Le coffre-fort électronique

Qu'est-ce qu'un coffre-fort numérique?

coffre-fort numérique

Le coffre-fort numérique est une solution de stockage d’information certifiée sans intrusion possible. Son objectif est de conserver les données qui y ont été ajoutées sans aucune transformation et de permettre la restitution à l’identique de ces données à un utilisateur accrédité. Il doit donc garantir avant tout l’intégrité des informations dans le temps. Il constitue la partie stockage d'un SAE.

Ce service est maintenant proposé au particulier, sous la forme d’un espace de stockage sécurisé nécessitant une identification, et dont les fonctions sont de récupérer automatiquement le type de documents que vous souhaitez lui confier, comme vos relevés bancaires, fiches de paie, factures, diplômes, papiers d’identité, documents administratifs ou fiscaux… Une fois configuré, cet outil aspire donc automatiquement les nouveaux documents produits par votre banque, par exemple, et les stocke sur votre espace sécurisé. Il s’agit de services simplifiés, qui n’intègrent pas de plan de classement rigoureux et des fonctionnalités multiples des coffres professionnels. Ils sont cependant fiables et avec une durée de conservation suffisante pour le particulier. Ils peuvent également s’avérer très utiles, en cas de cambriolage, d’incendie ou de simple perte.

Pour les entreprises, la somme documentaire est plus importante, les fonctionnalités sont plus complexes, plus nombreuses et parfois développées sur-mesure; la confidentialité doit être renforcée. La solution de coffre-fort électronique professionnel doit être préférablement confiée à un tiers archiveur, c’est l'offre que nous proposons ici.

Cette solution comprend :

  • Un abonnement annuel avec accès illimité aux documents en recherche full texte, hébergement, archivage électronique, sauvegarde, formation, maintenance du système.
  • La délivrance de certificats d’authentification de classe 3 pour les utilisateurs.
  • Dépôt de documents avec scellement par signature électronique.
  • Un accès Web HTPS sécurisé aux documents.
  • Liste d’inventaires.
  • Traçabilité , historique de toutes les actions.

En résumé, Les enjeux pour l’entreprise:

  • Assurer la conservation des documents à valeur probante, leur intégrité et pérennité.
  • Assurer la confidentialité des informations souvent vitales pour l’entreprise.
  • Accéder rapidement aux documents en toute sécurité depuis un simple accès Web.
  • Réaliser des économies de papier, de temps, d’argent.

Quel forme prend-il?

Le CFN s'utilise généralement en mode SaaS ("Logiciel en tant que Service"): il s'agit d'une interface logiciel accessible en ligne avec une clé d'authentification. Une fois logué, toute les fonctions sont accessibles de façon très intuitive et ergonomique.

Cette interface est reliée au service de stockage qui peut prendre 3 formes:

  • En local: des serveurs sécurisés sont intégrés dans vos locaux. Cette solution est plutôt choisie par les grandes entreprises donc les données sont tellement sensibles ou secret defense qu'elle ne souhaite pas les externaliser. Le coût sera élevé dans ce cas.
  • Chez un tiers archiveur professionnel: c'est la solution que nous conseillons pour la plupart des entreprises. Cette externalisation, idéale pour les TPE et PME, vous permet de ne pas avoir à gérer un niveau de sécurité très élevé en interne. Vous profitez d'un service incluant la maintenance, la mise à jour logicielle et la veille technologique. Le coût reste abordable car les ressources informatiques et la supervision sécuritaire sont mutualisés par l'archiveur.
  • Sur le Cloud en mode SaaS: plutôt utilisé pour les particuliers, la solution étant plus économique, mais le niveau de service et de sécurité sont moindre.

Les exigences de l’appellation.

L’appellation « Coffre-fort numérique » étant contrôlée par la CNIL, elle doit répondre à des critères stricts. Cette réglementation de 2013 impose notamment que l’hébergeur ne puisse pas accéder aux données qu’il doit sécuriser. Celles-ci doivent donc être cryptées et accessibles uniquement via une clé de déchiffrement par le client utilisateur. C’est pourquoi il ne faut pas confondre avec les stockages numériques classiques dont les serveurs ne proposent pas les mêmes garanties, et qui doivent être réservés aux fichiers non sensibles.

