PCI DSS Roadshow Paris juillet 2013 1

Dématique*, stockage, archivage … gouvernance !Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l’ILM du Stockage et de l’Archivage) Analyste au BIT Group

* Dématique : Contraction de dématérialisation et d’informatique, la dématique correspond à l’action de dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la dématérialisation des échanges et des processus métier en y incluant la composante légale.

PCI DSS Roadshow Paris juillet 2013 2

Actualité FedISA

8 ans déjà

PCI DSS Roadshow Paris juillet 2013 3

Mission / Objectifs / Actions Mission: garant de l’état de l’art dans le domaine du

management des données numériques Objectifs:

Développer le marchéAssurer une veille juridique et technique

Actions: (informer et assister les utilisateurs)CommissionsEvènements (+province) : congrès, petits

déjeuners ou soirées, conférences, …Ouvrages: livres blancs, guides pratiques, dossiersFormations avec DEMATEUSLa lettre mensuelle de la dématique (n°14)Un nouveau journal « Eco réseau »

PCI DSS Roadshow Paris juillet 2013 4

E-learningSensibilisation à la démat

PCI DSS Roadshow Paris juillet 2013 5

Une association représentative Une véritable reconnaissance avec :

Des adhérents de renom publics et privés (IN, CNP, Orange, EMC, IBM, Symantec, Atos, RSD, Cryptolog, …)

Une participation très importanteLa production de travaux de qualité

Présence internationale qui s’intensifie :FranceLuxembourgMonacoBelgiqueCanadaIrlande UKSuisse

PCI DSS Roadshow Paris juillet 2013 6

Dématique, stockage, archivage … gouvernance !

1. Introduction2. Pourquoi ?3. Contraintes4. Méthodologie5. Application à PCI DSS

PCI DSS Roadshow Paris juillet 2013 7

Les 3 niveaux de la dématiqueDEMATERIALISATION

des supports : numérisation de documents existants

des échanges : développement des e-mails, recommandés électronique, télé travail, …

des processus métier : (évolution de l’informatisation) E-administration : téléTVA, téléIR, téléActe, appels

d’offres, monservice-public.fr, … Entreprises : factures, contrats, … Europe : chronotachygraphe, …

PCI DSS Roadshow Paris juillet 2013 8

mémoire historique

(1-5%)

V1 discutéeV2 diffuséeV3 annule et remplace V2

court terme de 1 an à 100 ans…

figé

chaîne de confiance

Document management

Records management

Patrimoine

Le L de ILM: Life Cycle (Cycle de vie)

Enterprise content management

PCI DSS Roadshow Paris juillet 2013 9

Une évolution naturelle ILM Stockage Archivage

Dématique Conservation de

données numériques Gouvernance

PCI DSS Roadshow Paris juillet 2013 10

Stockage, archivage

Pourquoi archiverOriginesDe quoi parle-t-on ?

PCI DSS Roadshow Paris juillet 2013 11

Pourquoi archiver ?Répondre à ses obligations légales et

réglementaires éviter de perdre

Réagir / augmentation des volumes (trop d’information tue l’information – constat d’impuissance! Pb de qualité de l’info) ne pas s’appauvrir

Garder la trace, sécuriser un savoir-faire préserver et enrichir son patrimoine « informationnel », véritable capital immatériel de toute organisation

RETROUVER

PCI DSS Roadshow Paris juillet 2013 12

Les origines de l’archivage

ARCHIVAGENumérique Papier

Dématique

Rationalisation Obligations

Sécurisation Patrimoine

PCI DSS Roadshow Paris juillet 2013 13

Archivage électronique ?

N’est pas une simple transposition (dématérialisation) de l’archivage traditionnel papier en électronique

Correspond à une nouvelle organisation des données dans l’entreprise (notion de cycle de vie, ILM)

Impacte fortement le système d’information, en fait partie intégrante, d’où son aspect stratégique

Doit être pris en compte très en amont

PCI DSS Roadshow Paris juillet 2013 14

Doit-on encore parler d’archivage?

