1. Preuve & Sécurité
Cloud computing :
Défis ou opportunités
pour les archives ?
Jean-Daniel ZELLER
Archiviste principal, Hôpitaux universitaires de
Genève
Enseignant à la Haute école de gestion de Genève
(département I&D)
2. Définitions actuelles:
Business Process
as a Service
Software as a Service
Plateform as a
Service
Infrastructure
as a Service
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
Archiving
as a Service
3. Typologie 1
Nuage public
Les services de nuage public permettent à l'infrastructure d’être utilisé par le
grand public et ils offrent aux utilisateurs les avantages d'évolutivité
rapide et d’une faible mise en place initiale des coûts. Google Apps est une
suite d'applications SaaS populaire mis à disposition à travers un nuage
public.
Nuage privé
Un nuage privé est possédé et exploité par un organisme ou un tiers pour le
compte d'une organisation. Pour cette raison, la plupart des avantages de
l’infrastructure infonuagique tels que l'externalisation de l'infrastructure
informatique et les économies d'échelle seront moins évidents, toutefois
les risques de sécurité et les goulots d’étranglement dans le transfert des
données peuvent être atténués.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
4. Typologie 2
Nuage Communautaire
Avec les nuages communautaires l'infrastructure fournie est réservée à l'usage
exclusif d'une communauté spécifique d'organisations qui ont partagé leurs
préoccupations. Comme l'accès est restreint à des utilisateurs particuliers, les
nuages communautaires peuvent présenter des risques de sécurité moindre que
les nuages publics, mais avec des économies d'échelle plus limitées, ils ont
tendance à être moins souple pour s'adapter aux besoins des utilisateurs et les
coûts peuvent être plus élevés.
Nuage hybride
Les nuages hybrides sont une composition de deux ou plusieurs infrastructures en
nuage distinctes (privé, communautaire ou public) qui, tout en restant distincts,
sont interconnectés pour permettre le transfert de données. Un nuage hybride
privé-public peut être utilisé pour stocker des données sensibles en interne tandis
que le stockage d'autres données est sous-traité.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
5. Quel avenir ?
J’ai un problème pour vous dire
quel est votre futur dans
l’informatique, tout ce que je
peux voir c’est des nuages!
cloud et archives
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
6. Les usages du cloud en 2012 (Gartner)
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
7. Questions de base
Quelles garanties offre le cloud en terme de :
•
•
•
•
Fiabilité - Sécurité
Continuité de services
Migration
Protection des données personnelles
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
8. Protection des données et cloud
• Les prestataires américains (qui forment l’essentiel des
prestataires de services en nuage) sont soumis au Patriot Act
et au FISAA qui rendent illusoire la protection des données
personnelles au sens européen.
• Conséquence : ne pas mettre de données personnelles dans
le nuage public
• Voir recommandations de la CNIL
(public-cible : entreprises)
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
9. Réponses possibles 1
Des nuages privés nationaux :
• Offres Numergy et Cloudwatt, en France
• Projet de politique de nuage de la Confédération
Suisse
• Projet de nuage sécurisé subventionné par le
ministère de l’économie allemand (Sealed Cloud)
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
10. Réponses possibles 2
cloud et archives
Transcription
cryptée
Base de
données
cryptée
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
Traitement
étanche
11. Sécurité du cloud – Qui a le contrôle ?
9 sociétés sur 10
pensent que la
sécurité des données
relève de la
responsabilité de leur
cloud et archives
fournisseur de
services cloud !
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
12. Faisabilité archivistique 1
Les propositions réglementaire et procédurales
• Un certains nombre d’autorités archivistiques ont émis des
recommandation quant à l’usage des services en nuages.
• Elles disent toutes que cet usage n’est pas exclu, mais les
précautions contractuelles qu’elles proposent reviennent de
fait à exclure l’utilisation de ces prestations.
