Archives de Tag: FEDISA

Archivage électronique et ISO 27000

FEDISA Jeudi 26 Mai, l’association FEDISA fait le point sur l’intérêt de l’application des normes ISO 27000 dans le cadre de l’archivage électronique, interne au entreprises ou externalisé chez un tiers de confiance. Elle va même au-delà en affirmant que cette série des normes relative à la sécurité constitue un pré-requis à l’archivage électronique. Sur ce point les D&IM ne peuvent que partager le point de vue de l’a FEDISA et rappeler l’obligation des organisation à s’aligner sur l’état de l’art pour offrir les meilleures garanties.

Après avoir rappelé que les critères d’appréciation sont souvent différents entre les experts techniques et les experts juridiques, quelques normes sont mentionnées et repositionnées:
TRAC – Trustworthy Repositories Audit and Certification (NARA)
ISO 30301 – Information et documentation – Système de management des informations et des documents – Exigences
ETSI TS 101 456 – Policy requirements for certification Authorities issuing qualified certificates
ISO/IEC 27000:2009 Information technology – Security techniques – Information security management systems – Overview and vocabulary
ISO/IEC 27001:2005 Information technology – Security techniques – Information security management systems – Requirements
ISO/IEC 27002:2005 Information technology – Security techniques – Code of practice for information security management
ISO/IEC 27003:2010 Information technology – Security techniques – Information Security Management Systems Implementation Guidelines
ISO/IEC 27004:2009 Information technology – Security techniques – Information Security Measurements and Metrics
ISO/IEC 27005:2011 Information technology – Security techniques – Information security risk management
ISO/IEC 27006:2007 Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems

Il est intéressant ensuite de comprendre, sur la base d’explication détaillée sur le processus de certification, comment l’on peut certifier l’application de ces normes en bonne et due forme.

Mais le plus intéressant reste à venir…

image La FEDISA publie un exemple d’analyse de certification d’un tiers de confiance imaginaire: ARP et met en évidence le besoin d’aller au-delà des normes pour garantir les archives électroniques selon les critères de: Disponibilité, Intégrité, Confidentialité et Traçabilité. C’est ainsi que l’a FEDISA définit un sur-ensemble des normes 27002 et 27005 pour traiter plus précisément de l’archivage électronique et propose une méthodologie d’appréciation du risque extrêmement pertinente.

Alors que nombreux sont ceux qui parlent d’archivage électronique à force probante en oubliant souvent de décrire comment la conservation est réalisée et protégée… l’approche relatée dans ces  quelques lignes est la bienvenue.
Il est aussi très clair que les travaux menés et restitués avec une telle qualité ne peuvent et ne doivent pas être ignorés par les D&IM (ni par les Documestre) qui vont dorénavant s’appliquer à faire prendre en compte la certification ISMS (Information Security Management System) au sein de leur organisation, sans omettre un petit passage par l’extension ‘ARP’ de la FEDISA.

Jean-Pierre BLANGER
Membre Aproged et Clusif
Directeur R&D Ricoh

Publicités

Congrès FedISA du 25 janvier 2011

« 10 ans de dématérialisation et d’archivage électronique : encore tant à faire ! »

FEDISA La semaine passé a eu lieu le 4è Congrès de la FedISA qui a réuni près de 400 personnes à Paris, preuve de la rencontre opportune de l’efficacité renouvelée de l’organisation et de l’actualité des sujets abordés.
Le thème en était « 10 ans de la dématérialisation et d’archivage électronique:  encore tant à faire ! », et le congrès était donc un moment de respiration bienvenu pour en envisager les 10 prochaines années.

Deux lignes de réflexion future furent soulevées.
. La dématérialisation est par essence internationale et les cadres juridiques sont nationaux. Il y a là une complexité qui freine le marché tant du côté de l’offre (gestion de la complexité) que de la demande (incertitude quant au cadre juridique).
. Lié a cela se retrouve souligné le rôle du citoyen dans un monde très (trop) technique qui échappe à la compréhension de l’homme normal, le citoyen électeur.

démat Dans son discours introductif, M. Jean-Marc Rietsch – Président de la FedISA –  a exprimé ses réserves quant au terme de « dématérialisation » qui est compris comme une simple numérisation de documents papier existants. Il place l’enjeu sous le vocable « Management des données numériques » qui recouvre, en plus des réalités techniques, les aspects juridiques, de développement du marché, et de manière explicite et globale de gouvernance numérique. On voit bien que l’on quitte le « pareil » numérisé vers une dynamique différente, plus forte mais aussi plus dérangeante. Elle est propice et aux bouleversements et aux succès.

Son intervention a été suivie par celle de M. Bernard DUBS (du BIT GROUP) qui a esquissé une analyse pertinente et remarquable de l’«Entreprise Numérique 2020». donnéesnum Pour lui il s’agit d’un aboutissement d’une période (1970/80) d’équipement initial sous le primat de la Technique et de la Production, puis de l’arrivée lors du renouvellement de ceux-ci (1990/2000) au pouvoir de la Demande et du Marketing générant des organisations matricielles, pour arriver à une période (à notre avis déjà entamée) de Demande Volatile, qui entraîne les fameuses organisations en réseau entre Clients, Partenaires et Fournisseurs agrégeant des offres évolutives et personnalisées. En venant d’une simple gestion de l’Information, on se dirige vers une élaboration de la Connaissance via « un puits central numérique et d’énergie IT ».

