Article réservé aux abonnés Archimag.com

SAE : comment piloter la gouvernance ?

Le

  • systeme-archivage-electronique-comment-piloter-gouvernance.jpg

    Le SAE doit régulièrement évoluer dans une démarche d’amélioration continue (Freepik Premium/DC Studio).
    • La mise en place d’un système d’archivage électronique et son utilisation quotidienne requièrent méthode et planification minutieuse. De l’étude d’opportunité aux évolutions nécessaires, en passant par le comité de pilotage pluridisciplinaire et la sécurisation de l’infrastructure, le SAE obéit à des règles incontournables.

    archimag_382_hd_couv_20250228_page-0001_1.jpgenlightenedCET ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°382 - Les éditeurs face à l’IA : comment vos outils se réinventent

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Selon le Rapport de la gouvernance de l’information numérique 2025 réalisé par Serda et Archimag, 35 % des organisations déclarent avoir réalisé un projet d’archivage électronique (soit 10 points de plus en un an) et 45 % en être au stade de l’engagement, voire du prévisionnel.

    Selon cette étude, il s’agit de projets disposant d’une forte dynamique, notamment portés par le secteur public. Du côté du secteur privé, les experts s’accordent à noter une impréparation de nos entreprises en la matière. À qui la faute ? Au prix des solutions d’archivage électronique ? Au manque d’archivistes aguerris dans l’entreprise ? À la crainte de mettre en place une usine à gaz ?

    Une chose est sûre, la gouvernance d’un système d’archivage électronique (SAE) ne s’improvise pas. Le SAE fait en effet figure de brique essentielle de la chaîne de confiance numérique. Pour atteindre cet objectif en conformité avec les exigences normatives, il doit reposer sur un socle documentaire constitué de plusieurs volets : politique d’archivage, politique de sécurité du système d’information, contrat de service, etc. Le système doit également régulièrement évoluer, dans une démarche d’amélioration continue basée sur la pratique d’audits réguliers pouvant aller jusqu’à la certification.

    Lire aussi : Comparatif des systèmes d'archivage électronique : un marché soutenu par la digitalisation des processus

    Étude d’opportunité et comité de pilotage pluridisciplinaire

    Que l’organisation évolue dans le domaine public ou privé, elle doit agir avec méthode et anticipation. Cela commence par une étude d’opportunité et d’environnement juridique. "Cette étude doit se faire, d’une part, sur les types de documents à archiver (comme la messagerie électronique, les documents bureautiques, les données informatiques, les documents au format PDF) et, d’autre part, sur la valeur juridique des documents échangés", explique le cabinet Serda Conseil. "Cette étude d’opportunité permettra de délimiter très précisément le contexte juridique et réglementaire dans lequel se situent l’organisation et ses échanges documentaires".

    La constitution d’un comité de pilotage pluridisciplinaire s’avère également indispensable. Outre la présence naturelle d’archivistes, ce comité accueille également des référents métiers, des juristes et des informaticiens. Sa feuille de route tient en quelques mots : superviser le SAE depuis sa conception jusqu’à son utilisation quotidienne.

    Pour Dominique Pluchon (Tessi), "ce comité de pilotage devra vérifier et valider les spécifications mises en place. Le déploiement d’un SAE est un travail de fond qui bouscule les usages au sein d’une organisation. Mettre en place un comité de pilotage permet d’impliquer les différentes parties concernées et augmente les chances de réussite du projet."

    C’est ce même comité de pilotage qui assure le suivi du SAE en phase active de production. "Chaque nouvelle implémentation devra faire l’objet d’un audit de conformité initial", poursuit Dominique Pluchon. "En plus des coûts de maintenance matériel et logiciel, il faut également garder à l’esprit que le SAE entraînera chaque année des frais associés à son audit de conformité."

    Lire aussi : Comment mettre en place et gérer un système d'archivage électronique

    Processus de versement

    En phase opérationnelle, le SAE est alors apte à recevoir les versements. Ce processus de versement débute par l’envoi des objets à archiver depuis le service versant et se termine par la production de l’attestation d’archivage par le SAE. Lorsque le versement est achevé, le transfert de responsabilité de conservation des archives électroniques entre le producteur d’archives et le service d’archives est effectif.

    Selon la norme NF Z 42-013 (ISO 14641), "la phase de versement n’inclut pas les étapes de production des archives électroniques qui restent de la responsabilité du service producteur et du propriétaire des archives ; le service producteur peut être un opérateur de numérisation (…). Le service d’archives (SA) doit être en capacité de conseiller les propriétaires des archives pour optimiser le processus de versement. En cas de besoin, le propriétaire des archives peut demander à ce que ces recommandations soient partagées aux services producteurs (SP), ou aux opérateurs de numérisation (OP) dont le propriétaire des archives a requis l’intervention."

