Sécurité : les trois piliers pour verrouiller votre système de gestion des documents numériques

Dès lors qu’une entreprise gère des documents numériques, ils peuvent circuler beaucoup plus facilement. Un document électronique doit être aussi bien voire plus sécurisé qu’un document papier. Il est important d’avoir conscience qu’un document au sens large intègre non seulement un fichier mais aussi toutes les métadonnées qui y sont associées et les événements liés à son cycle de vie. Ces métadonnées peuvent provenir de procédures internes comme pour un numéro de facture ou de commande ou du contenu du document lui-même. Elles servent de critères de recherche aux traitements métiers ou encore de point d’intégration avec l’ERP de l’entreprise. Il est indispensable de pouvoir assurer un niveau de sécurité élevé pour l’ensemble de ces éléments. Comment ?

Nicolas Mignot, Senior Project Manager du Groupe T2i, explique quels sont les trois piliers à mettre en œuvre pour garantir un haut niveau de sécurité à vos documents numériques.

Sécurisation des données physiques

Le premier pilier porte sur l’infrastructure et le stockage physique attribué à vos documents au format numérique et à leurs métadonnées.

Il existe différentes couches et processus contribuant à la sécurisation de l’accès aux documents et à leur protection notamment en cas de défaillance du système. Les contrôles d’accès aux locaux, la télésurveillance, les firewalls, les systèmes de redondance et de sauvegarde, les procédures de reprise, les procédures de travail en mode dégradé sont autant de solutions qui doivent être pensées pour la protection de votre précieux patrimoine documentaire.

« L’ensemble de ces règles doivent être préalablement définies dans la politique d’archivage de l’entreprise et surtout éprouvées et mise à jour en fonction des retours d’expérience, précise Nicolas Mignot. Les technologies de stockage objet associées au Cloud qu’il soit public ou privé, offrent aux entreprises les outils adéquats pour un stockage sécurisé, permettant d’éviter la complexité et les problèmes d’évolutivité liés au stockage classique par fichier. La sécurité ne se résume pas seulement au cryptage du fichier, mais doit également contenir les dispositifs qui permettent de contrôler les accès aux objets. L’utilisation du protocole Amazone S3 associée au système d’authentification par token (de type OAUTH2) permettent d’en apporter les bonnes réponses. »

Sécurisation des droits d’accès

Le second pilier repose sur la sécurité des logiciels concernés par les documents numériques avec une politique stricte de droits d’accès et permissions accordés aux utilisateurs. Longtemps liée aux seuls documents, la sécurité doit aujourd’hui être davantage liée aux informations que l’utilisateur est habilité à connaître et à traiter. Informations qui se doit d’être protégée plus que jamais avec l’entrée en vigueur du RGPD.

« La sécurité se fait désormais au niveau du logiciel et de ses ressources : l’utilisation de protocole tel que OAUTH2 permet d’éviter que n’importe quel utilisateur puisse envoyer des requêtes au logiciel. Ce protocole veille également à ce que le logiciel n’interagisse qu’avec les systèmes pour lesquels il est autorisé à le faire », ajoute Nicolas Mignot.

Les logiciels de gestion de documents numériques doivent donc être en mesure de gérer et d’attribuer des droits d’accès complexes à un ou plusieurs utilisateurs, en fonction du niveau de sensibilité des documents et de leurs métadonnées.

 Traçabilité des événements

Le dernier pilier porte sur la traçabilité des événements dans le cycle de vie des documents numériques.

« L’entreprise doit être en mesure de prouver que ce qui s’est passé dans son système n’est pas dû à un acte illicite ou de malveillance mais à des actions autorisées pouvant être tracées, souligne Nicolas Mignot. Par exemple, il est essentiel de pouvoir être en capacité de prouver que lorsqu’un document a été consulté, modifié ou supprimé, il l’a été selon des règles spécifiées et mises en place par la politique d’archivage  ».

Afin de garantir que les événements tracés ne puissent à leur tour être détournés ou falsifiés, il est nécessaire de réaliser un historique journalier des événements. L’archiver avec signature et horodatage permet d’en assurer l’authenticité dans le système de gestion numérique des documents. L’entreprise dispose ainsi toujours des éléments de preuves de tout ce qui est survenu dans le système de gestion de documents.

En conclusion, ces trois piliers permettent de sécuriser efficacement un système d’archivage des documents numériques. Pour autant, le niveau de sécurité exigé pourra être différent d’une entreprise à l’autre.

« Nous observons que le niveau de sécurité accordé aux documents dépend du domaine d’activité, explique Nicolas Mignot. En effet, les enjeux internes, financiers, publics, politiques ou encore d’image sont différents entre une banque, une assurance, un hôpital, une entreprise du secteur secondaire ou du service public. Le niveau de sécurité dépend également de la sensibilité de l’entreprise à la gestion des risques. Il faut d’ailleurs noter que l’analyse des risques de l’entreprise doit impérativement être un des points de départ dans l’élaboration du concept de sécurisation de ses documents numériques. »