La nouvelle norme AFNOR NF Z42-020 sur le composant Coffre-Fort Numérique (CCFN) : positionnement et limites

Depuis l'été 2012, l'AFNOR propose un nouveau texte normatif : la norme Z42-020 - Spécifications d'un composant coffre-fort numérique destiné à la conservation d'informations numériques dans des conditions qui garantissent leur intégrité dans le temps. De quoi s'agit-il ?

Un Système d'Archivage Électronique (SAE) permet de conserver la valeur probante des documents pendant toute la durée de conservation. Les caractéristiques principales d'un tel système, y compris ses infrastructures, sont : pérennité, sécurité, confidentialité, disponibilité, réversibilité et bien sûr intégrité.

Norme Z42-013, la référence de l'archivage

Une norme spécifie les caractéristiques d'un système d'archivage électronique : il s'agit de la norme française AFNOR NF Z42-013. Celle-ci a été transposée en norme internationale ISO 14641-1 début 2012 après un long processus. L'archivage électronique dispose ainsi d'un texte de référence. Comme toute norme, elle va continuer à évoluer, au rythme des révisions, afin de s'adapter aux besoins des différents acteurs du marché. De surcroît, un processus de certification en Marque NF 461 de cette norme vient d'être défini par l'AFNOR, grâce au Service Interministériel des Archives de France (SIAF) et aux organisations professionnelles du secteur (APROGED, FEDISA, FNTC).
Depuis juillet 2012, un nouveau texte normatif a fait son entrée au catalogue de l'AFNOR : la norme Z42-020 - Spécifications fonctionnelles d'un composant coffre-fort numérique destiné à la conservation d'informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps. De quoi s'agit-il ?

Tout d'abord que signifie ce terme coffre-fort numérique ?
Coffre-fort numérique est une variation du terme Coffre-fort électronique, introduit et déposé par CDC Arkhinéo depuis plus de dix ans. Ce terme est utilisé généralement pour désigner un service d'archivage de documents numériques, par analogie à un service de Coffre-fort dans une banque. Le propriétaire du coffre-fort ou son mandataire déposent des objets de valeur. Seul le propriétaire dispose des clés et a donc accès aux objets déposés. La garantie offerte par ce service résulte d'un ensemble de processus complexes : salle des coffres sécurisée, contrôle d'accès, alarme, surveillance, assurance…
Dans le domaine du numérique, les services de coffre-fort électronique numérique (CFE) visent au minimum ce même niveau de sécurité. Une application dédiée, exploitée par des processus sécurisés sur des infrastructures généralement redondées permet de garantir aux utilisateurs du service la pérennité, sécurité, confidentialité, disponibilité et intégrité des documents à valeur probante qui y sont déposés. De nombreux services sont déjà disponibles sur Internet[1].

La notion de composant coffre-fort numérique (CCFN) s'éloigne de cette vision de service. Pour continuer l'analogie avec le monde physique, ce CCFN s'apparente plus à un tiroir sécurisé permettant de construire une salle des coffres.

Il y a bien deux concepts derrière ce terme coffre-fort numérique :

* un service permettant d'archiver en toute sécurité des documents qui permettront ultérieurement à son propriétaire de faire valoir ses droits,
*
un composant à intégrer dans une application.

La norme Z42-020 traite uniquement du dernier point : le composant.

Que dit la norme Z42-020 ? Cette norme définit les spécifications fonctionnelles d'un composant coffre-fort numérique (CCFN) destiné à la conservation d'objets numériques dans des conditions de nature à en garantir leur intégrité dans le temps.
Le document[2] décrit les fonctions minimales que doit posséder ce composant : déposer / détruire / lire / lire métadonnées techniques / contrôler / lire journal / lister / restituer / vider / contrôler CCFN.            

Chacune des fonctions y est décrite, ainsi que ses paramètres d'appel et le résultat attendu. Les quelques métadonnées techniques que doit au minimum posséder un objet numérique (identifiant, déposant, heure de dépôt, empreinte) y sont définies ainsi qu'un journal enregistrant les opérations effectuées sur le CCFN.

Les rôles utilisateurs y sont spécifiés ainsi que quelques fonctions d'administration : administrateur technique / administrateur fonctionnel / simple utilisateur.
Les exigences concernant la sécurité du composant sont limitées à un paragraphe de 5 lignes (§ 5.2) : Sécurité des accès, intégrité et confidentialité des messages échangés.
Le dernier chapitre concerne le plan de la documentation technique du CCFN.

La norme Z42-020 n'est pas une norme d'archivage

Beaucoup d'aspects relatifs à l'archivage ne sont pas abordés dans cette norme.

En particulier, la confidentialité des données, leur pérennité, leur disponibilité, leur sécurité (destruction, perte, altération). Quel recours en cas de perte de données ou de rupture d'intégrité constatée ?
Comme il est explicitement mentionné dans le §1 Domaine d'application, cette norme ne traite pas des systèmes d'archivage électronique, mais d’un composant CCFN destiné à être piloté par un Système d'Archivage Électronique (SAE).

L'intérêt principal de ce texte est purement technique. Il permet de concevoir des systèmes d'archivage s'appuyant sur un composant de stockage contrôlant l'intégrité des données stockées, ce composant devenant alors interchangeable. Cependant, il faudra lui adjoindre beaucoup d'autres fonctions pour pouvoir disposer d'un véritable SAE certifiable Z42-013.

Fallait-il une nouvelle norme ? En positionnant la Z42-020 à côté de la Z42-013, une ambiguïté apparait engendrant une concurrence entre ces normes. Bon nombre d'acteurs vont maintenant devoir se positionner et argumenter relativement à ces deux normes.
Il aurait sans doute été plus constructif de concevoir une famille de norme d'archivage autour de la Z42-013 regroupant à la fois des spécialisations (Bulletin de paie, Convocation des co-propriétaires, etc.) ou des recommandations purement techniques (CCFN, Métadonnées, Normes d'échanges, etc.) selon le même principe que les normes ISO 27000[3] où plus de 10 textes se complètent et s'enrichissent. Par exemple, l'lSO 27001 spécifie le système de gestion de la sécurité des systèmes d'information, l'ISO 27002 fournit les règles de sécurité à appliquer, alors que l'ISO 27033 se focalise sur le domaine limité à la Network Security. La prochaine révision de la Z42-013/ISO 14641-1 pourrait être l’occasion d’aller dans ce sens.

Le travail de spécification d’un composant CCFN est techniquement intéressant, mais il s’adresse uniquement à des experts techniques de l’édition logicielle.
L’ambiguïté du terme Coffre-Fort Numérique contenu dans le titre de la Z42-020 positionne à tort ce texte dans le domaine de l’archivage électronique apportant ainsi beaucoup de confusion sur le marché de la dématérialisation. Marché sur lequel la norme de référence pour l’archivage électronique reste, à juste titre, la Z42-013.

----------------------

Autour du même sujet