dimanche 7 avril 2013

Record Management ou Archivage ?


Récemment encore, j’ai eu l’occasion d’entendre de-ci de-là des oppositions de vocabulaire (encore !!!) sur « l’Archivage » et le « Record Management », débat qui a souvent secoué la communauté (et ses « milieux autorisés » comme le disait si bien Coluche en son temps).

Alors, un peu à la manière de la Valeur Probatoire, je vais y mettre mon petit grain de sel ! Autorisons-nous à penser, n’est-ce pas ?

Je vous ferai grâce des différentes définitions, que trouverez aisément par vous-même sur Internet ou ailleurs, l’objectif n’étant pas d’en rajouter une de plus, mais d’essayer d’y voir plus clair sur ce que recouvre chacun des deux concepts… On y va ?

Le Records Management fait globalement référence aux processus de gestion administrative des données produites par l’entreprise. Entre autres, cela recouvre leur création, organisation, maintenance, utilisation, recherche, élimination, transfert, … Bref, tout ce qui a trait au cycle de vie desdites données.

Notez que je parle volontairement de « données », et non pas de « documents » , un « record » pouvant revêtir la forme d’une ligne d’un relevé de transactions bancaires, une facture, un agrégat de fichiers constituant une version déterminée d’un moteur d’avion, etc.

La traduction littérale de Record Management est de ce fait très complexe, pour ne pas dire illusoire.

Les anglo-saxons voient ainsi dans le « record » à la fois la donnée courante et la donnée d’archive, le terme français « archive » possédant lui une connotation plus patrimoniale. De ce point de vue, une donnée d’archive suit un cycle de vie constitué de trois périodes (ou « âges ») distinctes et successives dans le temps :
  • les archives courantes correspondent aux données vivantes nécessaires à l'activité des services producteurs. Ils sont gérés dans des systèmes de bases de données, de GED, de CRM, d’ERP, … 
  • les archives intermédiaires regroupent les données « figées » devant être conservées  pendant une certaine durée pour satisfaire aux exigences administratives, juridiques, etc. Ces données seront par la suite soit conservées indéfiniment soit éliminées.  
  • les archives ayant une valeur historique ou patrimoniale deviennent ainsi des archives définitives, versées soit aux Archives Départementales soit aux Archives Nationales (Archives de France).
La norme ISO 15489 définit le Record Management comme « un  champ de l’organisation et de la gestion en charge d’un contrôle efficace et systématique de la création, réception, conservation, utilisation et sort  final des documents d’archives, y compris des méthodes de fixation et de préservation de la  preuve et de l’information liée à la forme des documents ».

Si l’on s’intéresse à d’autres normes et standards internationaux, par exemple MoReq 2010, DoD 5015.2, ICA-Req pour ne citer que ce trio bien connu, on y retrouve les mêmes principes fondamentaux que dans la norme AFNOR NF Z42-013. Ouf !!!

Vouloir donc opposer « Archivage » et « Record Management » n’a donc aucun sens.

Heureusement, il est désormais communément admis de conserver la terminologie « Record Management » pour désigner les processus de gestion des données d’archives, tandis que « Record System » sera malgré tout réduit à un système d’archivage. In extenso et par abus de langage également, un « record » pourra être assimilé à un « document », dans une acceptation large du terme.

Publié par le Aucun commentaire:

lundi 25 mars 2013

Théorie de la relativité appliquée


Après Rabelais, suivons les traces d'Einstein pour "imager" ce que sera le propos de cet article... Car, même si vous estimez, à tort ou à raison, ne pas être une lumière en physique, au moins n'en ignorez vous certainement pas les concepts fondamentaux, que l'on peut résumer par :
  • rien n'est absolu dans l'univers, ni l'espace ni même le temps
  • toute chose interagit avec ce qui l'entoure, donc l'influence et est influencée en retour
La comparaison que je souhaite faire avec la Théorie de la Relativité s'arrêtera à ces deux concepts généraux, point de physique ou de mathématiques ici donc. Impossible également d'aborder tous les aspects d'un sujet aussi complexe dans un blog, nécessairement synthétique, mais essayons de voir de quoi il retourne...

