Nouvelle référence pour les coffres-forts numériques

Alain Borghesi DR

 

Avec Afnor NF Z 42-020, le coffre-fort numérique dispose désormais de sa norme. Une contribution essentielle à la question de l’intégrité dans le domaine de l’archivage électronique.

Depuis le 20 juillet 2012 a pris effet la norme Afnor NF Z 42-020 intitulée Spécifications fonctionnelles d’un composant coffre-fort numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps. Cette nouvelle norme relative au coffre-fort numérique (ou CCFN pour composant coffre-fort numérique) est le résultat de réflexions conduites depuis plus de trois ans, voire beaucoup plus si l’on prend en compte les travaux précurseurs entrepris à partir de janvier 2006 par un groupe de travail interassociation regroupant notamment la FNTC et la Fedisa (1), puis formalisés en février 2009, dans le référentiel coffre-fort électronique de la FNTC.

1- exigences minimales et neutralité technologique

L’objet de cette norme est de se focaliser, en moins de vingt-cinq pages, sur un aspect bien délimité, à savoir l’intégrité des archives électroniques ou, plus largement, pour reprendre la terminologie retenue, des "objets numériques" (ON). L’approche retenue a consisté à décrire avec précision les exigences fonctionnelles minimales sans imposer un type d’implémentation technique. Comme a pu le préciser Jean-Louis Pascon, vice-président de Fedisa et acteur essentiel du chantier du la norme NF Z 42-020 : "Il fallait éviter d’être trop précis pour ne pas brider l’innovation et rendre possible différentes approches techniques tout en proscrivant les formulations trop vagues autorisant tous les acteurs à se prétendre en conformité avec les exigences de la norme".

Cette volonté de neutralité technologique rencontre cependant une limite évidente : le texte repose explicitement sur le recours aux mécanismes cryptographiques avec des références nombreuses aux algorithmes de calcul d’empreintes. La notion d’exigences minimales est fondamentale car elle permet de faire le tri entre ceux qui peuvent prétendre proposer un coffre-fort numérique digne de ce nom et les autres. Elle ne conduit pas pour autant à une uniformisation des offres sur le marché car chaque concepteur peut ajouter sa propre valeur ajoutée à condition que cette dernière ne remette en cause aucune des exigences minimales.

autres dimensions écartées

En se concentrant sur la thématique de l’intégrité, la norme écarte volontairement d’autres dimensions importantes de l’archivage électronique ou de la conservation sécurisée, qu’il s’agisse du contrôle et de la conversion des formats d’archivage, de la sécurisation de la numérisation ou encore de la confidentialité des données déposées dans le coffre-fort. De plus, le texte ne s’intéresse pas au contenu des objets numériques qui sont considérés uniquement comme des "trains de bits" auxquels il faut conférer une assurance d’intégrité. 

Les éditeurs de progiciels de coffres-forts numériques (ou coffres-forts électroniques), tout comme les constructeurs de matériels, représentent le public auquel est destiné la norme. S’y ajoutent les organismes publics ou privés qui auraient la volonté de développer en interne leurs propres solutions.

2- huit fonctions et trois types d’utilisateurs

Le texte décrit les huit fonctions que doit assurer, au minimum, un composant coffre-fort numérique. Cinq fonctions – déposer, lire, détruire, lire métadonnées techniques et contrôler – portent sur un seul objet numérique. Les trois autres fonctions – lire journal, lister, compter - peuvent concerner plusieurs objets numériques. Pour chacune de ces fonctions sont définies a minima les paramètres en entrée et ce que doit restituer le coffre-fort en retour.

La fonction déposer doit pouvoir être exécutée selon deux modalités distinctes, à savoir le mode non contrôlé et le mode contrôlé. Dans ce dernier cas, l’utilisateur communique au coffre-fort l’objet numérique avec son empreinte d’intégrité associée. Le coffre procédera alors à un nouveau calcul d’empreinte avec le même algorithme, puis à une comparaison des deux empreintes. En cas de différence entre les deux empreintes, le dépôt sera refusé par le coffre-fort. Cette distinction entre les deux types de dépôt est une reprise de l’approche qui figure dans le référentiel coffre-fort électronique de la FNTC, paru en 2009.

attentes de la Cnil

Trois types d’utilisateurs sont décrits avec les droits dont ils disposent. Il s’agit de l’administrateur général, de l’administrateur fonctionnel et, bien sûr, de l’utilisateur désigné pour l’occasion sous le vocable de "simple utilisateur". On soulignera que ni l’administrateur général, ni l’administrateur fonctionnel ne peuvent avoir accès aux objets numériques archivés au sein du coffre-fort. C’est une première étape pour prendre en considération les attentes de la Commission nationale de l’informatique et des libertés (Cnil) qui, dans une communication du 15 juin 2011 intitulée Les coffres forts électroniques en question, regrettait que les fournisseurs aient le plus souvent accès au contenu du coffre-fort de l’utilisateur.