• Voir, Regard de Janus :
http://regarddejanus.wordpress.com/2011/07/17/archivistiq
ue-et-informatique-en-nuage-archiving-and-cloud-computingpremier-episode-%E2%80%93-recommandations-denouvelle-galles-du-sud-australie/
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
13. Faisabilité archivistique 2
Propositions organisationnelles
Le JISC anglais a effectué une évaluation des types de contenus
hébergeables dans le nuage. Bien que consacré aux données
issues du monde académique, leur analyse peut être
transposables aux autres organisations publiques.
Après une analyse de l’offre disponible le rapport fourni un
tableau des caractéristiques vantées du nuage (élasticité, service
à la demande, accessibilité, intégrité des données, sécurité des
données, optimisation des ressources, responsabilité, goulets
d’étranglement) et de leur pertinence en terme de conservation.
Voici quelques unes de leur conclusions :
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
14. Faisabilité archivistique 2
Propositions organisationnelles
Quelles sont les tâche de curation le plus viables dans
le nuage ?
La capacité d'obtenir et de transférer rapidement des
ressources informatiques, peut être appropriée pour
les tâches peu fréquentes et intensives.
Toutefois, si la tâche implique le transfert de gros
volumes de données, alors le nuage devient moins
approprié.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
15. Faisabilité archivistique 2
Propositions organisationnelles
Quel modèle de service (privé-public)
convient-il le mieux ?
Le modèle public représente des risques qui font pencher vers le
modèle privé, ce qui diminue les avantages économiques du
cloud.
Une solution infonuagique commerciale peut être utile pour les
opérations par lots rares sur les données stockées ailleurs, mais
elle peut être inappropriée pour le stockage de données
sensibles ou personnelles.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
16. Faisabilité archivistique 2
Propositions organisationnelles
Quels sont les risques et les avantages ?
Déplacer de grands volumes de données depuis et vers
le nuage peut être difficile et si ce stockage est à
l'extérieur de l'organisation propriétaire des données,
et en particulier si elle est dans une juridiction
différente, elles peuvent être exposées à d'importants
risques juridiques.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
17. Faisabilité archivistique 2
Propositions organisationnelles
Est-ce que le nuage en-soi pose des problèmes de
conservation ?
L'adoption accrue des services en nuage à travers le
paysage informatique est susceptible de conduire à la
perte de données et à l'inaccessibilité dans certains cas,
comme une conséquence des nombreux facteurs
commerciaux et technologiques en jeu
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
18. Faisabilité archivistique 3
Propositions techniques
Preserving Records in the Cloud.
Etudes japonaise sur les couches du nuage et le modèle OAIS
Le concept en couche rend le nuage compatible avec OAIS
moyennant certains aménagements. L’avantage avancé et
l’existence dans un même dépôt virtuel des archives courantes
et définitives, ce qui réduit le processus de versement à un
simple transfert d’URI et l’ajout de métadonnées.
La correspondance entre les deux monde pourrait être assurée
par un « Packager » que l’équipe de recherche est en train de
développer, selon le schéma suivant :
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
20. La problématique des coûts
Dépenses mondiales de
logiciels de stockage en $
Dépenses mondiales de
matériels de stockage en $
Coût du Go sur
disque en $
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
21. Conclusions (provisoires)
En terme de pérennité et d’intégrité:
• En l’état, le cloud offre des fonctionnalités de
stockage, pas des fonctionnalités d’archivage.
• L’absence de garantie de réversibilité rend
quasiment impossible le transfert des données vers
un autre prestataire ou le contractant (vendor lockin).
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
22. Conclusions (provisoires)
En terme de sécurité et de traçabilité :
• Bien que le niveau sécuritaire des prestataires soit
parfois bien supérieur à celui des PME, les données
restent exposées à des pertes ou des ruptures de
service auxquelles les CGU n’offrent aucunes
garanties.
