La nouvelle norme AFNOR NF Z42-020 sur le composant Coffre-Fort Numérique (CCFN) : positionnement et limites
Depuis l'été 2012, l'AFNOR propose un nouveau texte normatif : la norme Z42-020 - Spécifications d'un composant coffre-fort numérique destiné à la conservation d'informations numériques dans des conditions qui garantissent leur intégrité dans le temps. De quoi s'agit-il ?
Un Système
d'Archivage Électronique (SAE) permet de conserver la valeur probante des
documents pendant toute la durée de conservation. Les caractéristiques
principales d'un tel système, y compris ses infrastructures, sont : pérennité,
sécurité, confidentialité, disponibilité, réversibilité et bien sûr intégrité.
Norme Z42-013, la référence de l'archivage
Une
norme spécifie les caractéristiques d'un système d'archivage électronique : il
s'agit de la norme française AFNOR NF Z42-013. Celle-ci a été transposée en
norme internationale ISO 14641-1 début 2012 après un long processus.
L'archivage électronique dispose ainsi d'un texte de référence. Comme toute
norme, elle va continuer à évoluer, au rythme des révisions, afin de s'adapter
aux besoins des différents acteurs du marché. De surcroît, un processus de certification
en Marque NF 461 de cette norme vient d'être
défini par l'AFNOR, grâce au Service Interministériel des Archives de France (SIAF)
et aux organisations professionnelles du secteur (APROGED, FEDISA, FNTC).
Depuis
juillet 2012, un nouveau texte normatif a fait son entrée au catalogue de
l'AFNOR : la norme Z42-020 - Spécifications fonctionnelles d'un composant
coffre-fort numérique destiné à la conservation d'informations numériques dans
des conditions de nature à en garantir leur intégrité dans le temps. De quoi
s'agit-il ?
Tout d'abord que signifie ce terme coffre-fort numérique ?
Coffre-fort
numérique est une variation du terme Coffre-fort électronique, introduit et déposé
par CDC Arkhinéo depuis plus de dix ans. Ce terme est utilisé généralement pour
désigner un service d'archivage de documents numériques, par analogie à un
service de Coffre-fort dans une banque. Le propriétaire du coffre-fort ou son
mandataire déposent des objets de valeur. Seul le propriétaire dispose des clés
et a donc accès aux objets déposés. La garantie offerte par ce service résulte
d'un ensemble de processus complexes : salle des coffres sécurisée, contrôle
d'accès, alarme, surveillance, assurance…
Dans le
domaine du numérique, les services de coffre-fort électronique numérique (CFE)
visent au minimum ce même niveau de sécurité. Une application dédiée, exploitée
par des processus sécurisés sur des infrastructures généralement redondées
permet de garantir aux utilisateurs du service la pérennité, sécurité,
confidentialité, disponibilité et intégrité des documents à valeur probante qui
y sont déposés. De nombreux services sont déjà disponibles sur Internet[1].
La notion de composant coffre-fort numérique (CCFN) s'éloigne de cette vision de service. Pour continuer l'analogie avec le monde physique, ce CCFN s'apparente plus à un tiroir sécurisé permettant de construire une salle des coffres.
Il y a bien deux concepts derrière ce terme coffre-fort numérique :
* un service permettant
d'archiver en toute sécurité des documents qui permettront ultérieurement à son
propriétaire de faire valoir ses droits,
* un composant à intégrer
dans une application.
La norme Z42-020 traite uniquement du dernier point : le composant.
Que dit la norme Z42-020 ? Cette
norme définit les spécifications fonctionnelles d'un composant coffre-fort numérique
(CCFN) destiné à la conservation d'objets numériques dans des conditions de
nature à en garantir leur intégrité dans le temps.
Le
document[2]
décrit les fonctions minimales que doit posséder ce composant : déposer / détruire /
lire /
lire métadonnées
techniques /
contrôler / lire journal / lister / restituer / vider / contrôler CCFN.
Chacune des fonctions y est décrite, ainsi que ses paramètres d'appel et le résultat attendu. Les quelques métadonnées techniques que doit au minimum posséder un objet numérique (identifiant, déposant, heure de dépôt, empreinte) y sont définies ainsi qu'un journal enregistrant les opérations effectuées sur le CCFN.
Les rôles
utilisateurs y sont spécifiés ainsi que quelques fonctions d'administration : administrateur technique / administrateur
fonctionnel /
simple utilisateur.
Les
exigences concernant la sécurité du composant sont limitées à un paragraphe de
5 lignes (§ 5.2) : Sécurité des accès, intégrité et confidentialité des
messages échangés.
Le
dernier chapitre concerne le plan de la documentation technique du CCFN.
La norme Z42-020 n'est pas une norme d'archivage
Beaucoup d'aspects relatifs à l'archivage ne sont pas abordés dans cette norme.
En
particulier, la confidentialité des données, leur pérennité, leur disponibilité,
leur sécurité (destruction, perte, altération). Quel recours en cas de perte de
données ou de rupture d'intégrité constatée ?
Comme
il est explicitement mentionné dans le §1 Domaine d'application, cette norme ne traite pas des systèmes d'archivage électronique,
mais d’un composant CCFN destiné à être piloté par un Système d'Archivage Électronique
(SAE).
L'intérêt principal de ce texte est purement technique. Il permet de concevoir des systèmes d'archivage s'appuyant sur un composant de stockage contrôlant l'intégrité des données stockées, ce composant devenant alors interchangeable. Cependant, il faudra lui adjoindre beaucoup d'autres fonctions pour pouvoir disposer d'un véritable SAE certifiable Z42-013.
Fallait-il une nouvelle norme ? En
positionnant la Z42-020 à côté de la Z42-013, une ambiguïté apparait engendrant
une concurrence entre ces normes. Bon nombre d'acteurs vont maintenant devoir
se positionner et argumenter relativement à ces deux normes.
Il
aurait sans doute été plus constructif de concevoir une famille de norme
d'archivage autour de la Z42-013 regroupant à la fois des spécialisations
(Bulletin de paie, Convocation des co-propriétaires, etc.) ou des
recommandations purement techniques (CCFN, Métadonnées, Normes d'échanges,
etc.) selon le même principe que les normes ISO 27000[3]
où plus de 10 textes se complètent et s'enrichissent. Par exemple, l'lSO 27001
spécifie le système de gestion de la sécurité des systèmes d'information, l'ISO
27002 fournit les règles de sécurité à appliquer, alors que l'ISO 27033 se
focalise sur le domaine limité à la Network Security. La prochaine révision de la Z42-013/ISO 14641-1
pourrait être l’occasion d’aller dans ce sens.
Le
travail de spécification d’un composant CCFN est techniquement intéressant,
mais il s’adresse uniquement à des experts techniques de l’édition logicielle.
L’ambiguïté
du terme Coffre-Fort Numérique contenu dans le titre de la Z42-020 positionne à
tort ce texte dans le domaine de l’archivage électronique apportant ainsi
beaucoup de confusion sur le marché de la dématérialisation. Marché sur lequel
la norme de référence pour l’archivage électronique reste, à juste titre, la
Z42-013.
[1] Recherche Google : http://www.google.fr/search?hl=fr&as_q=service+&as_epq=coffre-fort&as_oq=electronique+numerique
[2] Norme Z42-020 à la boutique AFNOR : http://www.boutique-normes-edition.afnor.org/norme/nf-z42-020/specifications-fonctionnelles-d-un-composant-coffre-fort-numerique-destine-a-la-conservation-d-informations-numeriques-dans-des-/article/796213/fa176610
[3] The ISO 27000 Directory : http://www.27000.org/