Le tiers de confiance qui constitue le prestataire de ce service s’engage à mettre tout en œuvre pour la préservation de ces données sans limite de temps, sa responsabilité est engagée dans le cas d’une intrusion, d’une duplication, d’une suppression ou de l’altération des données stockées.

C’est la norme NF Z42-020 de l’AFNOR (juillet 2012) qui définit les contours et l’utilisation du coffre-fort numérique, en voici les grandes fonctions mises à disposition de l’utilisateur:

  • Dépôt des données
  • Lecture des données
  • Destruction des données
  • Lecture des métadonnées techniques
  • Contrôle de l’intégrité
  • Lecture du journal des identifiants
  • Listage de tout ou partie du contenu du coffre
  • Restitution des données (lecture puis destruction)
  • Vidage

Cette norme permet également d’établir un protocole commun pour la communication entre un coffre-fort numérique et un SAE.

Quels sont les documents à y verser?

L’utilisation du coffre-fort électronique professionnel concerne tous les documents numériques que vous souhaitez conserver indemnes sur une durée donnée à l’extérieur de vos locaux sans pouvoir les modifier, par exemple :

  • Les brevets, ou procédés de fabrication, de recettes (pour l’industrie agroalimentaire), de processus ou méthodes de travail dont vous souhaitez conserver le secret et l’intégrité.
  • Les documents RH (bulletins de paie, contrat de trvavail, avenants, déclaration d'embauche, lettres de démission...)
  • Les documents comptables, financiers ou juridiques à valeur probatoire à conserver intactes pendant 5 ou 10 ans, par exemple
  • tout autre document ou fichier sensible ou d’importance majeure pour la société (fichier clients, courriers numérisés, codes d'accès, contrats, bases de données…)

Les fonctionnalités de la solution progicielle

fonctions

Un service d'archivage garantissant la conservation et la lisibilité des documents:

La notion d'archivage légal est définie comme étant une fonction garantissant la conservation de documents électroniques, assortie de la garantie de la restitution à tout moment d'un exemplaire du document parfaitement identique à l'original. Cette garantie repose d'une part, sur les mécanismes de sécurisation et d'intégrité appliqués par la signature électronique, d'autre part, sur les mécanismes de traçabilité et de journalisation qui conservent l'intégralité de la vie de l'information, tant dans ses éventuelles modifications et les traitements appliqués, que dans les accès qui y sont faits.

Assurez vous de posséder des preuves juridiquement recevable autour de vos documents:

Pendant toute la durée de présence du document et pour tout document déposé dans le coffre-fort, le progiciel d’archivage électronique légal fournit la preuve irréfutable et intangible :

  • De son existence à la date de dépôt,
  • De son contenu et de ses caractéristiques,
  • Des accès faits dessus

Le respect des normes et standards:

La solution respecte et intègre les principes définis par l'ADAE et l'APROGED dans le document de synthèse " la maîtrise du cycle de vie du document numérique ".

Elle est conforme aux spécifications émises par l'IDA (Organisme de l'Union européenne pour l'Interopérabilité des Données entre Administrations) et synthétisées dans le document MOREQ.


Les avantages de cette solution


Simplissité : Le gestionnaire de procédures vous guide pas à pas.

  • Centre de pilotage pour l'acheteur public, supervision centralisée.
  • Gestion visuelle et intuitive des dossiers et enveloppes.
  • Gestion automatisée de tous les messages avec les candidats.

Souplesse : Le système de paramétrage prend en charge vos procédures et votre structure organisationnelle.

  • La suppression reste possible dans certains cas et donne lieu à l'établissement d'une preuve, comme toute autre action faite sur un document.
  • Gestion de coffres multiples multi usage paramétrables capable de recevoir tous type de documents
  • Recherche multi-critère et indexation automatique paramétrable des données archivées

Fiabilité : La signature électronique est utilisée aux étapes critiques pour sécuriser le déroulement des opérations.

  • Aucun document déposé ne peut être modifié directement ou indirectement par l'application.
  • L'ensemble des preuves et données apportant la garantie ci-dessus, est lui-même sécurisé contre des attaques au niveau applicatif comme au niveau système.
  • Horodatage des actions, contrôle d'intégrité des documents et surveillance distante.

