pci dss roadshow paris juillet 2013 1 dématique*, stockage, archivage … gouvernance ! jean-marc...
TRANSCRIPT
PCI DSS Roadshow Paris juillet 2013 1
Dématique*, stockage, archivage … gouvernance !Jean-Marc Rietsch, Ingénieur Civil des Mines Expert en dématique et archivage électronique Chargé de cours à Mines ParisTech Président de FEDISA (Fédération Européenne de l’ILM du Stockage et de l’Archivage) Analyste au BIT Group
* Dématique : Contraction de dématérialisation et d’informatique, la dématique correspond à l’action de dématérialiser au sens large, elle traite ainsi la numérisation de documents papiers, la dématérialisation des échanges et des processus métier en y incluant la composante légale.
PCI DSS Roadshow Paris juillet 2013 2
Actualité FedISA
8 ans déjà
PCI DSS Roadshow Paris juillet 2013 3
Mission / Objectifs / Actions Mission: garant de l’état de l’art dans le domaine du
management des données numériques Objectifs:
Développer le marchéAssurer une veille juridique et technique
Actions: (informer et assister les utilisateurs)CommissionsEvènements (+province) : congrès, petits
déjeuners ou soirées, conférences, …Ouvrages: livres blancs, guides pratiques, dossiersFormations avec DEMATEUSLa lettre mensuelle de la dématique (n°14)Un nouveau journal « Eco réseau »
PCI DSS Roadshow Paris juillet 2013 4
E-learningSensibilisation à la démat
PCI DSS Roadshow Paris juillet 2013 5
Une association représentative Une véritable reconnaissance avec :
Des adhérents de renom publics et privés (IN, CNP, Orange, EMC, IBM, Symantec, Atos, RSD, Cryptolog, …)
Une participation très importanteLa production de travaux de qualité
Présence internationale qui s’intensifie :FranceLuxembourgMonacoBelgiqueCanadaIrlande UKSuisse
PCI DSS Roadshow Paris juillet 2013 6
Dématique, stockage, archivage … gouvernance !
1. Introduction2. Pourquoi ?3. Contraintes4. Méthodologie5. Application à PCI DSS
PCI DSS Roadshow Paris juillet 2013 7
Les 3 niveaux de la dématiqueDEMATERIALISATION
des supports : numérisation de documents existants
des échanges : développement des e-mails, recommandés électronique, télé travail, …
des processus métier : (évolution de l’informatisation) E-administration : téléTVA, téléIR, téléActe, appels
d’offres, monservice-public.fr, … Entreprises : factures, contrats, … Europe : chronotachygraphe, …
PCI DSS Roadshow Paris juillet 2013 8
mémoire historique
(1-5%)
V1 discutéeV2 diffuséeV3 annule et remplace V2
court terme de 1 an à 100 ans…
figé
chaîne de confiance
Document management
Records management
Patrimoine
Le L de ILM: Life Cycle (Cycle de vie)
Enterprise content management
PCI DSS Roadshow Paris juillet 2013 9
Une évolution naturelle ILM Stockage Archivage
Dématique Conservation de
données numériques Gouvernance
PCI DSS Roadshow Paris juillet 2013 10
Stockage, archivage
Pourquoi archiverOriginesDe quoi parle-t-on ?
PCI DSS Roadshow Paris juillet 2013 11
Pourquoi archiver ?Répondre à ses obligations légales et
réglementaires éviter de perdre
Réagir / augmentation des volumes (trop d’information tue l’information – constat d’impuissance! Pb de qualité de l’info) ne pas s’appauvrir
Garder la trace, sécuriser un savoir-faire préserver et enrichir son patrimoine « informationnel », véritable capital immatériel de toute organisation
RETROUVER
PCI DSS Roadshow Paris juillet 2013 12
Les origines de l’archivage
ARCHIVAGENumérique Papier
Dématique
Rationalisation Obligations
Sécurisation Patrimoine
PCI DSS Roadshow Paris juillet 2013 13
Archivage électronique ?
