webleads-tracker

La traçabilité au cœur des enjeux dans la gestion des documents et archives | Spark Archives

La traçabilité au cœur des enjeux dans la gestion des documents et archives

Traçabilité autour des documents et de l'archivage

Les enjeux liés à la traçabilité sont multiples et mouvants et plus encore dans le domaine de la gouvernance de l’information renforcée en cela également avec la mise en place récente du RGPD.

A ce titre, il est dans un premier temps important de bien comprendre ce que recouvrent cette notion et ses implications. Pour ce faire, on reprendra certaines définitions issues de la doctrine :

[…] La « trace » est définie comme « une suite d'empreintes ou de marques que laisse le passage d'un être ou d'un objet ; marque laissée par une action quelconque ; ce à quoi on reconnaît que quelque chose a existé ; ce qui subsiste d'une chose passée. »[1]

La « traçabilité » est un vocable entré dans le langage moderne qui ne fait l’objet d’aucune acception classique.

[…] En informatique, le mot « traçabilité » existe et peut avoir plusieurs sens : « 1) Aptitude à retrouver l'historique, l'utilisation ou la localisation d'un article ou d'une activité au moyen d'un identifiant enregistré. 2) Opération qui consiste, au fil des étapes de raffinement de la modélisation d'un système ou d'un logiciel en construction, à suivre toutes les exigences de la spécification et à vérifier qu'elles se retrouvent dans les constituants du modèle ».[2]

On continue avec une vision plus normative :

[…] La norme ISO 8402, qui date de 1994, est la version la plus citée ; elle établit que « la traçabilité est l’aptitude à retrouver l’historique, l’utilisation et la localisation d’une entité au moyen d’identifications enregistrées ».

[…] La norme NF X 50 120 de l’Afnor (1987), le terme « entité » a remplacé celui de « produit » et peut désormais se rapporter à un produit, à un étalonnage ou à une collecte de données. Depuis 2000, la version de 1994 a été remplacée par la norme ISO 9000:2000, sans changement notable. [3]

On le voit cette notion recouvre un ensemble de concepts qui ont été intégrés et mis en œuvre dans Spark Archives à travers 4 grandes fonctions :

  • Une traçabilité fonctionnelle
  • Une traçabilité technique
  • Une traçabilité normative
  • Une traçabilité applicative

Une traçabilité fonctionnelle avec un historique complet des opérations

La traçabilité dont il est ici question s’entend comme un historique complet des opérations menées sur les documents électroniques, les documents papiers, les contenants et les archives. Dès lors qu’une opération archivistique est effectuée par un utilisateur dans le cadre d’une opération, celle-ci est tracée (versement, demande de consultation papier et/ou électronique, réintégration, insertion, intégration, gel, transfert et opération de traitement du sort final) . Les données référencées correspondent à l’utilisateur, son service, l’opération en question, la date et l’heure de celle-ci et sont affichées sous la forme d’un historique ou timeline. Cet historique permet de connaître à tout moment la vie de l’archive et de consulter les opérations associées. Cet historique des opérations est paramétrable de manière à s’afficher selon les profils des utilisateurs.

Une traçabilité technique avec la mise en œuvre de l’audit-trail

La mise en œuvre de l’audit-trail est proposée dans le cadre des archives papiers et intégré dans le cadre de l’archivage électronique. Complément essentiel de la traçabilité fonctionnelle sur les opérations, l’audit trail s’inscrit comme le cerbère de l’application. L’audit-trail trace de manière systématique toutes les opérations effectuées au sein du système : modification d’un en-tête de versement, création d’une archive, suppression d’un dossier d’archives physique ou électronique, …

L’audit-trail propose un panel de différents critères (type d’opération, date, numéro d'archive concerné…) qui permettent de filtrer les opérations système recensées dans l’application et de rechercher avec précision les renseignements voulus. La traçabilité fournie par l’audit-trail concerne toutes les opérations de création, mise à jour ou de suppression. Plusieurs informations sont tracés Pour chaque opération, les informations suivantes sont tracées de manière systématique : l’utilisateur, les types et sous-types d’opération ainsi qu’un identifiant unique (versement, document électronique, document papier, demande, plan de classement, service, connexion…), la date à laquelle l’opération a été effectuée, ainsi que l’ensemble des informations modifiées par cette opération. Cette traçabilité permet de connaître à tout moment ce qui s’est passé dans le système et qui a réalisé cette opération.

Dans le cadre des archives papier, l’audit est utilisé pour des raisons métiers et juridiques associées à la traçabilité des produits, …. L’audit-trail est utilisé dans le cadre des archives électroniques pour les besoins associés à la journalisation fonctionnelle et technique de l’application et intégré au journal de traçabilité du cycle de vie de l’archive (journal NF Z 42-013).

Une traçabilité normative avec le journal du cycle de vie de l’archive[4]

Dans le domaine de l’archivage des documents électroniques, un journal de traçabilité des événements en conformité par rapports aux exigences de la norme NF Z 42-013:2009 est également mis en place. La journalisation Spark Archives est également conforme avec les éléments indiqués dans la « Note d'information DGP/SIAF/2014/005 en date du 8 juillet 2014 relative à la journalisation des événements ».