Des fonctions d'administration complètes :

  • Créer de nouveaux coffres en fonction des besoins et de l'espace disponible.
  • Gérer les profils administrateur
  • Gérer les profils utilisateur
  • Gérer les profils auditeur
  • Gérer les méta-données demandées par les utilisateurs
  • Lancer les opérations d'export de document (pour archivage secondaire, réversibilité, …)
  • Lancer les opérations de purge suivant les classes de durée de vie des documents
  • Demander des états statistiques sur l'état des ressources consommées/disponibles

Un processus d'archivage fiable

Dès la reception d'un fichier, le logiciel effectue les opérations suivantes :

  1. Hashage du document ; afin de supprimer les risques de collision, il réalise 2 calculs d'empreinte avec 2 algorithmes différents. Le résultat donne un identifiant unique Hash1 + Hash2 qui sert à la fois à identifier le document capturé et garantir son intégrité.

  2. Horodatage légal : le logiciel obtient une date certaine de réception du document

  3. préparation des méta-données : il prépare toutes les méta-données de classement et de gestion associées au document pendant la vie de l'archive. IL effectue également la signature de ces éléments afin de générer la preuve d'archivage (LAT)

  4. écriture File System : Le logiciel réalise alors l'écriture des fichiers sur le gestionnaire de fichier. Si l'écriture produit une erreur à ce stade, la transaction est interrompue et l'utilisateur est informé

  5. Ecriture BDD + Traces : finalement, le progiciel peut mouvementer la base de données afin de valider la transaction, après que toutes les opérations se sont bien déroulées. Les traces juridiques sont également générées lors de cette dernière phase

Surveillance à distance

Ce service réalise périodiquement, pendant les heures creuses, le transfert vers les serveurs les traces juridiques que la solution a généré pendant la dernière période d'activité. Ces traces juridiques garantissent la cohérence du fonctionnement du coffre. Leur intégrité et leur cohérence sont vérifiées sur les serveurs de supervision. En cas de non transmission ou d'incohérence dans les données, une alerte est générée, pour signaler une défaillance dans le processus d'exploitation normale. Les alertes sont transmises vers des contacts référencés et sont journalisées. Ce service permet de détecter sans délai toute défaillance d'ordre matériel, logiciel ou toute attaque sur vos archives.

Le certificat d'identité numérique

certificat d'identité numérique

Le certificat d'identité numérique est un cachet (sceau) numérique qui permet de vérifier l'authenticité d'un document et de connaître de manière formelle qui en est le signataire. Ce certificat permet en quelque sorte d’ouvrir vos coffres forts numériques, il en est la clé. Pour utiliser les solutions d’archivage numérique proposées, il est nécessaire de détenir au moins un certificat d'identité numérique à double clé (clé publique / clé privée). Il est principalement utilisé pour signer électroniquement des documents. En effet, la signature électronique a aujourd’hui la même valeur juridique que la signature manuscrite.

Deux textes sont venus consacrer la valeur légale de la signature électronique :

  • La Directive européenne n°1999/93/CE du 13/12/99
  • La loi n° 2000-230 du 13 mars 2000 portant adaptation du droit de la preuve aux technologies de l’information

L’objectif de ce certificat d'identité numérique est triple

  • Protéger vos transactions et vos échanges avec des tiers
  • Réaliser des gains de productivité en simplifiant les déclarations et procédures
  • Garantir la valeur juridique pour vos échanges dématérialisés et vos documents électroniques

Il existe 3 classes de certificat selon le degré de vérification d’identité


  • Certificat de classe 1 :
    • est obtenu en indiquant son identité seulement par l’adresse de messagerie électronique
    • compatible avec une utilisation de groupe
    • autorise les mêmes droits d'accès à tous les membres du groupe

  • Certificat de classe 2
    • est obtenu par validation de son identité par l'envoi d’une copie des pièces justificatives
    • appelle à un usage nominatif
    • limite les droits d'accès aux coffres-forts numériques
    • limite les droits d'accès aux documents

  • Certificat de classe 3 :
    • est obtenu par la preuve de son identité par présentation physique, du détenteur des pièces ou celle de son mandataire
    • conditionne un usage nominatif
    • réserve au titulaire les droits d'accès au coffre-fort numérique
    • réserve au titulaire les droits d'accès aux documents