N’est pas une simple transposition (dématérialisation) de l’archivage traditionnel papier en électronique
Correspond à une nouvelle organisation des données dans l’entreprise (notion de cycle de vie, ILM)
Impacte fortement le système d’information, en fait partie intégrante, d’où son aspect stratégique
Doit être pris en compte très en amont
PCI DSS Roadshow Paris juillet 2013 14
Doit-on encore parler d’archivage?
Des données numériques qui doivent : être conservées + ou - longtemps être sécurisées de façon adaptée:
risque / valeur de l’info être retrouvéesPérennité : nouveau critère sécuritaire ?
Conservation sécurisée de données numériques, à l’intérieur du SI
PCI DSS Roadshow Paris juillet 2013 15
Contraintes
TechniquesLégalesSécuritairesOrganisationnelles
PCI DSS Roadshow Paris juillet 2013 16
Contraintes techniques de l’archivage(risques)
Formats logiques Intelligibilité (données impossible à interpréter)
Supports Pérennité (perte information) Intégrité (donnée non fiable)
Migrations Support (impossibilité de relire) Format (impossibilité de traduire en clair)
Signature électronique Validité dans le temps Obsolescence cryptographique (perte de fiabilité et
d’identité)
PCI DSS Roadshow Paris juillet 2013 17
Les supports de demain Retour à la pierre !
Quartz, 40 Mo/i2 contre 35 pour un CD. Lisible par microscopique optique mais fragile aux chocs.
Nouveauté en matière optique le HVD pour Holographic versatile disc est une technologie de
disque optique qui peut contenir jusqu’à 3,9 To d’information soit 5.800 CDs ou 830 DVD ou encore 60 Blu-ray !
Les évolutions du magnétique Seagate a atteint 1To/i2 et on annonce des disques de 3,5
pouces avec jusqu’à 60 To ! La révolution côté vivant ?
6 Mo dans 337 picogramme (10-12) d’ADN. Les chercheurs annoncent 2 po dans un seul gramme.
PCI DSS Roadshow Paris juillet 2013
Le juge décide seul pour dire si un document est recevable en tant que preuve ou élément de preuve.
L’archivage « légal » n’existe pas à proprement parler.
Contraintes légales
Equivalence des documents signés électroniquement avec l'écrit papier
PCI DSS Roadshow Paris juillet 2013 19
Conditions valeur probanteRespect des conditions légales prescrites par les textes :
Intelligibilité, peu importe la forme de l’information, l’essentiel est qu’elle soit restituée de façon intelligible par l’homme et non par la machine
Identification de l’auteur Garantie d’intégrité (du contenu
informationnel) traçabilité Pérennité, respecter les durées de
conservation prescrites par les textes, fonction de la nature du document et des délais de prescriptions
PCI DSS Roadshow Paris juillet 2013 20
Contraintes sécuritaires Disponibilité, communication Intégrité Confidentialité, contrôle d’accès,
habilitation Traçabilités, conservation des traces Pérennité, durée de conservation Identification, authentification
PCI DSS Roadshow Paris juillet 2013 21
Contraintes / système d’information
L’archivage électronique fait partie intégrante du SI qui: Supporte l’ensemble des processus métiers S’ouvre vers un plus grand nombre
d’utilisateurs Progresse au niveau de ses capacités de
stockage et de traitement
Le SI passe d’une logique de collecte des données à une logique de productiond’informations... de valeur !
PCI DSS Roadshow Paris juillet 2013 22
Premières briques méthodologiques
Grands processus d’archivage Aspect pluridisciplinaire Politique d’archivage
PCI DSS Roadshow Paris juillet 2013 23
Grands processus de l’archivage
Système d’Archivage Electronique (SAE)
2- Conserver l’intégrité jusqu’à la destruction
! 4- Tracer l’ensemble des opérations effectuées, sécuriser les traces.
3- Mettre l’information à disposition des
utilisateurs
1- Identifier, capturer et
classifier ce qui ne doit plus être modifié
PCI DSS Roadshow Paris juillet 2013 24
Aspect pluridisciplinaire dématique et conservation de données numériques
Technique :Répondre au paradoxe de devoir utiliser pour de longues
périodes des technologies à l’obsolescence rapide.Organisationnel :Bien définir ses besoins très en amont afin d’avoir la
garantie de pouvoir retrouver l’information désirée ultérieurement. Mettre en œuvre une véritable gestion de projet.