Des données numériques qui doivent : être conservées + ou - longtemps être sécurisées de façon adaptée:

risque / valeur de l’info être retrouvéesPérennité : nouveau critère sécuritaire ?

Conservation sécurisée de données numériques, à l’intérieur du SI

PCI DSS Roadshow Paris juillet 2013 15

Contraintes

TechniquesLégalesSécuritairesOrganisationnelles

PCI DSS Roadshow Paris juillet 2013 16

Contraintes techniques de l’archivage(risques)

Formats logiques Intelligibilité (données impossible à interpréter)

Supports Pérennité (perte information) Intégrité (donnée non fiable)

Migrations Support (impossibilité de relire) Format (impossibilité de traduire en clair)

Signature électronique Validité dans le temps Obsolescence cryptographique (perte de fiabilité et

d’identité)

PCI DSS Roadshow Paris juillet 2013 17

Les supports de demain Retour à la pierre !

Quartz, 40 Mo/i2 contre 35 pour un CD. Lisible par microscopique optique mais fragile aux chocs.

Nouveauté en matière optique le HVD pour Holographic versatile disc est une technologie de

disque optique qui peut contenir jusqu’à 3,9 To d’information soit 5.800 CDs ou 830 DVD ou encore 60 Blu-ray !

Les évolutions du magnétique Seagate a atteint 1To/i2 et on annonce des disques de 3,5

pouces avec jusqu’à 60 To ! La révolution côté vivant ?

6 Mo dans 337 picogramme (10-12) d’ADN. Les chercheurs annoncent 2 po dans un seul gramme.

PCI DSS Roadshow Paris juillet 2013

Le juge décide seul pour dire si un document est recevable en tant que preuve ou élément de preuve.

L’archivage « légal » n’existe pas à proprement parler.

Contraintes légales

Equivalence des documents signés électroniquement avec l'écrit papier

PCI DSS Roadshow Paris juillet 2013 19

Conditions valeur probanteRespect des conditions légales prescrites par les textes :

Intelligibilité, peu importe la forme de l’information, l’essentiel est qu’elle soit restituée de façon intelligible par l’homme et non par la machine

Identification de l’auteur Garantie d’intégrité (du contenu

informationnel) traçabilité Pérennité, respecter les durées de

conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions

PCI DSS Roadshow Paris juillet 2013 20

Contraintes sécuritaires Disponibilité, communication Intégrité Confidentialité, contrôle d’accès,

habilitation Traçabilités, conservation des traces Pérennité, durée de conservation Identification, authentification

PCI DSS Roadshow Paris juillet 2013 21

Contraintes / système d’information

L’archivage électronique fait partie intégrante du SI qui: Supporte l’ensemble des processus métiers S’ouvre vers un plus grand nombre

d’utilisateurs Progresse au niveau de ses capacités de

stockage et de traitement

Le SI passe d’une logique de collecte des données à une logique de productiond’informations... de valeur !

PCI DSS Roadshow Paris juillet 2013 22

Premières briques méthodologiques

Grands processus d’archivage Aspect pluridisciplinaire Politique d’archivage

PCI DSS Roadshow Paris juillet 2013 23

Grands processus de l’archivage

Système d’Archivage Electronique (SAE)

2- Conserver l’intégrité jusqu’à la destruction

! 4- Tracer l’ensemble des opérations effectuées, sécuriser les traces.

3- Mettre l’information à disposition des

utilisateurs

1- Identifier, capturer et

classifier ce qui ne doit plus être modifié

PCI DSS Roadshow Paris juillet 2013 24

Aspect pluridisciplinaire dématique et conservation de données numériques

Technique :Répondre au paradoxe de devoir utiliser pour de longues

périodes des technologies à l’obsolescence rapide.Organisationnel :Bien définir ses besoins très en amont afin d’avoir la

garantie de pouvoir retrouver l’information désirée ultérieurement. Mettre en œuvre une véritable gestion de projet.

Juridique :Tenir compte des obligations légales et réglementaires

afin de pouvoir faire valoir des documents numériques en cas de besoin.

