apports de la gestion des risques aux projets de
TRANSCRIPT
Apports de la gestion des risques
aux projets de digitalisation
JM Rietsch Ingénieur civil des Mines Expert international en dématique* Chargé de cours à Mines ParisTech Président région Sud Paca du pôle 4CN
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 1
*Contraction de dématérialisation et d’informatique la dématique correspond à la science traitant de la dématérialisation, de la digitalisation, de la conservation de données numériques et de l’archivage électronique.
Quelques réalisations
Missions
Mise en place de nombreux processus « documentaires » dématérialisés mettant en œuvre la signature électronique. Réalisation de politiques d’archivage, dossier de preuve, politique de gestion de preuve
Elaboration d’un référentiel (PSDC) pour le Grand Duché du Luxembourg
Développement de la première version de la carte d’identité électronique monégasque (CIME) au format ECC (European Citizen card)
Participation à la dématérialisation des établissement du groupe RGDS (Ramsay Générale de Santé)
Formations sous la marque Demateus
A l’origine dès 2008 d’un mastère sous forme de deux BADGEs avec MinesParistech, Management de la démat et de l’archivage électronique, management du patrimoine informationnel
Mise en œuvre de formations certifiantes sur la dématique
Développement d’une méthode technico-juridique originale pour la gestion des risques des processus dématérialisés.
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 2
Plan de la présentation
Définition d’un projet de digitalisation
Grandes étapes d’un projet
Identification des besoins (risque/impacts)
Choix d’une solution (risque/non-conformité)
Contrôle et audit (analyse traditionnelle EBIOS)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 3
Définition d’un projet de digitalisation
dans le cadre d’un processus documentaire Importance de la prise en compte de la globalité des aspects à aborder
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 4
Rappels
Dématérialisation :
Changement de support Numérisation (idem re matérialisation)
Par rapport à un processus Digitalisation
Conservation d’un document numérique :
Stockage
GED, gestion électronique de document
Archivage électronique (notion de valeur probante)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 5
Garantir : disponibilité, confidentialité et authenticité du document
pérennité, intégrité, origine et confidentialité (fonction du doc)
Dématique
Cycle de vie du/des documents
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 6
Elaboration
Document
Validation
Signature
Conservation
Archivage
Grandes étapes d’un projet de digitalisation
1. Définition précise des besoins: fonctionnels,
organisationnels,
légaux et règlementaires
Liste des exigences (objectifs de sécurité) mesures à satisfaire
2. Choix de la solution
Mise en œuvre et réalisation de la documentation indispensable
(dossier de preuve et politique de gestion de preuve)
3. Analyse / Contrôle de la solution mise en place
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 7
Principaux intervenants au projet
Le client, le demandeur, le métier (avec une approche
pluridisciplinaire)
Les fournisseurs de solution techniques, éditeurs,
intégrateurs
Les fournisseurs de service de confiance, internes
et/ou externes (PSCO)
Les contrôleurs, auditeurs
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 8
1- Comment bien définir ses besoins Vision transverse: fonctionnelle, organisationnelle, légale et règlementaire
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 9
IMPACTS
Définition du besoin (sensibilité du document)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 10
Analyse processus
Définition processus cible
Analyse d’impact
Sensibilité document
Niveau de service
Type de solutions
Définition du besoin (sensibilité du document)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 11
Analyse processus
Définition processus cible
Analyse d’impact
Sensibilité document
Niveau de service
Type de solutions
Analyse d’impact
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 12
Impact sur le risque, l’altération, la perte du document, la remise en cause de la signature
Importance de l’impact
Coefficient de pondération
Evaluation de l’impact
Perturbation du fonctionnement interne n 1 1 E 1 = c1 x n 1
Perte d'image de marque n 2 3 E 2 = c2 x n 2
Pertes financières n 3 4 E 3 = c3 x n 3
Perte de biens, de fonds, de valeurs …. …. ….
Poursuites judiciaires et pénalités …. …. ….
