La nécessaire certification d’un Système d’Archivage Electronique

L'archivage électronique ne doit pas être perçu comme une simple transformation de l'archivage traditionnel papier en électronique. Il correspond à une nouvelle organisation des données dans l'entreprise indispensable à prendre en compte.

L'archivage électronique constitue un moyen de favoriser une nouvelle organisation de l'information dans l'entreprise pour une plus grande efficacité et une meilleure compétitivité. Nous arrivons ainsi naturellement au lien réel qui existe entre l'archivage électronique et le système d'information qui doit obligatoirement en tenir compte.
 
Isoler les informations figées, les méta-données

Une des difficultés que l'on rencontre aujourd'hui consiste à pouvoir certes identifier les documents figés (non modifiables) mais surtout à pouvoir les isoler au sein du système d'information. De plus, afin de maintenir leur caractère probant il est nécessaire de leur faire subir un certain nombre de traitements préalables, entre autre destinés à conserver leur intégrité et à compléter les méta-données, éléments indispensables à la bonne conservation des informations et surtout destinées à pouvoir les retrouver facilement. La FedISA a mis au point une schéma de certification des systèmes d'archivages basé sur la norme ISO 27001. Cette nouvelle norme fera d'ailleurs l'objet d'une présentation en avant-première sur le salon INFO to DOC / Démat'Expo les 23 et 24 novembre au CNIT.
 
Système d'information et sécurité

Un système d'information doit bien évidemment être protégé, sécurisé. Or de la sécurité de l'information à la gestion du risque, il n'y a qu'un pas et l'on peut ainsi en conclure que la sécurité des systèmes d'information n'est plus une affaire de techniciens mais relève bien du management de l'entreprise. L'archivage électronique présente une logique équivalente en matière de sécurité et d'analyse du risque, ce qui contribue encore plus à son intégration au système d'information globale de l'entreprise.
 
En matière de norme, l'ISO 27001 définit les exigences à satisfaire pour la conception et le déploiement d'un Système de Management de la Sécurité de l'Information (SMSI). L'engagement de la direction de l'organisation souhaitant mettre en place un SMSI est déterminant pour sa mise en oeuvre. L'analyse de risques doit quant à elle identifier les risques associés au système d'information et ainsi permettre d'apprécier leurs conséquences, leurs impacts sur l'activité de l'entreprise. Ceci est d'autant plus vrai que la sécurité de l'information doit être prise dans son acception la plus large, c'est-à-dire non seulement sa confidentialité mais également son intégrité, sa disponibilité, sa fiabilité et sa conformité.

Un Système d'Archivage Electronique (SAE) peut donc parfaitement être certifié au regard de la logique de la norme ISO 27001 avec un avantage évident sur le plan international mais surtout une meilleure intégration dans les processus d'entreprise actuels. Compte tenu de l'évolution de la certification des SMSI, cette vision de la certification des SAE au travers de la norme ISO 27001 est incontestablement une véritable avancée avec une mise en œuvre la moins intrusive possible et surtout une véritable intégration de la notion de risque, absolument indispensable en matière d'archivage, surtout dans un contexte légal ou réglementaire.

Autour du même sujet