• La protection des données personnelles n’est
actuellement pas garantie compte tenu de la
soumission des prestataires au doit état-unien
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
23. La suite….
Blog Le Regard de Janus :
www.wordpress.regarddejanus.com
Catégorie :
Informatique en nuage et cloud computing
jean-daniel.zeller@hcuge.ch
22 mars 2013 - Forum AAF - Preuve et Sécurité
Jean-Daniel ZELLER
24. Preuve & Sécurité
Signature électronique et archivage à
valeur probante
Quelles solutions ?
Philippe Bazin
Avocat au Barreau de Rouen
pbazin@emo-hebert.com
25. Arrière plan de la question (1)
• Archiver = conserver
• Conserver pourquoi ?
– Archivage patrimonial
– Archivage probatoire
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
26. Archivage patrimonial
• Comment conserver ?
– Obsolescence des systèmes
– Obsolescence des supports
– Localisation des supports
– Durée de la conservation
• Conserver pour consulter
• Problématique centrale : l’intégrité dans le temps
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
27. Archivage probatoire
• Prouver devant qui ?
• Le juge
• Prouver quoi ?
– Fait juridique et liberté de preuve
– Acte juridique et légalité de la preuve
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
28. Evolution du régime légal de la preuve
Jusqu’ à la loi du 13 mars 2000
Depuis la loi du 13 mars 2000
Support papier
Indifférence des supports : papier ou
électronique
Original
Disparition de l’original au profit du fichier
natif
Signé
Identification et consentement
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
29. 1316
• La preuve littérale, ou preuve par écrit, résulte d'une
suite de lettres, de caractères, de chiffres ou de tous
autres signes ou symboles dotés d'une signification
intelligible, quels que soient leur support et leurs
modalités de transmission.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
30. 1316-4 al 1
Signature
• La signature nécessaire à la perfection d'un acte
juridique identifie celui qui l'appose. Elle manifeste le
consentement des parties aux obligations qui
découlent de cet acte. Quand elle est apposée par un
officier public, elle confère l'authenticité à l'acte.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
31. 1316-4 al 2
Signature électronique
• Lorsqu'elle est électronique, elle consiste en l'usage
d'un procédé fiable d'identification garantissant son
lien avec l'acte auquel elle s'attache.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
32. 1316-4 al 2
Signature électronique sécurisée
• La fiabilité de ce procédé est présumée, jusqu'à
preuve contraire, lorsque la signature électronique
est créée, l'identité du signataire assurée et l'intégrité
de l'acte garantie, dans des conditions fixées par
décret en Conseil d'Etat.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
33. 1316-1= égalité probatoire
• L'écrit sous forme électronique est admis en preuve
au même titre que l'écrit sur support papier, sous
réserve que puisse être dûment identifiée la personne
dont il émane et qu'il soit établi et conservé dans des
conditions de nature à en garantir l'intégrité.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
34. Le quadrille infernal
de la preuve légale
•
•
•
•
•
Problématique centrale de l’archivage probatoire
Intégrité
Identité
Traçabilité
Pérennité
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
35. L’impasse de la signature électronique
• L’imposture de la neutralité technologique
• L’impérialisme (vain) de la signature électronique
sécurisée
• La durée de vie limitée des certificats
• La damnation de la « re » signature
• L’astuce de la conservation limitée aux empreintes
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
36. Porter un regard nouveau sur l’archivage
probatoire
• Accepter l’idée d’une preuve « relative »
• Faire l’inventaire de ses besoins réels en preuve
« forte » (hypothèse et durée)
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
37. Gérer l’archivage probatoire comme un risque
• Pendre exemple sur les banques et les assureurs
• Mettre en place un système probatoire
proportionnel au risque encouru
• Accepter l’idée d’une signature électronique
« simple »
• Pour répondre à des besoins « simples »
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
38. Simplifier
• Prendre acte de l’impasse techno/économique de la
SES
• Etudier la proposition de règlement européen du 4
juin 2012
• « Identification électronique et services de
confiance »
• 3ème type de signature électronique : qualifiée
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
39. Relativiser
• Archivage et signature électronique : oui
• Mais pas exclusivement !!!
