Qu’elles soient Françaises ou internationales, les normes relatives au vaste domaine de la confiance numérique ne manquent pas ! Parmi les plus récentes, la norme volontaire NF Z42-026 a été publiée en mai 2017, marquant un véritable tournant pour les acteurs de la dématérialisation. En effet, elle concerne la définition et les spécifications des prestations de numérisation fidèle de documents sur support papier et le contrôle de ces prestations. En d’autres termes, elle précise les conditions nécessaires à l’obtention d’une copie fidèle, soit le double numérique d’un original papier, ayant la même force juridique que celui-ci (qui peut, in extenso, ne pas être conservé).
La NF Z42-026 s’adresse ainsi en priorité aux organisations (prestataires externes ou utilisateurs finaux) souhaitant numériser des documents physiques tout en préservant leur valeur probatoire. Elle revient notamment sur le processus de transformation de ces pièces, proposant des recommandations diverses afin d’améliorer les images capturées, fournir des éléments de traçabilité, préserver l’intégrité des documents, ou faciliter leur indexation. Cette norme est étroitement liée à la certification NF 544 (ou « NF Service prestations de numérisation fidèle de documents sur support papier »), qui atteste justement que les processus de numérisation décrits dans la NF Z46-026 sont bien respectés.
Des informations sécurisées grâce à un processus en 4 phases
Une fois les documents numérisés, ces derniers font généralement l’objet d’un traitement visant à récupérer les données qu’ils contiennent, indexées et stockées par les organisations avant leur exploitation. C’est là qu’intervient la famille de normes ISO/IEC27001, titrée « Management de la sécurité de l’information », grâce à laquelle les professionnels peuvent assurer la sécurité des données sensibles. Bien que cette suite soit composée de 12 normes, l’ISO/IEC 27001, révisée en 2013, est probablement la plus utile.
C’est plus particulièrement elle qui détaille les exigences relatives à l’établissement, la mise en œuvre et la maintenance d’un système de management de la sécurité de l’information (SMSI). Dans ce sens, elle recommande de s’appuyer sur 4 étapes majeures :
- Phase d’établissement (elle-même découpée en 4 temps forts : la définition du périmètre du SMSI, l’élaboration de la politique de sécurité après évaluation des risques, la gestion des risques, et le choix des mesures de sécurité à déployer) ;
- Phase d’implémentation ;
- Phase de maintien ;
- Phase d’amélioration.
À l’instar des autres normes ISO, il est également possible de demander une certification selon l’ISO/IEC 27001, spécifiquement pour les prestataires de services, qui peuvent dès lors démontrer qu’ils respectent bien les exigences de la norme. Cette certification est, bien entendu, à renouveler tous les 3 ans.
Mieux anticiper les risques documentaires grâce à une analyse appropriée
Si l’ISO/IEC 27001 peut être efficace pour se prémunir contre les risques liés au traitement des informations personnelles, il convient de se référer à d’autres textes pour ce qui est du risque documentaire. Communément, l’analyse de ce type de risque est présentée sous une version simplifiée, dans laquelle les risques sont classés selon la gravité de leur impact et leur occurrence au sein de l’organisation.
Cependant, la norme ISO/TR 18128, datant de 2014, fournit davantage de détails quant à l’évaluation du risque pour les processus et systèmes d’enregistrement, comme le précise son titre. Elle propose ainsi plusieurs tableaux visant à mieux anticiper, identifier et éviter les risques qui peuvent survenir en se basant sur :
- Leur probabilité :
- Rare – une fois tous les 10 ans ou moins ;
- Faible – une fois tous les 3 ans ou moins ;
- Moyenne – une fois par an ;
- Forte – plus d’une fois par mois.