Aspects pluridisciplinaires exigent une collaboration transverse indispensable

PCI DSS Roadshow Paris juillet 2013 25

Aspect transverse de la dématique et de la conservation de données numériques

Complétude des processus :Traiter les processus dans leur ensemble. Ne pas négliger

l’amont ou l’aval d’un processus sous prétexte qu’il se déroule en dehors de l’organisation.

Transversalité des projets d’AE :Aborder le projet de façon transverse, éviter de raisonner

en silo, à prendre très en amont de tout projet.

Vision globale :Réunir dès le départ l’ensemble des compétences

nécessaires, avoir une vision globale pour ensuite planifier une mise en œuvre progressive.

PCI DSS Roadshow Paris juillet 2013 26

Un document n’est pas seul !Méta données d’informationsVéritable identité numérique

Index Format Origine…

Méta données de gestion Durée de conservation Protection Migration, conversion…

Document(contenu informationnel)

PCI DSS Roadshow Paris juillet 2013 27

Savoir relier : données/documents - systèmes

Sécurité Disponibilité Intégrité Confidentialité Preuve/traçabilité

DONNEES

SYSTEME

Service Ouverture service Dispo verst, interro Durée Destruction SE

PCI DSS Roadshow Paris juillet 2013

La politique d’archivage (outil de gouvernance): élément charnière, interface indispensable entre :

lois, réglementations, systèmes informatiques

(techniques et sécurité adaptée)

La politique d’archivage

PCI DSS Roadshow Paris juillet 2013

Les trois couches d’un SAE

Le coffre numérique : le socle

Les couches métier : l’opérationnel

La couche gouvernance : les règles

L’infra avec différentes solutions techniques/niveaux sécurité-service

PCI DSS Roadshow Paris juillet 2013

Intérêt de la « certification » La loi fait référence à l’état de l’art (state of the art). Les normes peuvent représenter l’état de l’art à partir du

moment où elles sont représentatives et évolutives Les différents niveaux de « conformité » :

Autodéclaration Conformité par un tiers (technique et juridique) Référencement Labellisation (dépend de la légitimité de l’organisme) Certification par un organisme tiers, lui-même accrédité

(portée internationale) Agrément

La certification représente le niveau de garantie le plus élevé que l’on puisse présenter à un juge concernant la « fiabilité » de son système.

PCI DSS Roadshow Paris juillet 2013 31

Protéger les données de titulaires de cartes stockées

(condition 3)

PCI DSS Roadshow Paris juillet 2013

(3.1) Conservation des données carte

Stockage des données : politique de conservation et

d’élimination procédures correspondantes

PCI DSS Roadshow Paris juillet 2013

Définition des : données stockées délais de conservation processus d’élimination

(fréquence trimestrielle) conditions de conservation

(DICP)

(3.1.1) La politique d’archivage

PCI DSS Roadshow Paris juillet 2013

(3.2) Ne stocker aucune données d’authentification

Si de telles données sont reçues : Protection sécurisée si

« vraiment » nécessaire Processus d’élimination sans

récupération possible des données

PCI DSS Roadshow Paris juillet 2013

Ne pas stocker (3.2.1) contenu complet

d’une piste (3.2.2) valeur de vérification (3.2.3) code PIN

PCI DSS Roadshow Paris juillet 2013

Gestion du PAN (3.3) Masquer à l’affichage, sauf

pour les personnes qui en ont l’utilité

(3.4) Illisible au niveau stockage y compris sur support numérique portable, jeux de sauvegarde et journaux

+ gestion des clés

PCI DSS Roadshow Paris juillet 2013 37

Conclusion

PCI DSS Roadshow Paris juillet 2013 38

Nécessité de gouverner l’information, pour :

Mettre en œuvre des infrastructures Classifier/organiser les données Prendre en compte le cycle de vie

de l’information Assurer la qualité de l’information Administrer des politiques Gérer les risques et la conformité … Créer de la valeur

Etre efficace, … être compétitif

PCI DSS Roadshow Paris juillet 2013 39

Merci pour votre attention

jm.rietsch@fedisa.eu

www.fedisa.eu