22 mars 2013 - Forum AAF - Preuve et Sécurité
Philippe BAZIN
41. Objectif du RGS
• Donner confiance dans les échanges numériques
– Renforcer et encadrer la sécurité des échanges
électroniques entre les usagers et les autorités
administratives, ainsi qu’entre les autorités
administratives.
⇛ Recueil de règles et de bonnes pratiques en matière
de sécurité des systèmes d’information
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
42. A qui s’adresse le RGS ?
• Autorités administratives
– ministères, établissements publics, organismes de
sécurité sociale, collectivités locales, etc…
• Professionnels qui les assistent dans la sécurisation
de leurs systèmes
– éditeurs de produits de sécurité, autorités de
certification, etc…
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
43. Le texte fondateur
•
Ordonnance 2005-1516 du 8 décembre 2005
– Chapitre IV : Dispositions relatives à la sécurité des informations échangées par voie
électronique entre les usagers et les autorités administratives et entre les autorités
administratives.
• Article 9
– Règles des fonctions d'identification, de signature électronique, de
confidentialité et d'horodatage
– Niveaux de sécurité (protection)
– Qualification de produits et de prestataires
• Article 10
– Validation de certificats électroniques pour l’identification
– Chapitre V : Dispositions relatives à l'interopérabilité des services offerts par voie
électronique.
• Article 12
– Référencement de produits et de prestataires pour les niveaux de sécurité
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
44. Le décret d’application
• Décret 2010-112 du 2 février 2010
– Application des articles 9, 10 et 12
– Pour un service donné, l’autorité administrative :
• Identifie les risques
• Fixe les objectifs de sécurité :
– Disponibilité
– Intégrité
– Confidentialité
– Identification
• Déduit les fonctions de sécurité et leur niveau
– Conformément au Référentiel Général de Sécurité
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
45. •
•
Les arrêtés
Arrêté du 6 mai 2010
– Approbation de la version 1.0 du référentiel général de sécurité
Arrêté du 18 janvier 2012
– Approbation de la version 1.0 du cahier des charges de référencement
– Conditions du référencement
⇛ Prestataires référencés
– Plusieurs en cours – Un référencé : Dhimyotis
Nom du produit ou de
l'offre
Emetteur
OID de la PC
Fonction
Niveau de
sécurité
Date de
référencement
Certigna
Authentification PRIS
***
Dhimyotis
1.2.250.1.177.1.12.1.3
Authentificatio
n
***
Juillet 2012
Certigna ID PRIS ***
Dhimyotis
1.2.250.1.177.1.8.1.4
Signature
***
Juillet 2012
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
46. Principes de la sécurité d’un SI (SSI)
• 6 grands principes :
– Adopter une démarche globale de sécurisation des systèmes
d’information
• Matériels, logiciels, organisation
– Gérer les risques SSI
• Méthode EBIOS de la norme ISO 27005
– Adapter la SSI selon les enjeux et les besoins de sécurité des autorités
administratives
• Guide relatif à la maturité du SI
– Élaborer une politique de sécurité
• Guide d’élaboration de politiques de sécurité des systèmes d’information
– Utiliser des produits et prestataires labellisés SSI
• Catalogue des produits qualifiés
– http://www.ssi.gouv.fr/fr/produits-et-prestataires/produits-qualifies/
– Viser une amélioration continue
• Démarche ISO 27001 adaptation continue aux menaces
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
47. Recommandations supplémentaires
• Intégrer la SSI dans le cycle de vie des systèmes
d’information
– GISSIP (Guide d’Intégration de la Sécurité des
Systèmes d’Information dans les Projets)
• Procéder systématiquement à l’homologation de
sécurité
– Homologation de sécurité par une autorité
d’homologation désignée par l’autorité
administrative
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
48. Fonctions et niveaux de sécurité
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