Juridique :Tenir compte des obligations légales et réglementaires
afin de pouvoir faire valoir des documents numériques en cas de besoin.
Aspects pluridisciplinaires exigent une collaboration transverse indispensable
PCI DSS Roadshow Paris juillet 2013 25
Aspect transverse de la dématique et de la conservation de données numériques
Complétude des processus :Traiter les processus dans leur ensemble. Ne pas négliger
l’amont ou l’aval d’un processus sous prétexte qu’il se déroule en dehors de l’organisation.
Transversalité des projets d’AE :Aborder le projet de façon transverse, éviter de raisonner
en silo, à prendre très en amont de tout projet.
Vision globale :Réunir dès le départ l’ensemble des compétences
nécessaires, avoir une vision globale pour ensuite planifier une mise en œuvre progressive.
PCI DSS Roadshow Paris juillet 2013 26
Un document n’est pas seul !Méta données d’informationsVéritable identité numérique
Index Format Origine…
Méta données de gestion Durée de conservation Protection Migration, conversion…
Document(contenu informationnel)
PCI DSS Roadshow Paris juillet 2013 27
Savoir relier : données/documents - systèmes
Sécurité Disponibilité Intégrité Confidentialité Preuve/traçabilité
DONNEES
SYSTEME
Service Ouverture service Dispo verst, interro Durée Destruction SE
PCI DSS Roadshow Paris juillet 2013
La politique d’archivage (outil de gouvernance): élément charnière, interface indispensable entre :
lois, réglementations, systèmes informatiques
(techniques et sécurité adaptée)
La politique d’archivage
PCI DSS Roadshow Paris juillet 2013
Les trois couches d’un SAE
Le coffre numérique : le socle
Les couches métier : l’opérationnel
La couche gouvernance : les règles
L’infra avec différentes solutions techniques/niveaux sécurité-service
PCI DSS Roadshow Paris juillet 2013
Intérêt de la « certification » La loi fait référence à l’état de l’art (state of the art). Les normes peuvent représenter l’état de l’art à partir du
moment où elles sont représentatives et évolutives Les différents niveaux de « conformité » :
Autodéclaration Conformité par un tiers (technique et juridique) Référencement Labellisation (dépend de la légitimité de l’organisme) Certification par un organisme tiers, lui-même accrédité
(portée internationale) Agrément
La certification représente le niveau de garantie le plus élevé que l’on puisse présenter à un juge concernant la « fiabilité » de son système.
PCI DSS Roadshow Paris juillet 2013 31
Protéger les données de titulaires de cartes stockées
(condition 3)
PCI DSS Roadshow Paris juillet 2013
(3.1) Conservation des données carte
Stockage des données : politique de conservation et
d’élimination procédures correspondantes
PCI DSS Roadshow Paris juillet 2013
Définition des : données stockées délais de conservation processus d’élimination
(fréquence trimestrielle) conditions de conservation
(DICP)
(3.1.1) La politique d’archivage
PCI DSS Roadshow Paris juillet 2013
(3.2) Ne stocker aucune données d’authentification
Si de telles données sont reçues : Protection sécurisée si
« vraiment » nécessaire Processus d’élimination sans
récupération possible des données
PCI DSS Roadshow Paris juillet 2013
Ne pas stocker (3.2.1) contenu complet
d’une piste (3.2.2) valeur de vérification (3.2.3) code PIN
PCI DSS Roadshow Paris juillet 2013
Gestion du PAN (3.3) Masquer à l’affichage, sauf
pour les personnes qui en ont l’utilité
(3.4) Illisible au niveau stockage y compris sur support numérique portable, jeux de sauvegarde et journaux
+ gestion des clés
PCI DSS Roadshow Paris juillet 2013 37
Conclusion
PCI DSS Roadshow Paris juillet 2013 38
Nécessité de gouverner l’information, pour :
Mettre en œuvre des infrastructures Classifier/organiser les données Prendre en compte le cycle de vie
de l’information Assurer la qualité de l’information Administrer des politiques Gérer les risques et la conformité … Créer de la valeur
Etre efficace, … être compétitif