Atteinte à la vie privée …. …. ….
Perte d'efficacité, de confiance
Résultat R = max (E i)
Sensibilité document / échelle
Échelle à définir
Définition du besoin (sensibilité du document)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 13
Analyse processus
Définition processus cible
Analyse d’impact
Sensibilité document
Niveau de service
Type de solutions
Rappel des niveaux de service étendus eIDAS
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 14
Niveau de service Niveau de garantie juridique
Simple garantie faible
Avancé garantie offerte en référence à des
normes représentatives de l’état de l’art
Qualifié présomption de fiabilité
Niveau de service Niveau de garantie juridique
Simple garantie faible
Avancé faible
garantie moyenne, référence à des
normes
« avec des exigences minimales »
Avancé fort garantie forte, conformité à l’état de l’art
Qualifié présomption de fiabilité
Variante :
Niveau de service retenu
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 15
Sensibilité
document
Niveau de garantie
juridique
Niveau de
service Faible garantie faible Simple
Moyenne garantie offerte en référence à
des normes représentatives de
l’état de l’art Avancé
Forte présomption de fiabilité Qualifié
Il est tout à fait possible de retenir un niveau de service différent (supérieur
voire inférieur) à celui proposé mais à faire en parfaite connaissance de cause.
Types de solutions, fonction du niveau retenu
Critères de choix
Signature : Avec ou sans certificat électronique, qualifié ou non,
Type d’authentification du signataire (faible, substantiel, élevé)
Avec ou sans dispositif de création de signature, qualifié ou non,
Avoir ou non recours à un PSCO, qualifié ou non.
Conservation : Stockage
GED
Recours à un SAE, certifié ou non
Traçabilité : Système
Applicative
Sécurisée
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 16
Liste des exigences et mesures Quels référentiels pour quels services ?
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 17
Rappel organisation règlement européen
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 18
eID
Reconnaissance
mutuelle
Services de confiance
Règlement eIDAS
Signature Validation
Conservation
Cachet Validation
Conservation
Authentificat
Sites Horodatage Recommandé
Electronique
Services de base d’un processus de digitalisation
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 19
Elaboration
Document
Validation
Signature
Conservation
Archivage
Trois services de base :
signature,
conservation,
traçabilité des échanges.
Qualification d’un service de confiance
Vision eIDAS
1. Partie générique PSCO
Article 24 du règlement eIDAS
Interprétation /ETSI (319 401-411-412 …) - et /ISO 27k (ENISA)
Niveau d’application de la norme ISO 27001 (ENISA)
2. Partie propre au(x) service(s)
Les niveaux de service eIDAS: simple (ne veut pas dire simpliste),
avancé et qualifié
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 20
Niveaux d’application de la norme ISO 27001
Source ENISA
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 21
Niveau de service Niveau de garantie juridique a priori
Basic
Mesures de sécurité de base qui pourraient être mises en
œuvre pour atteindre l'objectif de sécurité
Exemple permettant de vérifier que des mesures de base
sont effectivement en place
Standard de l’industrie
mesures de sécurité standard de l'industrie pour atteindre
l’objectif
Exemple de mesures standards de l’industrie et preuve de la
révision et de la mise en place d’actions suite à des
changements et ou des incidents
Etat de l’art
Mesure de sécurité avancées, conformes à l’état de l’art et
suivi continu de la mise en œuvre, examen structurel de la
mise en œuvre, en tenant compte des changements,
incidents, essais et tests, pour améliorer de manière
proactive la mise en œuvre des mesures de sécurité
Exemples de mise en œuvre (avancée), preuve d'un
processus d'examen structurel et preuve de mesures
proactives destinées à améliorer la mise en œuvre des
mesures de sécurité
Etat des référentiels
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 22
Exigences génériques
Signature :
Simple
Avancée
Qualifiée
Conservation :
Simple
Avancée
Qualifiée
Traçabilité:
