une information dont l'accès est limité aux seules personnes admises à la connaître. Ensemble d informations constituant l objet principal de la pérennisation (définition issue du modèle OAIS). Le contenu d information est en fait constitué d un objet contenu de données (une suite de caractères numériques constituant la base du document) et de l information de représentation permettant de rendre intelligible à l humain cette suite de caractères numériques. Aptitude du système à remplir une fonction dans des conditions définies d'horaires, de délais et de performances. En sécurité, la disponibilité correspond en général au délai maximum pendant lequel le système peut rester inopérant. La définition d ouverture du service ou de temps de réponse en matière de performance relève plus de la notion de niveaux de service. Résultat d une fonction de hachage appliquée sur une suite de caractères numériques de longueur quelconque visant à réduire celle-ci en une donnée de longueur fixe représentative de cette suite de caractères. L empreinte est l un des éléments permettant de vérifier l intégrité physique d un document, d un flux, d un lot, d une transmission cette empreinte étant unique pour chaque suite de caractères numériques traitée. Plusieurs autres termes sont également utilisés pour représenter cette empreinte comme Condensât, hash ou encore signature. Voir empreinte L'intégrité du système et de l'information traitée garantit que ceux-ci ne sont modifiés que par une action volontaire et légitime qui dans tous les cas ne pourra absolument pas changer voire altérer le contenu informationnel des informations archivées. 18

5 Enoncé de la PA Plan général et cadre Indiquer la valeur que l organisation attache à ses archives Affirmer l engagement à respecter les principes liés à la collecte et à la préservation

6 Intervenants/responsabilités - Service producteur, versant - Usager - Autorité, opérateur d archivage - Contrôleur

Obligations Les obligations pesant sur les intervenants, à commencer par l'autorité d archivage, mais également les autres intervenants (services producteurs / versants, usagers / utilisateurs, contrôleurs). Les obligations concernant les autres intervenants constituent les obligations minimales qu'ils doivent respecter afin que l'autorité d archivage puisse fournir les prestations d'archivage conformément à sa politique d archivage.

7 Principes pour la gestion des archives A. Typologies de documents B. Fonctionnalités

A. Typologie de documents Prendre en compte les dossiers à archiver, leur sécurité, les accès et les éliminations Grandes typologies de documents : Documents comptables et fiscaux. Documents commerciaux et contrats. Documents ayant trait au personnel. Recherche et développement. Plans stratégiques et compte rendu des réunions de direction. Attestations administratives, brevets, actes authentiques, etc. Plan de reprise d'activité. Procédures d'exploitation...

Gravite / vraisemblance, doit aider à classifier / niveau Risque envisagé = perte document La gravité permet de bâtir une échelle destinée à savoir si l organisme surmontera les impacts d un sinistre : Négligeable, l organisme surmontera les impacts sans aucune difficulté Limitée, l organisme surmontera les impacts malgré quelques difficultés Importante, l organisme surmontera les impacts avec de sérieuses difficultés Critique, l organisme ne surmontera les impacts (sa survie est menacée) La vraisemblance ( probabilité d occurrence) : Minime, cela ne devrait pas se produire Significative, cela pourrait se (re)produire Forte, cela devrait se (re)produire un jour ou l autre Maximale, cela va certainement se (re)produire prochainement 24

Définir niveau de sécurité / service Le niveau de criticité ou, exprimé autrement, le degré de gravité de la perte ou de la corruption de cette typologie de documents. Les conditions de conservation et notamment la constitution de copies s'il y a lieu. Les règles d'accès et de confidentialité. Les délais de conservation (il faut indiquer ici plutôt ces délais de conservation sous forme d'intervalles fixant des bornes pour chaque catégorie de documents). Les règles régissant la destruction s'il y a lieu (par exemple, les autorisations nécessaires pour détruire chaque catégorie de document). La performance du système d'archivage (par exemple les temps de mise à disposition maximum des archives en fonction de leur typologie).

Disponibilité Notation tient compte des coûts induits Description : disponibilité Note Semaine 1 2 jours 2 4 heures 4 30 secondes 10 26

Intégrité Description : intégrité Note Contrôle simple du système de stockage 1 Contrôle en entrée et en sortie/empreinte 2 Contrôle permanent par échantillonnage 5 Contrôle continu des empreintes 20 27

Confidentialité Description : confidentialité Note Données publiques 1 Données accessibles par l'organisme et 2 ses partenaires Données internes pour certains personnels 4 Données accessibles uniquement par des personnes identifiées 10 28

Traçabilité - preuve Description : preuve-traçabilité Note Qui, quand, quoi 1 + résultat opération 2 Traces opposables 5 Traces restituables par objet d'archive 10 29

Niveaux de services Ouverture du service Temps de réponse en versement Temps de réponse en interrogation Temps de restitution Accès simultanés. 30

Synthèse DICP/Services Dossier Format Durées de Événement Traitement Volumes Sécurité Services Gravité Document conservation déclencheur final DICP OVRRS Vraisemblanc 31

B. Fonctionnalités Les fonctionnalités mises en œuvre au sein du service d'archivage, sous la responsabilité de l'autorité d archivage, afin de fournir ces prestations (fonction de versement, fonction de stockage, ) et l'organisation fonctionnelle correspondante (liens entre fonctions, flux d'information, ).