Une place significative est consacrée au journal et le contenu de la norme est en la matière très explicite : "Un enregistrement doit être écrit automatiquement et systématiquement dans le journal pour chaque fonction exécutée".

structure en conteneurs

On soulignera également que la norme prévoit, de façon optionnelle, que le coffre-fort puisse être structuré en différents conteneurs. Les concepteurs de coffres-forts numériques qui retiendront cette architecture avec des conteneurs comme partition d’un CCFN s’orienteront de fait vers une philosophie de « salle de coffres », en l’occurrence le CCFN de la norme, au sein de laquelle il y aura une pluralité de coffres-forts correspondant aux conteneurs.

Enfin, la norme décrit avec précision les exigences en matière documentaire avec les nombreuses informations qui doivent impérativement être disponibles au sein du dossier technique. Doit notamment y figurer "une analyse, selon une méthodologie au choix de l'éditeur ou du constructeur du niveau de sécurité atteint par le CCFN. Cette analyse pourra comporter des chapitres tels que : profil de sécurité, cible d'évaluation, niveau de résistance aux attaques (…)".

3- vers la certification

La prochaine étape, à brève échéance, devra être celle de la certification. Cette démarche est essentielle pour éviter les discours confus et ambigüs d’autocertification aux exigences de la norme NF Z 42-020 de la part d’acteurs objectivement pas au niveau, ou les audits plus ou moins complaisants réalisés par des experts en dehors de tout cadre officiel. Avec la certification, la norme jouera pleinement son rôle pour rassurer les donneurs d’ordres quant à la conformité d’un produit logiciel ou matériel avec l’état de l’art. Cet impératif de certification fournit la réponse à une interrogation légitime parfois formulée portant sur la coexistence de la norme NF Z 42-020 et de sa devancière NF Z 42-013 de mars 2009 relative aux services d’archivage électronique (SAE). N’aurait-il pas été plus simple de conserver une seule norme, quitte à la compléter pour y introduire les éléments propres au coffre-fort numérique ? Les certifications de produits et celles de services répondent à des logiques différentes. L’objectif étant la nécessaire certification des coffres-forts numériques afin de donner au marché un moyen de juger de la crédibilité des acteurs, sans se limiter à leur verbiage marketing, une norme produit distincte de la norme service s’imposait.

complémentarité et interactions

La norme NF Z 42-020 a pris le soin de préciser sa complémentarité et ses éventuelles interactions avec la norme parue antérieurement. Son annexe A est consacrée au positionnement du CCFN par rapport à la norme NF Z 42-013. Par ailleurs, il est bien précisé que les SAE, spécifiés dans les normes NF Z 42-013 et Iso 14641-1, « peuvent piloter » des CCFN et, réciproquement, que les CCFN sont susceptibles d’être piloté par des SAE. La complémentarité est donc prévue (tout comme la possible autonomie des coffres-forts qui peuvent aussi être mis en œuvre de façon indépendante d’un SAE).

Le débat pour désigner la meilleure norme par rapport à une autre n’a donc pas lieu d’être et ceux qui ont la prétention de distinguer les grandes et les petites normes témoignent d’une mauvaise compréhension de ce que recouvre les processus de labellisation.

L’évolution naturelle conduira sans doute à s’orienter vers des certifications services des SAE intégrant des composants techniques, comme le coffre-fort électronique, eux-mêmes certifiés en tant que produits pour les aspects relatifs à l’intégrité, mais aussi à la confidentialité des données, la numérisation de copies fidèles, ou encore les contrôles et conversions de formats.

(1) Fédération nationale des tiers de confiance et Fédération de l'ILM (information lifecycle management), du stockage et de l'archivage : fntc et fedisa

Alain Borghesi
(PDG de Cecurity.com, vice-président de la FNTC, membre de la commission de normalisation Afnor NF Z 42-020)

Les podcasts d'Archimag
Êtes-vous prêts à renoncer à des services numériques ou à vos appareils électroniques pour le bien commun ? Face à l'urgence climatique, notre rapport au progrès et à la technologie est souvent remis en question. Archimag Podcast a rencontré Alexandre Monnin, philosophe, directeur du master Sciences, Stratégie et Design pour l’Anthropocène à l’ESC Clermont Business School et auteur de l'ouvrage "Politiser le renoncement", aux Éditions Divergences. Il est aussi co-initiateur du courant de la redirection écologique, dont il nous explique le principe.