Je vais donc vous poser une seule question (je vous donnerai mon point de vue par la suite, mais essayez auparavant d’y réfléchir avec votre propre perception) :

Qu’est-ce que la « vraie » Confiance Numérique ?

Est-ce celle tant vantée par les fournisseurs de solutions et de services ? Celle établie par une multitude de lois, décrets, normes, standards, bonnes pratiques, etc. ? Ou encore celle acceptée par les autorités compétentes en cas de litige ? A moins que ce ne soit, plus naïvement, … celle qui marche ? Mais comment en être certain ?

Pour donner un exemple, en France et pour l’Archivage Électronique à Valeur Probatoire, si vous êtes passés faire un tour du côté du salon Documation il y a quelques jours, vous en êtes forcément ressortis convaincus : tout le monde en fait, tout le monde est le meilleur, tout le monde veut votre bien. Bon, soit ! On vous dira aussi qu'il y a des « labels », des agréments, des référentiels de certification pour "tester" la véracité des dires des uns et des autres. Bon, soit encore ! Mais, de l'autre côté du miroir, pouvons-nous avoir réellement confiance ? N’avons-nous pas constaté encore tout récemment des rejets d’éléments a priori recevables d’un point de vue juridique ?

Qui a tort, qui a raison finalement

Comment prétendre détenir LA vérité (à supposer qu’il n’y en ait qu’une seule) ? Le pire que l’on puisse faire serait en tout cas d’instaurer une confiance absolue trompeuse qui n’engendrerait en définitive que défiance, au risque de voir le bébé jeté avec l’eau du bain.

Revenons aux fondamentaux : qu’est-ce que la Confiance Numérique ? Selon le Larousse, la confiance est « le sentiment de quelqu'un qui se fie entièrement à quelqu'un d'autre, à quelque chose ». La Confiance Numérique serait ainsi le sentiment que nous pourrions, que nous devrions éprouver envers cet univers mystérieux qui constitue de plus en plus notre quotidien, envers les systèmes et les données qui y transitent, envers les hommes et les femmes qui se tiennent dans l'ombre pour les concevoir, les administrer, les surveiller.

Se demander pourquoi nous devrions avoir confiance induit la contrepartie de la question, la plus importante en fait : pourquoi n’aurions-nous pas confiance ? Parce qu’il existe forcément des menaces, plus ou moins graves, spécifiques ou non à l’aspect immatériel des choses mais rendues plus insidieuses, moins palpables dans les arcanes virtuelles. Seules leurs conséquences se révèlent tristement réelles et douloureuses.

La Confiance Numérique est donc, grossièrement, un état de fait espéré, conséquence souhaitée des arsenaux de mesures défensives mises en œuvre pour se protéger contre ces menaces, pour les repousser ou tout au moins pour être capable de les identifier a posteriori. On parlera souvent de défense en profondeur. Il n’y a pas de réponse unique à une menace donnée, c’est la superposition des moyens qui permet d’accroître le degré de protection... et ainsi le degré de confiance.

« Menaces », « arsenaux », « défense en profondeur », si vous avez le sentiment que nous sommes en guerre… et bien oui, vous avez tout saisi !

Dans le domaine de la Valeur Probatoire, pouvoir détecter les altérations est un mécanisme fondamental (cela permet en corollaire de prouver qu’il n’y en a pas eu, donc que le système est demeuré nominal). Les menaces sont ici principalement les antonymes des concepts bien connus que sont l’authenticité, l’intégrité, la traçabilité, etc.

Pour revenir à la théorie de la Relativité, il faut garder à l’esprit que rien ne saurait être absolu, rien ne saurait être parfait. Ni le Crime ni la Justice. Qu’un criminel ne soit pas « bon », sorte de Pied Nickelé, prête certainement à sourire ; mais que la Justice puisse être prise en défaut, que ce soit dans la manière d’empêcher qu’un Crime ne soit commis ou dans l’acceptation des Preuves que nous lui fournissons pour réaliser son travail, voilà qui est inacceptable pour les Citoyens que nous sommes ! Inacceptable, en apparence cependant, puisque tout est relatif !