Le journal du cycle de vie des archives est généré de manière asynchrone selon la périodicité souhaitée et a minima quotidiennement. L’enjeu est ici d'assurer l’intégrité, l’authentification et la traçabilité des événements pour les archives électroniques. Le journal s’inscrit dans un versement quotidien avec une archive qui contient les éléments de preuves associées.

Les opérations et événements journalisés sont les suivants : versement, demande de communication, gel, destruction d'archive, création/modification/suppression d'archive, réplication. Pour chacun de ces événements les informations suivantes sont enregistrées dans le journal : le type de l'action/opération, le code de l’opération, l’utilisateur, la date de fin de l'opération, l’identifiant des archives et documents électroniques, … Les journaux sont chaînés entre eux et scellés afin d'en assurer l'intégrité.

Une traçabilité applicative à travers l’exploitation des logs de l’application

Brique essentielle du système d’information dans lequel il s’insère, Spark Archives ne déroge pas aux bonnes pratiques de sécurité. Au-delà des actions actives de sécurisation, il en est une qui compte particulièrement : la journalisation au sens technique du terme. Autrement dit, les « fichiers » de logs générés par le système, même si de nos jours, des systèmes de journalisation peuvent très bien ne plus s’appuyer sur de la gestion de fichiers. Que ce soient les normes d’archivage électronique, ou, plus simplement les recommandations de portée plus générales publiées par l’ANSSI[5], on trouvera de nombreuses références sur ce sujet, dont la mise en place dépasse le cadre strict du système d'archivage électronique pour s’inscrire dans l’exploitation générale de briques logicielles et matérielles dans un système d'information ("SI") d’entreprise.

Ces journaux techniques sont générés par l’ensemble des briques composant le système d'archivage "SAE" (applicatif et stockage notamment). Leur conservation est un point clef pour permettre d’auditer, à posteriori, le SAE et de s’assurer de sa non-compromission.

Pour la partie logicielle d’un SAE, il s’avère indispensable de mettre à disposition l’ensemble des opérations coté logs applicatifs. Cela permet de suivre  les recommandations de l’ANSSI dans les domaines suivants (liste non exhaustive) :

  • Authentifications (réussies ou pas)
  • Modification des droits/rôles utilisateurs
  • Modifications des paramètres applicatifs
  • Démarrage/Arrêt
  • Erreurs

On constate qu’il s’agit bien de tracer essentiellement l’activité du système technique.

Ces journaux peuvent faire l’objet, comme demandé par la norme NFZ42-013:2009, d’un archivage au sein même du SAE, en opérant de façon très similaire à ce qui a été présenté au paragraphe précédent pour le journal de cycle de vie des archives.

Cependant, leur agrégation avec d’autres journaux techniques (au-delà du SAE), et surtout leur exploitation, doit faire l’objet d’une véritable politique globale au sein du SI qui dépasse le cadre normatif métier de l’archivage électronique. Spark Archives permet l’exploitation de ses journaux techniques dans la plupart des formats classiques de journalisation, au travers d’interfaces fichiers ou « syslog » notamment, selon les habitudes de l’exploitant du SAE.

Une traçabilité renforcée par des traces complémentaires

N’oublions pas non plus que dans le domaine papier cette traçabilité est également présente à travers l’utilisation des étiquettes et codes à barres, du module tracker… autant d’éléments qui s’inscrivent dans les questions liées à la traçabilité des opérations effectuées et à leur suivi.

Dans le domaine électronique, on notera que cette traçabilité est également présente dès le départ avec le calcul des empreintes des fichiers électroniques et des métadonnées associées. Des éléments qui sont tracées et qui peuvent être contrôlés de manière régulière dans Spark Archives à travers la fonction de contrôle de cohérence des archives. Enfin la fonction de sortie du dossier de preuves permet également de mettre à disposition tous les élements probatoires dans le cadre d’audits ou de contentieux. 

La traçabilité s’inscrit dans l’ADN de Spark Archives de manière native et s’appuie sur des notions connexes liées notamment à la sécurité des accès et des données tout en préservant les aspects liés au droit à l’oubli.

 

Herwann Perrin - Responsable Produit Spark Archives

Jérôme Besnard - Responsable R&D Spark Archives

 

[3] La traçabilité dans les systèmes d’information : un questionnement politique sur la gouvernance des populations

https://www.cairn.info/revue-communication-et-langages1-2009-2-page-49.htm

[5] https://www.ssi.gouv.fr/uploads/IMG/pdf/NP_Journalisation_NoteTech.pdf

Particulièrement complète, elle décrit un système de journalisation complet, dépassant largement le périmètre de notre question.

Nous contacter

Adresse :
La Boursidière
BP 159
92357 Le Plessis-Robinson Cedex
 
Téléphone :
+33 (0)1 46 29 25 25
e-mail icon
Twitter icon
Facebook icon
Google icon
LinkedIn icon

Spark Archives, a solution provided by KLEE GROUP

Contact

Spark Archives
La Boursidière
92357 Le Plessis-Robinson Cedex

+33 (0)1 46 29 25 25

sparkarchives@kleegroup.com

Join us

Learn more about our internship and job offers and apply online!  !

Follow us