Les normes et référentiels

Le service InterDeposit a choisi de se conformer à plusieurs référentiels reconnus en ce qui concerne son socle technique mais également les prestataires de confiance auxquels il fait appel

Le Règlement Général de Sécurité

La sécurité d’InterDeposit repose principalement sur des fonctions cryptographiques. A ce titre, la solution suit les règles et recommandations du Référentiel Général de Sécurité.
Ce référentiel fixe, selon le niveau de sécurité requis, les règles que doivent respecter certaines fonctions contribuant à la sécurité des informations, parmi lesquelles la signature électronique, l’authentification, la confidentialité ou encore l’horodatage. Les règles formulées dans le RGS s’imposent et sont modulées en fonction du niveau de sécurité retenu par l’autorité administrative dans le cadre de la sécurisation des services en ligne dont il est responsable.

L’implémentation de ces règles est régulièrement auditée par un prestataire agréé par l’Anssi.

La conformité au RGS vérifie notamment les points suivants :

  • gestion de la confidentialité et de l’intégrité des clés ;
  • conformité des mécanismes d’authentification ;
  • conformité des mécanismes de génération (générateur d’aléas) et de taille des clés.

Horodatage

L’horodatage garantit, au-delà de la date et de l’heure du document, l’existence du document à cette date.

Le tiers horodateur utilisé lors du scellement des archives est :

  • conforme au RGS ;
  • certifié selon la norme européenne ETSI TS 102 023.

Archivage électronique

La plateforme InterDeposit fait appel à des tiers archiveurs qui possèdent les agréments et les certifications les plus exigeants du marché. Ces référentiels servent à garantir la disponibilité, l’intégrité, la confidentialité, la traçabilité et la pérennité des données conservées.

La norme NF Z42-013 sur l’archivage électronique

La norme NF Z42-013 énonce un ensemble de spécifications de l’Afnor concernant les mesures techniques et organisationnelles à mettre en œuvre pour l’enregistrement, le stockage et la restitution de documents électroniques, dans des conditions qui en garantissent l’intégrité.

L’agrément Siaf

Une procédure encadrée par l’agrément du Service interministériel des archives de France (Siaf), lequel contrôle l’ensemble des garanties que doivent fournir les prestataires, notamment pour la conservation des archives électroniques. Il est nécessaire pour le traitement des archives publiques.

L’agrément Données de santé

La procédure d’agrément des hébergeurs de données de santé à caractère personnel est précisée par le décret du 4 janvier 2006. L’agrément est délivré par le ministre chargé de la Santé, après avis motivé d’un comité d’agrément et de la Cnil, pour une durée de trois ans. Il est indispensable pour héberger des données de santé.
Le tiers archiveur respecte également d’autres normes et référentiels internationaux (notamment MoReq2).

La confidentialité et la protection des données

Afin d'authentifier, de sécuriser, d'assurer l'intégrité des échanges client/serveur et la confidentialité des archives, InterDeposit utilise une large panoplie de techniques cryptographiques.

Ces techniques impliquent l’utilisation d’algorithmes de chiffrement symétrique, asymétrique, et de fonctions de hachage/création d’empreintes (exemples : algorithme de chiffrement asymétrique RSA, algorithme de chiffrement symétrique AES 256, et algorithme de hachage SHA 256 et 512).

Les moyens cryptographiques sont utilisés à chaque étape du cycle de vie des archives (création, versement, restitution et destruction).

La distribution d’InterDeposit se fait selon deux modes : API et client lourd. L’utilisation des mécanismes cryptographiques diffère selon le type de distribution.

  • Encryptage sécurisé intégral des échanges
  • Standard de chiffrement avancé
  • Chiffrement symétrique AES256
  • Tiers horodateur par tiers de confiance
  • Horodatage certifié ETSI TS 102 023 et conforme RGS
  • Tiers archiveur agréé Service des Archives de France
  • Norme NZ42-013
  • Archivage des données en cloud souverain
  • Chainage de l’intégralité des transactions
  • Monitoring et contrôle de l’intégrité