J’aime à dire que tout ce qui a été construit sera détruit, tout ce qui a été fait sera refait, tout ce qui a été masqué sera démasqué. Et tout ce qui tient du rêve (ou du cauchemar, malheureusement) deviendra réalité. Question de temps, de volonté, de moyens… et d’utilité : un rideau défensif pourra toujours être contourné, une preuve invalidée, un édifice savamment bâti annihilé.

Pire encore, selon le principe d’interaction, en dressant cette multitude de barrières pour nous prémunir contre une menace, réelle ou avérée, nous induisons nécessairement des moyens, des processus, des « secrets », etc., bref une complexification certaine du système que nous voulons protéger, et, par voie de conséquence, des coûts non négligeables, ainsi que de nouvelles failles potentielles, qu’il faudra à leur tour prendre en considération !

Mais que risquions-nous réellement ? Et, finalement, les mesures mises en place en valaient-elles la peine ? La question se pose bel et bien, d’autant que nous ne pouvons avoir aucune certitude absolue à l’avance quant à leur efficacité… L’ANSSI (Agence Nationale pour la Sécurité des Systèmes d’Information) met ainsi clairement en garde : « En matière de sécurité, dans le domaine des systèmes d’information comme ailleurs, le plus dangereux est bien souvent de se reposer, consciemment ou non, sur une fausse assurance. Une démarche saine serait de gérer l’incertitude, de maintenir une inquiétude raisonnée et d’entretenir une véritable vigilance ».

Apprendre à évaluer les menaces, leurs probabilités d'apparition, leurs conséquences, la fiabilité des rideaux défensifs possibles, les coûts, etc. afin de bâtir un compromis viable, pérenne, en fonction des moyens, des besoins et des objectifs, voilà à mes yeux l’une des clés d'une Confiance Numérique sereine. 

S’appuyer sur des systèmes, des sociétés et des experts reconnus, utiliser des principes éprouvés, prendre le temps de faire son choix tout en sachant se décider malgré tout, en sont d’autres trop souvent négligées.

Ne pas vouloir tout faire, ni ne rien faire, mais faire simple et juste.

Ne pas croire en la perfection, ni en la totale imperfection, mais au pragmatisme et à la raison.

Finalement, la « vraie » Confiance Numérique, n’est-ce pas tout simplement d’avoir conscience de  la relativité de celle-ci ?
Publié par le Aucun commentaire:

dimanche 10 mars 2013

Confiance numérique sans conscience humaine n'est que ruine de l'âme

Veuillez me pardonner, Cher Monsieur Rabelais, pour avoir détourné votre si précieuse pensée, mais ayant vainement tourné et retourné lettres, mots, phrases et autres billevesées, sur l'essentiel à savoir le présent billet j'ai préféré corps et âme me consacrer...

Le sujet ? De la littérature ? Non ! Une réflexion philosophique ? Non plus !! Une révolte morale contre une injustice ? Encore moins !!! Tout juste l'envie de rappeler qu'il ne faut pas compter exclusivement sur la technique pour que s'instaure la "Confiance Numérique"...

"Ah tiens ! Il enfonce des portes ouvertes, le Monsieur (Pantagruel ?)" allez-vous penser ! Si, si, je suis persuadé que, pour certain(e)s, l'idée que, bien évidemment, la technique ne fait pas tout est "normale". Et en faire un article sur un blog, quelle exagération !

Mais... En êtes-vous si certains ?

Prenons deux exemples assez simples : la (sacro-sainte) signature électronique et un système d'archivage électronique.

Pour la première, corsons la chose en utilisant une signature avancée (grosso modo, avec un certificat numérique nominatif sur support physique et délivré à une personne dument identifiée par une autorité agréée). La totale ! Vous savez, celle qui permet de garantir authenticité, intégrité, fiabilité, non-répudiation et qui lave aussi plus blanc que bl... ah zut ! Là je me suis fourvoyé ! Enfin, revenons à ladite signature...

Donc, prenons un contrat de vente (document au format PDF/A-3 pour faire bonne mesure) et signons-le avec le client (l'autre Partie en fait, mais vous pouvez inverser les rôles, ça marche aussi), chacun avec son beau certificat classe III+). Bon. Jusque là tout va bien. Mais quelques jours plus tard, catastrophe : votre client dénonce le contrat ! "Pas de problème, j'ai mon document signé, il va voir ce qu'il va voir !" pensez-vous ingénument... Et là, re-catastrophe : Mme/Mr le Juge, pointilleux et/ou mal informé, rejette votre "preuve" ! Impossible ! Et bien non, justement !