Pour les intervenants suivants, cet afflux (explosion ?) de données parait très gérable. Ils n’ont pas tort car les moyens techniques qu’ils proposent permettent de le faire à un coût raisonnable.  Mais il est sous entendu qu’il faut un minimum d’organisation pour résoudre le problème.

Du point de vue du D&IM c’est là un problème de fond. Entre le discours incantatoire de l’organisation souhaitable (je ne parle même pas d’idéal) et la réalité terrain quotidienne très éloignée de cela, il nous semble essentiel de combler le fossé. C’est une clé de la performance future des entreprises pour leur donner flexibilité réactivité et performance économique. Précisément le D&IM sera au croisement de ces enjeux par sa compréhension stratégique de l’efficacité de l’entreprise.

Une dizaine de présentations (voir la liste ci-après), toutes forts intéressantes, et couvrant les domaines techniques, organisationnels et juridiques ont suivies pour réaliser un Congrès professionnel et réussi.

Jean-Louis de la Salle                                       Alexis Blum
Vice-président Xplor                                       Consultant
Aurea Performance SAS                                Membre Xplor

Si vous désirez recevoir les présentations PowerPoint des différents intervenants, merci de les demander  par mail à la FedISA:
1. Dématérialisation de factures, enjeux et solutions, Thierry Blanc (STS Group)
2. Archivage des e-mails, Alain Heurtebise (Messaging Architects)
3. Signature électronique, rétrospectives et enjeux, Thibault de Valroger (Keynectis)
4. L’horodatage au service de l’archivage, Julien Stern (Cryptolog)
5. Quelle gouvernance face a l’augmentation des données et des contraintes règlementaires, (Sair Naji)
6. Archivage électronique, historique et exemples, Dominique Lhopital (Arcsys Software)
7. Le dépôt électronique notarial, Jacques Binard (Chambre des Notaires de Paris)
8. Dématérialisation et automatisation des flux entrants et sortants, Bruno Lamard (ACMN VIE), Alain Navaro (Kofax)
9. Collectivités et RGS, Francis Kuhn (Sictiam), Florence Esselin (ANSSI)
10. Financement du risque, Jean-Laurent Santoni (Gras Savoye Sageris)

Cloud, nuage ou mirage, qu’en est-il pour la gestion de contenu ?

Matinée FEDISA et présentation EMC² du 14/12/2010

Fedisa_ Après une présentation de synthèse de la FEDISA, la présentation EMC² fait partie des nombreuses présentations d’endoctrinement au « cloud computing » qui ont cours aujourd’hui, à l’adresse des responsables informatiques.

image Pour EMC², les besoins exprimés par les DSI dans le « cloud computing » se situent au niveau du SAE et des applications de travail collaboratif.

Le « cloud computing » est une réelle possibilité technique. Elle est présentée par EMC² comme une solution facile et rapide à mettre en œuvre mais les problèmes, réels eux aussi, sont passés sous silence ou minimisés:
–    Contrôle des accès,
–    Confidentialité (séparation des espaces),
–    Intégrité des contenus,
–    Fiabilité du stockage.
image Autant de points objets de la proposition de Work Item de l’ISO :  ISO/IEC JTC 1/SC 27 N9444 – New Work Item Proposal on Storage Security.

La présentation était très ambitieuse  et l’affirmation forte: avec le « cloud computing » il est possible quasiment de tout faire. Mais EMC² reste très léger sur des points précis: par exemple sur l’archivage, avec l’affirmation de la mise en œuvre du cryptage pour l’archivage alors que rien de tel n’est recommandé sur le long terme. Une question sur la fiabilité des moyens de stockage est aussi restée sans réponse.

On peut se demander pourquoi les éditeurs et les fournisseurs américains insistent aussi lourdement pour que les entreprises déposent dans leurs serveurs tout leur patrimoine intellectuel : archives et espaces collaboratifs, sachant que sans doute, la NSA impose aux éditeurs américains la présence de « back doors » dans leurs logiciels.

A chacun de juger…

Gérard GODART
Consultant
CONCEPT DOC

Archivage Electronique, Cloud Computing et valeur probante

Un intéressant Petit Déjeuner a eu lieu ce matin Mardi 28 septembre 2010 sous la houlette de la FEDISA et qui avait pour titre: Archivage Électronique, Cloud Computing et valeur probante.

Microsoft Participaient à cette manifestation Microsoft dont les interventions sur le Cloud sont toujours attendues et CIMAIL qui présentait son produit Easyfolder SAE qui s’intègre dans SharePoint 2010.

Fedisa_ La FEDISA par l’intermédiaire de son Vice Président a rapidement rappelé les enjeux. Puis est venue la présentation de Microsoft qui a été un peu décevante. Il s’agissait d’une avalanche de slides produits (record battu de 47 en 20 minutes !!!) et n’avait que peu avoir avec le thème de la manifestation. On attendait plutôt quelque chose qui montrait que Microsoft comprenait les enjeux du Cloud en particulier en termes de localisation de données et donc d’engagement contractuels associés.

Cimail Enfin CIMAIL Solutions  a fait une présentation très propre en trois parties. Un premier intervenant a bien décrit les questions que pose le Cloud en matière d’archivage, un deuxième a présenté des cas concrets de déploiement même s’il n’apparaissait pas clairement que l’on faisait appel à la valeur probante dans un Cloud. Enfin une série de Questions&Réponses a permis d’échanger avec la salle où les questions ont porté sur la mise en œuvre de tels systèmes, de leur stabilité dans le temps et de leur réversibilité si on désire changer de fournisseur.

Les présentations sont à obtenir auprès de la FEDISA.

Jean Louis de LA SALLE
Consultant
Vice-Président XPlor