Tribunes

Florange Telecom

L'approche radicaliste de l'architecture du Web : l'assembleur

Big Dataxe

Le Big Data individuel

La comptine du cloud

Toute les tribunes

La vidéo du moment
Actualité marchés verticaux

Apple améliore les performances de ses iMac, Macbook Pro et iPad Pro

par Stéphane
le 07/06/2017 à 09:03

Pour lutter contre la fraude, l'Etat impose l'usage d'un logiciel de comptabilité aux micro-entreprises

par ALAIN GALLO
le 03/06/2017 à 09:44

SFR est rebaptisé Altice

par magou
le 26/05/2017 à 08:03

Comment mettre à profit la richesse de l'Internet des Objets au sein des datacenters ?

par MYALGOTRADE
le 24/05/2017 à 07:21

SFR améliore la qualité de son réseau mobile et lance de nouveaux services

par magou
le 14/05/2017 à 09:02

Rechercher
Services
Logo_abonn Job Les derniers communiqués de presse Proposer un communiqué de presse
Fils RSS : Top 10 quotidien

La nouvelle norme AFNOR NF Z42-020 sur le Composant Coffre-Fort Numérique (CCFN) : positionnement et limites

mercredi 5 septembre 2012

Bruno DILLET, Directeur Etude et Développement chez CDC Arkhinéo : « La nouvelle norme AFNOR NF Z42-020 sur le Composant Coffre-Fort Numérique (CCFN) : positionnement et limites »
 
 
Un Système d'Archivage Électronique (SAE) permet de conserver la valeur probante des documents pendant toute la durée de conservation. Les caractéristiques principales d'un tel système, y compris ses infrastructures, sont : pérennité, sécurité, confidentialité, disponibilité, réversibilité et bien sûr intégrité.
 
Norme Z42-013, la référence de l'archivage
 
Une norme spécifie les caractéristiques d'un système d'archivage électronique : il s'agit de la norme française AFNOR NF Z42-013. Celle-ci a été transposée en norme internationale ISO 14641-1 début 2012 après un long processus. L'archivage électronique dispose ainsi d'un texte de référence. Comme toute norme, elle va continuer à évoluer, au rythme des révisions, afin de s'adapter aux besoins des différents acteurs du marché. De surcroît, un processus de certification en Marque NF 461 de cette norme vient d'être défini par l'AFNOR, grâce au Service Interministériel des Archives de France (SIAF) et aux organisations professionnelles du secteur (APROGED, FEDISA, FNTC).
Depuis juillet 2012, un nouveau texte normatif a fait son entrée au catalogue de l'AFNOR : la norme Z42-020 - Spécifications fonctionnelles d'un composant coffre-fort numérique destiné à la conservation d'informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps. De quoi s'agit-il ?
 
Tout d'abord que signifie ce terme coffre-fort numérique ?
 
Coffre-fort numérique est une variation du terme Coffre-fort électronique, introduit et déposé par CDC Arkhinéo depuis plus de 10 ans. Ce terme est utilisé généralement pour désigner un service d'archivage de documents numériques, par analogie à un service de Coffre-fort dans une banque. Le propriétaire du coffre-fort ou son mandataire déposent des objets de valeur. Seul le propriétaire dispose des clés et a donc accès aux objets déposés. La garantie offerte par ce service résulte d'un ensemble de processus complexes : salle des coffres sécurisée, contrôle d'accès, alarme, surveillance, assurance…
 
Dans le domaine du numérique, les services de coffre-fort électronique/numérique (CFE) visent au minimum ce même niveau de sécurité. Une application dédiée, exploitée par des processus sécurisés sur des infrastructures généralement redondées permet de garantir aux utilisateurs du service la pérennité, sécurité, confidentialité, disponibilité et intégrité des documents à valeur probante qui y sont déposés. De nombreux services sont déjà disponibles sur Internet[1].
La notion de composant coffre-fort numérique (CCFN) s'éloigne de cette vision de service. Pour continuer l'analogie avec le monde physique, ce CCFN s'apparente plus à un tiroir sécurisé permettant de construire une salle des coffres.
 