Parce que, en vrac, vous ne pourrez pas prouver :

  - que c'est bien vous qui avez signé (le certificat et la clé sont personnels, certes, mais les avez-vous gardés à votre usage exclusif ? Jamais "prêtés" ? Jamais laissé traîner dans un tiroir avec le code sur un post-it collé sous le clavier ?)
  - que vous aviez le droit de signer électroniquement ce type de documents à ce moment-là (avez-vous déjà entendu parler des "politiques de signature" et des "politiques de validation/vérification de signatures" ?)
  - que la signature se rapporte bien au document papier que vous présentez au Juge (oui, les tribunaux sont souvent encore à l'ère du physique, et rappelons aussi qu'une signature électronique, c'est du charabia qu'il faut savoir décoder !)

On continue ? Au tour du SAE à présent...

Vous avez fait, à grands renforts budgétaires, l'acquisition d'un magnifique Système d'Archivage Électronique (à Valeur Probatoire, bien sûr), et vous vous réjouissez que tous les documents de votre entreprise y soient désormais bien en sécurité. Pas de problème à l'horizon, le soft est "béton" : des prises d'empreintes partout, des vérifications même lorsque vous n'en voulez pas, une traçabilité complète de toutes les actions, etc, rien ne peut l'ébranler ! D'ailleurs, il est conforme AFNOR Z42-013 (certificat à l'appui) !

Alors où est le problème ? Tout simplement que vous avez certainement oublié (peut-être pas dans votre cas, mais on va faire comme si pour les besoins de la démonstration !) que (liste non exhaustive) :

  - c'est toute la chaîne documentaire qu'il faut sécuriser, et ce depuis la production des données (par exemple votre GED préférée, un ERP, un CRM, ...)
  - l'archivage ne peut se faire que conformément à une Politique d'Archivage et des Déclarations de Pratiques d'Archivage
  - un document archivé n'est pas "mort" et qu'il suit un cycle de vie, incluant notamment sa pérennisation et son "sort final" (élimination, transfert, restitution, ...)
  - un SAE est un système complet et non pas un produit simplement installé sur des serveurs, système qu'il faut savoir préparer, contrôler et réparer, ...
  - il y a un certain nombre d'obligations en termes de sécurité, confidentialité, qualité, ... à respecter pour que la dimension probatoire puisse être établie

Naturellement, j'ai un peu schématisé, forcé le trait (pas tant que ça, finalement), et tout est condensé en quelques mots là où il faudrait un ouvrage pour en dresser les maux, mais nous pourrions trouver bien d'autres exemples dans bien des domaines. Et ne croyez pas que tout ceci n'est qu'élucubrations stériles : il existe d'ores et déjà des jurisprudences !

C'est pourquoi, à l'heure où l'émergence du domaine dans les mentalités se fait de plus en plus forte, où l'explosion démesurée du Numérique impose des usages stricts, nous devons tous veiller à ce que confiance ne se transforme pas en défiance.

Cela peut arriver si nous ne sommes pas vigilants et si nous n'apprenons pas à nous poser les vraies bonnes questions ; si nous oublions qu'il faut aussi établir des procédures, des processus, documenter les pratiques, etc ; et naturellement si nous ne (re)prenons pas conscience que les choses sont faites par des femmes et des hommes pour des femmes et des hommes !

Point de paranoïa donc (cela ne fera rien avancer du reste), simplement :

  - ne nous reposons pas exclusivement sur l'aspect technologique (a fortiori d'un seul composant), la Confiance Numérique ne peut s'établir qu'avec un tout cohérent et démontrable, sur la base d'un constat vers un objectif bien défini
  - n'oublions pas que l'Homme est indispensable pour que tout se mette en place et vive normalement, grâce à des experts (technologiques, juridiques, ...), des archivistes (leur métier change nécessairement, mais leurs missions demeurent), des informaticiens, des utilisateurs, ... et potentiellement des Juges !

Publié par le Aucun commentaire:

lundi 4 mars 2013

Légal ? Probatoire ? Probant ? Comment s'y retrouver...

