"L'archivage électronique : les normes techniques de l'ingénierie documentaire"

Thibault Ribba, maître de conférences associé au Cnam.

-Bonjour, je suis Thibault Ribba, consultant en archivage électronique, gestion de la
valeur probatoire et dématérialisation pour le cabinet XDEMAT, ainsi que maître de
conférences associé à l'INTD Cnam.
Aujourd'hui, on va parler des normes techniques autour de l'ingénierie documentaire.
Quand je dis "normes techniques autour de l'ingénierie documentaire", je vais surtout
parler du maintien de la valeur probatoire dans le temps et plutôt d'archivage
électronique.
C'est important, car l'archivage électronique n'est pas juste en bout de chaîne.
Archivage électronique sous-entend deux choses, ça sous-entend à la fois le maintien
de la valeur probatoire dans le temps, donc le fait qu'un document numérique qui porte
preuve puisse garder cette preuve dans le temps, et l'archivage dit historique,
définitif, sur une conservation illimitée à titre historique.
Première chose, on a une séquence sur les normes organisationnelles de l'ingénierie
documentaire et une séquence sur la normalisation technique de l'ingénierie
documentaire.
C'est un peu artificiel de séparer les deux, tellement elles marchent ensemble.
Par contre, le format MOOC fait qu'on les a séparées.
Vous voyez ici toute l'évolution normative autour de ces sujets-là, avec, parfois,
vous le voyez, la NF Z42-013.
On va beaucoup en parler aujourd'hui.
Des logiques comme le PDF/A qui sont sensiblement techniques et derrière, des choses
beaucoup plus organisationnelles, l'ISO 15489 sur le records management ou l'ISO 30300
sur le records management.
Je vous renvoie aux autres sessions dans lesquelles on en a parlé.
C'est vrai que 2016 est une date un peu importante, puisque tout ça s'accélère,
notamment avec la révision actuelle de la NF Z42-013 pour une publication probablement
début 2020, fin 2019.
Je fais le lien parce que je disais que c'était artificiel de séparer normalisation
technique et normalisation organisationnelle.
Il y a quelque chose qui permet de faire le lien, c'est le modèle OAIS, pour Open
Archival Information System.
Il définit à la fois quels sont les différents acteurs et quelles sont les différentes
logiques organisationnelles pour la mise en place d'un service d'archivage
électronique, et également les briques techniques qui permettent de le sous-tendre.
Je pense à l'administration, au stockage, à tout ce qui est AIP, DIP et SIP.
On y reviendra tout à l'heure sur la partie 42-013.
Il fait un peu le lien.
C'est à la fois un modèle conceptuel et une norme dont on peut s'inspirer sur la
partie technique.
Je rentre tout de suite dans le sujet parce que c'est assez dense, la NF Z42-013.
C'est le document, la norme de référence en termes d'archivage électronique, maintien
de la valeur probatoire essentiellement.
C'est important, je vous invite d'une manière ou d'une autre, à consulter soit des
résumés, soit la norme en elle-même, parce que c'est la référence.
On connaît l'archivage électronique en France pour le maintien de la valeur
probatoire.
Je vais revenir sur trois sujets aujourd'hui qui me semblent importants pour la NF
Z42-013.
Ce sont toutes les logiques de versement, comment je rentre un document techniquement
dans un système d'archivage électronique, tout ce qui est journalisation, très
important, qui permet de garantir la preuve, et tout ce qui est empreinte, qui permet
de garantir l'intégrité.
Je vais revenir sur ces trois logiques dans ces quelques minutes autour de cette
thématique.
Première logique, le versement.
La NF Z42-013 et, je le répète, le fait de séparer organisationnel et technique, c'est
un peu illusoire, revient sur le contrat de versement.
Il permet de signifier ce qui va être versé, quand, quel volume, etc., mais aussi les
logiques techniques qui permettent à un système tiers ou d'archivage électronique de
verser de la documentation.
Mais surtout, la NF Z42-013 revient sur les logiques techniques de versement,
notamment sur ce qui relève de la simulation de versement.
Vous avez un paquet de 10 giga à verser, vous n'allez pas le verser avant de vous
demander si c'est bon, on simule les versements et surtout, la possibilité de créer un
classement et différents niveaux de classement grâce aux logiques techniques.
J'insiste sur autre chose, quelque chose de très important dans la NF Z42-013, qui est
le versement en Y.
Qu'est-ce que c'est ?
J'ai un système qui va me fournir des données, celles-ci ne seront pas copiées dans le
SAE à un endroit, mais à deux endroits et de manière simultanée.
Copie en Y.
Ici, j'ai un système cible et ça va copier à deux endroits différents ma donnée.
C'est la copie en Y.
La gestion de la preuve sur tous les documents déposés dans le système.
Dès lors que je verse un document, je génère une preuve de dépôt.
En général, c'est simplement un fichier XML dans lequel je mets une empreinte.
Cette logique d'empreinte, justement j'y viens.
L'empreinte, c'est quoi ?
En termes techniques, on utilise parfois la terminologie "hash", le hachage du
document.
En réalité, c'est que le système va analyser le code binaire du document que je viens
de déposer pour constituer une suite de caractères et l'associer au document.