Simple
Avancée
Qualifiée
Conservation, référentiel adapté aux
niveaux eIDAS
Référentiels existants :
NF Z42-013 ISO NF461
NF Z42-020 NF203
NF Z42-026
Coffre fort CNIL
Label FNTC
ISO 14721
ISO 15489, ISO 30300
ISO 27001 (SOA)
ETSI 101 533-1
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 23
Méta référentiel (s, A, Q)
Traçabilité, référentiel spécifique
Contenu du fichier des éléments techniques de preuve
Evènements tracés, en particulier les interrogations ou non
Eléments constitutifs d’une trace
Sécurisation des traces :
Chaînage avec horodatage et/ou scellement
Durée de conservation
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 24
Référentiels
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 25
Exigences génériques ISO 27001
Signature :
Simple
Avancée
Qualifiée
Conservation :
Simple
Avancée
Qualifiée
Traçabilité:
Simple
Avancée
Qualifiée
2- Comment choisir une solution Vision transverse: fonctionnelle, organisationnelle, légale et règlementaire
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 26
NON CONFORMITE
Evaluation des solutions
On calcule son pourcentage de conformité par rapport aux référentiels
disponibles
Signature : conformité 70%
Conservation : conformité 80%
Traçabilité : conformité 60%
On calcule ensuite une note moyenne en appliquant des coefficients de
pondération
Note = (70xc1 + 80xc2 + 60xc3)/(c1+c2+c3) soit 70 avec c1=c2=c3=1
On ramène enfin la note sur 20 en divisant par 5
On obtient ainsi la note de 14 pour la solution analysée
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 27
Il est dès lors très facile de comparer les solutions entre elles d’un point de vue
conformité sachant qu’il faudra encore y ajouter la notion de coût …
3- Analyse, contrôle de la solution
mise en place
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 28
Mise en œuvre méthode EBIOS classique
Adaptée à la digitalisation BIENS ESSENTIELS
Génériques
Corpus documentaire :
Dossier de preuve
Politique de gestion de preuve
Tableau de gestion / Politique d’archivage
Signature électronique
Données personnelles des signataires
Document et annexes
Eléments de preuve
Fonctions-processus
Préparation du/des documents à signer
Signature effective
(Archivage des documents)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 29
Mise en œuvre méthode EBIOS classique
Adaptée à la digitalisation
Conservation/Archivage
Biens essentiels (idem SE) données
Fonctions
Versement, conservation (pérennité), consultation, destruction, gestion des données descriptives
Transfert
Biens essentiels (idem SE) données
Fonctions
Envoi des documents
Réception des documents
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 30
Exemples évènements redoutés Le service n’est plus accessible dans sa globalité
Une partie des fichiers de traces est détruite
La qualité de la numérisation n’est plus suffisante
Les documents scannés sont altérés
Les documents scannés sont détruits en tout ou partie
Les documents papier sont divulgués avant/après numérisation
Les documents papier ne sont pas détruits après numérisation dans les conditions prévues
La fonction versement n’est plus accessible
La fonction stockage n’est plus accessible
La fonction restitution n’est plus opérationnelle
Une partie des documents n’est plus intègre
Divulgation de certains documents
Certains documents sont perdus (possible au moment d’une migration de support)
Certains documents sont détruits dans leur entièreté
La base des données descriptives (correspondant en particulier à certaines métadonnées) est
corrompue
La base des index est détruite
Les documents ne sont plus lisibles / intelligibles (possible après une mauvaise conversion de format)
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 31 Etc …
So what ?
EBIOS EIDAS 2016 32
Autorités publiques
Entreprises
Citoyens
Utilisation d’un outil
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 33
Partenariat en cours avec EGERIE afin d’utiliser leurs outils logiciels :
Questionnaire
Référentiels
Analyse
Présentation du paramétrage résultant avant la fin de l’année.
Merci pour votre attention
Q & R
EBIOS 2018 – Gestion d’un projet de digitalisation – Copyright JM Rietsch 34