49. Structure du RGS
RGS 1.0
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
52. Organismes habilités au référencement
Organisme évaluateur
Statut
Habilité
depuis le 2
mai 2012
Identité
Point de contact
Portée
LSTI
http://www.lsti-certification.fr
PSCO *
* PSCO : prestataires de services de certification électronique (PSCE) délivrant des certificats
électroniques, destinés aux particuliers et aux agents de l’administration, conformes aux
exigences des niveaux ** et *** pour les fonctions de sécurité « Authentification » et « Signature »
tels que définis dans le RGS
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
53. Prestataires qualifiés
Agence de Services et de Paiement
Agence Nationale de Traitement Automatisé des Infractions
Agence Nationale des Titres Sécurisés
Assemblée Permanente des Chambres de Métiers
ATOS Worldline
Caisse des Dépôts et Consignations
CERTEUROPE
CERTINOMIS
Chambersign France
Click & Trust
Conseil Supérieur de l'Ordre des Experts Comptables
Conseil Supérieur du Notariat
Crédit Agricole Cards & Payments
CRYPTOLOG International
DHIMYOTIS
RGS 1.0
KEYNECTIS
Le Groupe La Poste
Ministère de la Justice et des Libertés
NATIXIS
SGTrust
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
54. Réglementation (rappel)
•
•
•
•
•
•
•
Arrêté du 18 janvier 2012 relatif au référencement de produits de sécurité ou d'offres de pr
Arrêté du 6 mai 2010 portant approbation du référentiel général de sécurité et précisant
les modalités de mise en œuvre de la procédure de validation des certificats
électroniques (dit "arrêté RGS")
Décret n°2010-112 du 2 février 2010 (dit "décret RGS")
Ordonnance n°2005-1516 du 8 décembre 2005 relative aux échanges électroniques
entre les usagers et les autorités administratives ainsi qu'entre les autorités
administratives
Arrêté du 26 juillet 2004 relatif à la reconnaissance de la qualification des prestataires de
services de certification électronique et à l’accréditation des organismes qui procèdent à
leur évaluation
Décret n°2001-272 du 30 mars 2001 pris pour l’application de l’article 1316-4 du code
civil et relatif à la signature électronique
Loi n°2000-321 du 12 avril 2000 relative aux droits des citoyens dans leurs relations avec
les administrations
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
55. Evolutions
• RGS 2.0
– adapter le Référentiel aux usages des autorités
administratives, au contexte et aux nouvelles missions de
l’ANSSI ;
– permettre la qualification de nouveaux types de
prestataires, dont les auditeurs;
– harmoniser les annexes avec les nouvelles versions des
normes ETSI correspondantes ;
– corriger ou préciser certaines inexactitudes ;
– rendre plus lisible les différentes annexes ;
– référencer les nouveaux textes de l’ANSSI.
22 mars 2013 - Forum AAF - Preuve et Sécurité
Michel THOMAS
56. Preuve & Sécurité
Le coffre-fort électronique :
positionnement de l’offre
par rapport au marché
Laurent PREVEL
APROGED
57. Angers, le 22 mars 2013
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
58. Système d’archivage à valeur probatoire
• Garantir la fiabilité de la capture, y compris
lorsqu’il s’agit de papier
• Identifier les documents
• Contrôler les droits des utilisateurs
• Garantir la conservation des documents :
pérennité, intégrité, sécurité, traçabilité
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
59. Système d’archivage électronique (SAE)
Politique et pratiques d’archivage
Procédures d’archivage
Procédures métiers
Capture
Gestion
Conservation
Stockage
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
Exploitation
60. SAE spécifié par la NF Z42-013 (2009)
Contrôles
Procédures
Technologies
Matériels
Logiciels
s ex A
Angers, le 22 mars 2013
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
61. Coffre-fort électronique ?
a) Coffre-fort électronique ?
b) Coffre-fort numérique (composant) ?
c) Service d’archivage via coffre-fort électronique ?