Il y a bien deux concepts derrière ce terme coffre-fort numérique :
 

 
La norme Z42-020 traite uniquement du dernier point : le composant.
 
Que dit la norme Z42-020 ?
 
Cette norme définit les spécifications fonctionnelles d'un composant coffre-fort numérique (CCFN) destiné à la conservation d'objets numériques dans des conditions de nature à en garantir leur intégrité dans le temps.
 
Le document[2]décrit les fonctions minimales que doit posséder ce composant : Chacune des fonctions y est décrite, ainsi que ses paramètres d'appel et le résultat attendu. Les quelques métadonnées techniques que doit au minimum posséder un objet numérique (identifiant, déposant, heure de dépôt, empreinte) y sont définies ainsi qu'un journal enregistrant les opérations effectuées sur le CCFN.
 
Les rôles utilisateurs y sont spécifiés ainsi que quelques fonctions d'administration :  
Les exigences concernant la sécurité du composant sont limitées à un paragraphe de 5 lignes (§ 5.2) : Sécurité des accès, intégrité et confidentialité des messages échangés.
Le dernier chapitre concerne le plan de la documentation technique du CCFN.
La norme Z42-020 n'est pas une norme d'archivage
Beaucoup d'aspects relatifs à l'archivage ne sont pas abordés dans cette norme.
En particulier, la confidentialité des données, leur pérennité, leur disponibilité, leur sécurité (destruction, perte, altération). Quel recours en cas de perte de données ou de rupture d'intégrité constatée ?
Comme il est explicitement mentionné dans le §1 Domaine d'application, cette norme ne traite pas des systèmes d'archivage électronique, mais d’un composant CCFN destiné à être piloté par un Système d'Archivage Électronique (SAE).
L'intérêt principal de ce texte est purement technique. Il permet de concevoir des systèmes d'archivage s'appuyant sur un composant de stockage contrôlant l'intégrité des données stockées, ce composant devenant alors interchangeable. Cependant, il faudra lui adjoindre beaucoup d'autres fonctions pour pouvoir disposer d'un véritable SAE certifiable Z42-013.
 
Fallait-il une nouvelle norme ?
 
En positionnant la Z42-020 à côté de la Z42-013, une ambiguïté apparait engendrant une concurrence entre ces normes. Bon nombre d'acteurs vont maintenant devoir se positionner et argumenter relativement à ces deux normes.
Il aurait sans doute été plus constructif de concevoir une famille de norme d'archivage autour de la Z42-013 regroupant à la fois des spécialisations (Bulletin de paie, Convocation des co-propriétaires, etc.) ou des recommandations purement techniques (CCFN, Métadonnées, Normes d'échanges, etc.) selon le même principe que les normes ISO 27000[3]où plus de 10 textes se complètent et s'enrichissent. Par exemple, l'lSO 27001 spécifie le système de gestion de la sécurité des systèmes d'information, l'ISO 27002 fournit les règles de sécurité à appliquer, alors que l'ISO 27033 se focalise sur le domaine limité à la Network Security. La prochaine révision de la Z42-013/ISO 14641-1 pourrait être l’occasion d’aller dans ce sens.
 
Le travail de spécification d’un composant CCFN est techniquement intéressant, mais il s’adresse uniquement à des experts techniques de l’édition logicielle.
L’ambiguïté du terme Coffre-Fort Numérique contenu dans le titre de la Z42-020 positionne à tort ce texte dans le domaine de l’archivage électronique apportant ainsi beaucoup de confusion sur le marché de la dématérialisation. Marché sur lequel la norme de référence pour l’archivage électronique reste, à juste titre, la Z42-013.

[3]The ISO 27000 Directory : http://www.27000.org/

SQ 250-300

Les 10 derniers articles mis en ligne