Fonctions du SAE PIV (SIP), paquet information versée (submission) PIA (AIP), paquet information archivée PID (DIP), paquet information diffusée (dissemination)

Représentation information / paquets exemple issu du modèle OAIS 34

8 Audit du système Contrôle des exigences définies dans le référentiel d audit écrit en fonction de la Politique d archivage Permet de suivre facilement les nonconformités majeures / non-conformités mineures / remarques correspondant à l'autorité d archivage contrôlée Grille d audit avec des cases à cocher

9 Suivi des évolutions Le suivi des évolutions du système d archivage électronique sécurisé est une donnée à intégrer dès l origine du projet Évolutions des besoins utilisateurs Veille technologique, juridique et économique Mise en place du comité de suivi et écriture d une procédure

La PA au centre de la méthode Lois Réglementations Obligations internes (Évolutions) Vérification Politique d archivage Obligations Typologie de données Niveaux de service Audit Conformité Système d archivage électronique

La politique d archivage La politique d archivage : élément charnière, interface indispensable entre : lois, réglementations, systèmes informatiques (techniques et sécurité adaptée) Considère l ensemble des besoins exprimés et les traduit en exigences fonctionnelles en tenant compte des contraintes correspondantes. 38

Cahier des charges

Objectifs du cahier des charges progresser dans la conception du nouveau système définir les critères de choix lorsque plusieurs solutions sont en compétition établir les bases du cadre contractuel avec le prestataire retenu

Situation présente L environnement informatique global Le schéma directeur informatique ou un dispositif en tenant lieu Le schéma directeur pour la sécurité des systèmes d information Le système d archivage électronique déjà existant, le cas échéant

Autres points Objectif du système d archivage électronique. L un des points fondamentaux d un Système d archivage électronique réside dans le respect des obligations légales et réglementaires relatives au Service d archives et aux Archives traitées. ; Périmètre (types d archives à traiter avec origine, durée et volumétrie) ; Présentation des fonctionnalités du SAE. Remarques particulières concernant : Écriture effective HSM Destruction Contrôle d intégrité Migrations

Exigences Conformité Évolutivité Interopérabilité (x 2) Réversibilité

Aspects techniques Type de réplication Type de stockage Accès Serveur applicatif de secours Existence d un troisième jeu/site

Procédure Forme de la réponse Maquettage Découpage du projet Étape 1 Étude d'opportunité Étape 2 Étude de faisabilité Étape 3 Conception générale (CdC) Étape 4 Conception détaillée Étape 5 Réalisation (développement, intégration, recette) Étape 6 Exploitation (mise en prod, déploiement, maintenance-support) Dispositions juridiques

Grille d analyse N Critères Points Société 1 Société 2 Société 3 Société 4 1 Cadre de la réponse 1 1,00 1,00 0,50 1,00 2 Architecture cible proposée 4 3,00 1,50 1,50 2,00 3 Couvertures fonctionnelles 7 6,50 2,00 2,00 5,00 4 Intégration de la charte graphique 4 3,50 1,00 1,00 2,00 5 Organisation des prestations 4 3,50 1,00 1,00 3,00 Total fonctionnel 20 17,50 6,50 6,00 13,00 Pondération 60 % 10,50 3,90 3,60 7,80 Offre financière 18,30 13,57 2,35 20,00 Pondération 40 % 7,32 5,43 0,94 8,00 Total général 17,82 9,33 4,54 15,80

Risque résiduel Réponses Notes Risques résiduels Occurrence des risques Impact Pondération Note corrigée Société 1 17,82 Très faible 10 % 2 0,20 14,25 Société 2 9,33 Moyen 15 % 4 0,60 3,73 Société 3 4,54 Fort 15 % 3 0,45 2,55 Société 4 15,80 Faible 5 % 2 0,10 14,22

7. Autres documents

Élaboration d une DPA Mise en avant des standards de sécurité Déclaration de Pratiques d Archivage (DPA) = document décrivant les moyens mis en œuvre pour atteindre les objectifs définis dans la PA

Procédures opérationnelles Document décrivant les modalités opérationnelles de mise en œuvre du système d archivage électronique

Merci pour votre attention 51

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back