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
62. « Coffre-fort électronique »
• Composant technique destiné à conserver des objets
numériques, quelle que soit leur nature, en
garantissant leur intégrité à court ou long terme
• Fonctions de base (logicielles) : Déposer, Lire,
Contrôler, Détruire, Lister, Compter
• Doit être intégré dans un système capable de gérer
les documents déposés, par exemple un SAE
• Norme NF Z42-020 (2012) : CCFN, pour un
Composant Coffre-fort Numérique
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
63. SAE Z 42-013
CCFN Z 42-020
Contenus gérés
Documents avec
métadonnées (MD)
Objets numériques avec
MD techniques
Niveaux d’exigence
Oui
Non
Journalisation
Cycle de vie des archives et
événements du système
Cycle de vie des archives
Flux d’entrée
Documents nativement
numériques ou sur supports
physiques
Objets numériques
quelconques
Gestion de l’environnement
d’exploitation et sauvegarde
Oui
Non
Supports de stockage
WORM physique, WORM
Logique, Réinscriptibles
Réinscriptibles
Application à des tiers
Oui
Non significatif
Certification
Oui
Non
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
64. Des cas concrets vs. usages (risques)
• La dématérialisation de la facture
pour le particulier
• La dématérialisation du bulletin de
salaire pour le salarié
• La dématérialisation des notifications
pour le copropriétaire
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
65. 22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
66. Certification des SAE
• Marque NF 461 Archivage électronique
• Délivré par AFNOR Certification (Cofrac)
• Audit basé sur des règles élaborées à la demande du SIAF
en partenariat avec APROGED et FNTC
• En référence aux normes NF Z 42013 et ISO 14641
• Bénéficiaires
– Entités utilisant une solution d’archivage interne
– Entités agissant pour le compte de tiers dans une
position de prestataire de services
22 mars 2013 - Forum AAF - Preuve et Sécurité
Laurent PREVEL
Source:
How the Cloud is Transforming Business Process Management
Aditya Mony & Kalyan Raman
http://www.finyear.com/How-the-Cloud-is-Transforming-Business-Process-Management_a23351.html
Seul un quart des services cloud utilisés ressortent des fonctionnalités IaaS-PaaS–SaaS
30% ressortent du Business Process as a Service !!!
La partie publicitaire étant par essence volatile, elle n’intéresse pas l’archivage
Recommandations pour les entreprises qui envisagent de souscrire à des services de Cloud computing
Fighting cyber crime and protecting privacy in the Cloud, 2012
http://www.bakchich.info/sites/bakchich.info/files/article_files/fisaa_0.pdf
http://www.europarl.europa.eu/committees/en/studiesdownload.html?languageDocument=EN&file=79050
Voir:
Syntec numérique
LIVRE BLANC
SÉCURITÉ DU CLOUD COMPUTING
Analyse des risques, réponses et bonnes pratiques
Tableau Page 7
Et ITRnews.com
http://www.itrnews.com/articles/139084/9-societes-10-pensent-securite-donnees-releve-responsabilite-fournisseur-services-cloud.html
Digital Curation and the Cloud
Final Report
Brian Aitken, Patrick McCann, Andrew McHugh, Kerry Miller
Produced by the Digital Curation Centre for JISC’s Curation in the Cloud Workshop
Hallam Conference Centre
7th – 8th March 2012
http://www.dcc.ac.uk/sites/default/files/documents/Curation-in-the-Cloud_master_final.pdf
L’intérêt économique du cloud réside dans sa souplesse tarifaire, qui constitue un de ses principaux argument de vente. C’est pertinent pour les données de faible durée de stockage (à cause du gain sur le non-investissement de matériel/logiciels qui pourraient être inutilisés avant la fin de l’amortissement) mais cela n’a pas de sens pour l’archivage à long terme (l’amortissement à de toute façon lieu). D’après David Rosenthal, c’est vrai dès la fin d’amortissement des disques dur, estimés à 5 ans,
Voir:
David Rosenthal, Talk at Fall 2012 CNI
http://blog.dshr.org/2012/12/talk-at-fall-2012-cni.html?m=1
Option possible: le cryptage systèmatique, mais qui put le faire