C'est un commentaire sur mon post précédent ("Archivage à Valeur Probatoire") qui m'a incité à écrire le présent billet. En effet, parmi les sujets qui reviennent le plus souvent lorsque l'on parle de Confiance Numérique dans l'Archivage, la question du vocabulaire adéquat se classe aisément dans le top ten ! Souvent l'occasion de polémiques parfois virulentes entre experts du domaines, juristes, éditeurs de logiciels ou de services d'ailleurs...

Certes, me direz-vous, ce n'est que du vocabulaire... Mais est-ce aussi simple que cela ? Pas si évident : il est tout de même question d'opposabilité devant des tiers, finalité des Systèmes d'Archivage Électronique (autrement, un simple disque dur ou équivalent dans le nuage suffirait à la tâche). Entrebâillons donc la porte du domaine juridique pour approfondir un peu le problème... Enfin, tout au moins pour ce qui est de savoir dans quel cas utiliser "légal", "probatoire" et "probant" (j'aurai certainement l'occasion d'écrire d'autres posts sur bien d'autres éléments linguistiques) !

Si on se réfère aux définitions strictes (cf. Larousse) :
  • légal : conforme à la loi, qui a valeur de loi, qui est défini par la loi
  • probatoire : qui est propre à prouver l'existence chez quelqu'un de la compétence, des qualités requises pour une activité ultérieure
  • probant : qui prouve ; concluant, décisif
Alors, quelle est LA question, finalement la seule qui vaille : Un SAE permet-il de conserver toute la potentialité de preuve aux données qu'il renferme ? Car il ne faut jamais oublier qu'un système, tout ultra-sécurité, performant, tracé et tutti quanti qu'il soit n'apportera jamais plus de valeur à une donnée qu'elle n'en avait à l'origine (d'où la nécessité au passage d'établir une "chaîne de confiance" depuis la création de ladite donnée).  

Un SAE ne prouve donc rien en soi !

Un Système d’Archivage Électronique (SAE) sera donc dit « à valeur probatoire » s’il est possible de prouver que son fonctionnement est conforme à ce qu’il prétend être relativement à l’usage auquel il est destiné. Il peut posséder un caractère légal (conformité à des lois, décrets, jurisprudences, etc s'ils existent), sachant que normes, réglementations, état de l'art et autres ont également une grande importance.

Mais cela n’induit pas de facto une force probante aux données proprement dites : seuls les juges disposent de ce pouvoir d’attribution, en regard non seulement de l’information portée par les données mais aussi des conditions dans lesquelles elles ont été créées et conservées. 

Résumons donc :
  • un SAE est à valeur probatoire lorsqu’il se conforme à des principes et à un usage
  • ces principes et cet usage permettent de conférer au système un caractère légal
  • seuls des juges peuvent reconnaître ou non la force probante des informations portées par les données
 Au final :

  • parler d’archivage légal est acceptable, bien qu’étant un abus de langage (c'est le système complet qui peut avoir une dimension légale)
  • parler d’archivage probant est un non sens et doit être exclu
Pour ma part, je préfère parler d'Archivage à Valeur Probatoire !
Publié par le 6 commentaires:

samedi 23 février 2013

Archivage à Valeur Probatoire

Pour démarrer "réellement", voici un petit résumé de ce qu'est l'archivage à valeur probatoire... J'avais rédigé ceci à l'occasion d'une participation au groupe de travail "Cyber Défense" pour l'ACN (Alliance pour la Confiance dans le Numérique).

C'est à lire ici.
Publié par le 2 commentaires:

Top départ !

Confiance Numérique, Valeur Probatoire, normes, archivage, signature électronique, ..., ces concepts vous passionnent ou vous intriguent ? Alors ce blog est fait pour vous !

Point d’exhaustivité ici (qui pourrait y prétendre d'ailleurs ?), tout simplement des sujets sur lesquels j'ai envie d'apporter un certain éclairage, un coup de cœur ou un coup de gueule selon l'humeur, de répondre pourquoi pas aux questions que vous vous posez.

Point de parole d'évangile non plus, personne n'a la science infuse, vos commentaires sont donc les bienvenus !

Stéphan
Publié par le Aucun commentaire:
Inscription à : Articles (Atom)