- Leur impact :
- Mineur : violation anormale des restrictions d’accès, endommagement de fichiers stockés sur une zone d’opérations, perte limitée de données, système restaurable, etc. ;
- Modéré : accès non autorisé aux documents numérisés ou aux données, endommagement de fichiers stockés sur plus d’une zone d’opérations, perte de données et endommagement de la fiabilité des données et du système, documents et système récupérables avec effort mais sans perturbation des activités, etc. ;
- Majeur : accès non autorisé à des documents confidentiels, perte de données, endommagements de la fiabilité des données et du système, dommages à la réputation de l’entreprise, opérations de récupération coûteuses, perturbation des activités, perte de documents, etc. ;
- Sévère : perte globale suite à un piratage ou des dommages, endommagement de fichiers stockés dans de nombreuses zones d’opérations, perte de données, endommagement de la fiabilité des données et du système, scandale médiatique, récupération longue et très coûteuse des fichiers, arrêt des activités, perte de nombreux documents, etc.
La norme propose également une grande variété de natures possibles pour les risques, qui peuvent être liés aux événements de contexte (réglementation, sécurité, etc.), aux événements systèmes (maintenance), ou encore aux process (métadonnées, utilisation des documents, etc.). Autant de risques qu’il est d’ailleurs possible de traiter selon les recommandations de la norme ISO/IEC 27001, citée précédemment. Celle-ci liste en effet 4 traitements possibles : l’évitement, la réduction, le transfert ou l’acceptation.
Quid du stockage et de l’archivage ?
Figurant parmi les dernières étapes du cycle de vie d’un document, le stockage et l’archivage électronique font également l’objet de normes précises. Depuis juillet 2012, la NF Z42-020 liste ainsi les spécifications fonctionnement d’un composant coffre-fort numérique dédié à la conservation d’informations numériques dans le respect de leur intégrité. De ce fait, la norme est avant tout réservée aux éditeurs, concepteurs ou intégrateurs, de même qu’aux consultants et auditeurs. Ses spécifications respectent par ailleurs les exigences de la norme NF Z42-013 d’octobre 2020, qui précise quant à elle les recommandations et exigences fonctionnelles, organisationnelles et de sécurité pour la conception et l’exploitation d’un système d’archivage électronique (SAE). De nombreuses thématiques y sont traitées, à l’instar du versement, la conservation, l’accessibilité, ou encore la restitution et l’interopérabilité du SAE.
L’archivage électronique fait cependant l’objet de nombreuses autres normes. Révisée en 2018, l’ISO 14641 se veut la version internationale de la NF Z42-013, revenant sur les spécifications techniques et organisationnelles à mettre en œuvre pour la capture, le stockage et l’accès aux documents électroniques. De son côté, l’ISO 14721:2012 (ex-norme OAIS – système ouvert d’archivage de l’information) définit le modèle de référence pour la conception d’un OAIS, c’est-à-dire un système dédié à l’archivage et à la préservation des documents numériques sur le long terme. Ce texte revient également sur le fonctionnement d’un SAE, proposant un schéma conceptuel de celui-ci. La famille de la norme ISO 19005, quant à elle, aborde plus spécifiquement le format PDF/A, requis pour l’archivage et la conservation dans la durée des documents numériques. Avec le temps, l’ISO 19005-1 a été suivie de parties 2 et 3 afin de s’adapter aux améliorations techniques et fonctionnelles du PDF/A.
Enfin, une certification Afnor vient garantir la fidélité, l’intégrité, la pérennité et la traçabilité des documents archivés : la NF 461. S’adressant aux organisations disposant d’un SAE conforme à NF Z42-013 ou à l’ISO 14641, ce référentiel atteste de la conformité du système d’archivage et, in extenso, de la valeur d’origine des documents numériques. Elle contribue par ailleurs à renforcer la confiance des utilisateurs internes et des clients de l’organisme certifié, ce qui représente un avantage non négligeable dans un monde régi par le RGPD.
Pour tout savoir sur les technologies contribuant à la confiance numérique, les comprendre et les adopter, téléchargez ici notre Supplément gratuit.