    Réaliser des tests de sécurité au moins une fois par an

    À l’heure où les cyberattaques menacent aussi bien les services publics que les entreprises privées, la question de la sécurisation des SAE prend tout son sens. D’autant plus que les services d’archives ne sont pas épargnés par les actes de malveillance. On pense notamment aux départements de la Seine-et-Marne et de l’Ardèche, qui ont subi une cyberattaque en 2022.

    Dans la norme NF Z 42-013, le terme de cybersécurité fait l’objet d’un chapitre intitulé "sécurité informatique". Objectif : "assurer la sécurité du SAE en tant que système d’information." Ce chapitre recense une série d’exigences et de recommandations.

    Parmi les exigences, le service d’archives doit établir une Politique de Sécurité des Systèmes d’Information (PSSI) sur le périmètre du SAE ou intégrer la sécurité du SAE dans la PSSI de l’organisme dont il dépend. Autre exigence, "des tests de sécurité doivent être réalisés lors de chaque changement significatif du SAE", explique la norme NF Z 42-013.

    Du côté des recommandations, les organisations sont invitées à procéder à une analyse de risque sur le périmètre spécifique du SAE selon une méthodologie formalisée et à mettre en œuvre un plan de traitement des risques résiduels qui ne sont pas acceptés. De même, il est recommandé d’implémenter une démarche ISO 27001 sur le périmètre du SAE.

    Publiée en 2005 et révisée en 2013 et 2022, la norme internationale ISO 27001 définit les exigences pour la mise en place d’un système de management de la sécurité de l’information.

    Enfin, il est recommandé de réaliser des tests de sécurité au moins une fois par an.

    Lire aussi : Modèle OAIS : définition, principes et fonctionnement

    Démarche d’amélioration continue

    Malgré toutes les précautions prises en amont du déploiement, des événements susceptibles d’enrayer le SAE ne manquent jamais d’arriver. Le suivi et l’évaluation du projet doivent alors être prévus. Des indicateurs de performance destinés à mesurer l’efficacité du SAE s’avèrent très utiles : taux de conformité, temps de recherche, coût total de possession. Des audits réguliers peuvent également être décidés pour vérifier la conformité du SAE aux normes et réglementations en vigueur.

    Conformément aux exigences de la norme NF Z 42-013, une démarche d’amélioration continue de la sécurité du SAE doit être mise en place. "Cette démarche doit être revue périodiquement, y compris en matière d’objectifs." Par ailleurs, le modèle OAIS (Open Archival Information System) est doté d’un module "Pérennisation" qui assure une veille sur tous les aspects de la vie des archives : évolution des normes, obsolescence des matériels et des logiciels, surveillance de la qualité des supports.

    Rédiger un dossier de migration

    "Lorsqu’il détecte une évolution, il faut se poser plusieurs questions", rappelle le cabinet Serda Conseil : dans quel laps de temps le SAE doit-il évoluer ? Quelles archives doivent être migrées, compte tenu de leurs durées de conservation ? Peut-on conserver le même format pour les informations entre l’ancien et le nouveau SAE ? Comment vérifie-t-on que la totalité des archives retenues a été migrée ? Comment vérifie-t-on la conservation de l’information entre l’ancien et le nouveau SAE, tout particulièrement si le format de représentation de l’information change ?

    "Indépendamment des considérations normatives, telles que celles décrites dans la norme NF Z 42-013 ou Iso 14461, il convient de rédiger un dossier de migration présentant les évolutions à réaliser, les méthodes de migration retenues et le contrôle qualité prévu. Il permettra de réfléchir à l’avance sur tous les points et d’être certain de ne pas oublier un élément important de la migration."

    0 Commentaire
    382
    SAE
    Gouvernance de l'information
    sécurité
    archivage électronique
    système d'archivage électronique
    norme
    À lire sur Archimag
    Les podcasts d'Archimag
    Intelligence artificielle, cloud, cybersécurité, fraude documentaire, data, facture électronique, numérique responsable, désinformation... Quels seront les grands thèmes de l’année 2025 ? Pour lancer cette série de podcasts dédiée à la 31e édition du salon Documation, Clémence Jost, rédactrice en chef du magazine Archimag, vous invite à découvrir les huit tendances majeures qui façonneront l’année à venir.
    Lire la suite...
    Publicité

    2025-Catalogue Dématérialisation-Serda Formation