Grâce à l'analyse du code binaire, selon des algorithmes de chiffrement, je ne vais
pas rentrer dans les détails, mais par exemple, le "sha256", je génère une suite de
chiffres et de lettres qui est unique par rapport à mon code binaire.
Chaque code binaire va avoir son hash grâce à cet algorithme de chiffrement.
Ça veut dire quoi ?
Si je modifie ne serait-ce qu'une virgule, un espace, une petite chose dans un
document, mon code binaire va être changé et donc, ma suite de chiffres et de lettres
résultat du hash va être changée.
C'est important, pourquoi ?
Parce que, quand je rentre dans le système un document, il va déposer sur ce document
cette suite de chiffres et de lettres.
Mais pour garantir l'intégrité du document sur toute sa vie dans le système
d'archivage électronique, mon système va faire ce qu'on appelle de la comparaison
d'empreintes.
Il va comparer l'empreinte au moment où le document a été déposé dans le système,
l'empreinte initiale, à un autre moment dans le cycle de vie.
Certains systèmes, toutes les semaines, vérifient le hash de tous les documents ou à
chaque fois que je consulte un document, les règles sont différentes.
Si on se rend compte au moment de la comparaison d'empreintes entre le moment où le
document a été déposé et le moment où je le consulte, qu'il y a une différence, ça
veut dire que le code binaire a été changé, que le document a été modifié et donc, que
l'intégrité n'a pas été conservée.
C'est ça qui permet de garantir l'intégrité du document et de garantir sa preuve.
On assure, bien sûr, que la modification soit très marginale, mais surtout que, s'il y
a modification pour une raison ou une autre, on est en capacité de l'identifier et
donc, de revenir sur des versions antérieures ou de mettre en place des mécanismes qui
permettent que cette corruption d'intégrité ne soit plus d'actualité.
À côté de ça, on a la troisième chose importante que je vous ai dite, qui est la
journalisation.
C'est-à-dire que tout ce qui est fait sur le système, et quand je dis tout, c'est
tout, les téléchargements, les consultations, les conversions de format, les
connexions, les diffusions, tout ça est tracé dans le système.
C'est aussi un élément important de la preuve puisqu'on trace à la fois tout ce qui
est dans le système, mais aussi ce qui garantit la valeur probatoire.
Aujourd'hui, dans sa version 2009, la NF Z42-013 dit qu'il y a un journal des
évènements, grosso modo tout ce qui se passe dans l'application, et un journal de
cycle de vie, c'est-à-dire des opérations uniquement sur les documents.
Par exemple, un document est arrivé en fin de durée d'utilité administrative, il doit
être détruit, ça concerne le document, donc c'est tracé dans le journal du cycle de
vie.
Les journaux ont leur propre vie dans l'application, c'est-à-dire qu'on va garantir,
en général toutes les 24 heures, mais en tout cas à des temps donnés, que ce journal-
là, qui est un XML en général, soit fermé et scellé.
Quand je dis "scellé", on y appose un hash, une empreinte, exactement comme pour
chaque document.
On le stocke dans le système d'archivage comme un autre document.
Ce qui est important pour garantir la preuve et la bonne santé du système, c'est que
ce hash-là du journal à J+0 sera aussi présent dans le journal à J+1.
On va faire un chaînage de chaque journal pour montrer qu'il y a une cohérence dans ce
système et les actions qui vont suivre.
On appelle ça le chaînage de journal.
Les empreintes des journaux précédents sont disponibles sur les suivants, ce qui
permet d'avoir une chaîne de confiance.
Voilà pour la NF Z42-013.
Pour moi, c'est vraiment la plus importante.
Par contre, on a plein d'autres normes.
Une autre qui est importante, et je n'ai pas le temps de m'appesantir dessus, c'est la
NF Z42-026 qui décrit ce qu'on appelle la copie fidèle et durable.
Elle nous donne des cas d'usage, des méthodologies et des logiques techniques et
organisationnelles pour faire en sorte que, dès lors que je numérise un document, je
puisse créer une copie fidèle et durable, c'est-à-dire m'assurer de la bonne fidélité
de ma copie pour garantir et acter un transfert, ou une duplication plutôt, de la
valeur probatoire d'un document papier à un document électronique.
La partie fidélité, c'est la chaîne de numérisation conforme à cette norme qui permet
de l'acquérir et la partie durabilité, on a "fidèle" et "durable", c'est un système
d'archivage conforme à la NF Z42-013.
Je vous en ai donné deux, mais il y en a d'autres.
J'aurais pu parler de l'eIDAS, on en a un peu parlé dans la séquence sur les
signatures électroniques.
On aurait pu parler du SEDA, un standard d'échange pour les données archivistiques au
moment du versement.
On aurait pu parler de l'ISO 19005 sur les spécifications du PDF/A, "A" pour
"archivage".
Mais il y en a tellement.
Au-delà de la 42-013, faites une veille, c'est vraiment important.
Voilà pour moi.
J'en ai terminé sur cette partie technique ingénierie documentaire.
Je suis allé assez vite, n'hésitez pas à regarder de votre côté et à bûcher cette 42-
013.
En tout cas, je vous dis à bientôt, j'espère que ça a pu vous aider.
On se revoit bientôt pour une autre séquence.
Merci.