OAIS en pratique pour les organismes réglementés

[tta_listen_btn]

image montrant l'oais en pratique pour les organismes réglementés

Table des matières

L'OAIS (Open Archival Information System), défini dans la norme ISO 14721, est souvent considéré comme une théorie, mais il s'agit en fait d'une boîte à outils de survie pour les organismes réglementés. Il ne s'agit pas de logiciels ou de fournisseurs. Il s'agit de construire un cycle de vie de la conservation qui puisse résister aux audits, aux litiges et aux changements technologiques. Cet article explique pourquoi l'OAIS est important pour votre organisation et vous montre comment évaluer si vos archives conservent réellement des documents ou si elles se contentent de stocker des fichiers.

 

Ce qu'est l'OAIS

OAIS est l'acronyme de Open Archival Information System (système d'information archivistique ouvert). ISO 14721. Il ne s'agit pas d'une spécification de produit ou d'une liste de caractéristiques. Il s'agit plutôt d'un cadre conceptuel qui décrit les fonctions essentielles d'un système d'information. archives à long terme doit accomplir pour que l'information reste trouvable, compréhensible et digne de confiance pendant des décennies. Que vous construisiez une archive en interne ou que vous choisissiez un fournisseur, OAIS vous donne le langage pour décrire ce qu'un système de préservation doit faire, et la liste de contrôle pour vérifier qu'il le fait réellement.

 

L'importance de l'OAIS dans les environnements réglementés

Les régulateurs et les auditeurs ne s'intéressent généralement pas à l'interface utilisateur ou à la liste des fonctionnalités d'un fournisseur. Ce qui les intéresse, c'est

  • si l'intégrité peut être démontrée, et pas seulement revendiquée ;
  • si la conservation et la suppression sont contrôlées et vérifiables ;
  • la traçabilité de l'accès (qui a vu quoi, quand) ;
  • la question de savoir si les enregistrements restent lisibles et vérifiables après les changements technologiques.

 

OAIS est important parce qu'il vous oblige à considérer les archives comme un cycle de vie, et non comme un dépôt. Un dépôt est un endroit où les fichiers sont conservés jusqu'à ce que quelqu'un en ait besoin. Un cycle de vie est une série de fonctions actives qui prouvent que les documents sont toujours ce que vous prétendez qu'ils sont et que vous en prenez toujours soin. Les régulateurs et les auditeurs veulent voir la preuve d'un cycle de vie.

 

Les six fonctions de l'OAIS : Cartographie pratique

OAIS définit six fonctions essentielles. Voici ce que chacune d'entre elles signifie concrètement pour votre organisation.

1. Ingérer : Absorption contrôlée

Objectif : Accepter les informations dans les archives d'une manière contrôlée et reproductible.

En pratique, cela signifie que

  • Contrôle de l'apport de sources multiples (courrier électronique, portails, DMS, applications professionnelles) avec des règles de validation cohérentes.
  • Contrôles d'exhaustivité (tous les fichiers sont-ils présents, sont-ils lisibles, contiennent-ils des métadonnées)
  • Identification et validation du format (qu'est-ce que ce fichier, pourrons-nous le lire dans 20 ans ?)
  • Contrôle des signatures et des preuves, le cas échéant

 

Pourquoi c'est important : Si vous ingérez au hasard sans vérification, vous vous retrouvez avec une collection de fichiers orphelins plutôt qu'avec une archive défendable. L'ingestion est le moment où vous prouvez que l'enregistrement est authentique et complet.

 

2. Stockage d'archives : Conservation protégée

Objectif : Protégez le contenu archivé contre la corruption, la perte ou la falsification.

En pratique, cela signifie que

  • Redondance sur plusieurs sites et systèmes de stockage
  • Contrôles de fixité (vérification que les fichiers stockés n'ont pas été modifiés silencieusement ; sommes de contrôle recalculées au fil du temps)
  • Contrôle de l'intégrité en cas de défaillance du matériel, de dégradation des supports ou de modifications non autorisées
  • Mécanismes de preuve et pistes d'audit pour chaque action de stockage

 

Pourquoi c'est important : La corruption des fichiers est silencieuse. Un fichier peut être illisible, mais vous ne le saurez pas tant que vous n'aurez pas essayé d'y accéder. L'archivage consiste à prouver en permanence que vos documents sont toujours intacts.

 

3. Gestion des données : Faire en sorte que les documents puissent être découverts et expliqués

Objectif : Gérer les métadonnées et les index afin que les documents restent consultables et explicables.

En pratique, cela signifie que

  • Des modèles de métadonnées structurés qui décrivent la nature du document, son origine, son importance et sa durée de conservation.
  • Attributs de conservation liés à des exigences légales ou opérationnelles
  • Des plans de classification et de classement qui reflètent le contexte de votre entreprise
  • Des index consultables qui survivent aux changements technologiques

 

Pourquoi c'est important : Sans métadonnées de qualité, les documents deviennent orphelins. Un fichier sans contexte est une responsabilité juridique. C'est la gestion des données qui permet de transformer des fichiers vierges en documents porteurs de sens.

 

4. L'accès : Récupération contrôlée

Objectif : Assurer une récupération contrôlée sans compromettre la confiance.

En pratique, cela signifie que

  • Modèles d'accès en lecture seule (empêchent toute modification ou suppression occasionnelle)
  • Contrôles d'accès basés sur les rôles et les attributs (les auditeurs ne voient que ce qu'ils sont autorisés à voir)
  • Journaux d'audit complets pour chaque événement d'accès (qui, quoi, quand, pourquoi)
  • Exportations contrôlées prouvant la chaîne de contrôle et l'intégrité

 

Pourquoi c'est important : Si les auditeurs peuvent accéder aux fichiers mais que vous ne pouvez pas prouver qui a accédé à quoi, vos archives ne résisteront pas à un examen minutieux. L'accès doit être contrôlable, et pas seulement autorisé.

 

5. Planification de la préservation : Rester pertinent face à l'évolution de la technologie

Objectif : Maintenir l'information utilisable au fur et à mesure de l'évolution des technologies et des normes.

En pratique, cela signifie que

  • Validation des formats (contrôle des types de fichiers qui deviennent obsolètes)
  • Planification de la migration (comment allez-vous convertir les anciens formats en nouveaux, et comment allez-vous prouver que la conversion est authentique)
  • Renouvellement des preuves pour les signatures numériques (à mesure que les normes cryptographiques s'affaiblissent, les signatures doivent être ré-horodatées ou scellées à nouveau).
  • Surveillance des algorithmes et des normes (suivi des algorithmes qui perdent la confiance)

 

Pourquoi c'est important : La préservation n'est pas passive. La technologie évolue rapidement ; vous devez planifier à l'avance ou risquer de perdre l'accès. Un document Word 97 n'est pas lisible sur les systèmes modernes sans interprétation ; cette interprétation est une action de préservation, et elle doit être vérifiable.

 

6. Administration et gouvernance : Rendre les archives défendables

Objectif : Veillez à ce que les archives soient vérifiables, conformes et défendables.

En pratique, cela signifie que

  • Des politiques claires, des rôles et une séparation des tâches (de sorte qu'aucune personne ne puisse supprimer silencieusement des documents).
  • Configuration de l'audit (enregistrement de toutes les actions du système et accès en lecture seule pour les auditeurs)
  • Flux de travail pour la conservation et la mise en suspens légale (définir qui peut supprimer quoi et quand)
  • Effacement contrôlé et preuve d'élimination (prouvant que l'effacement s'est déroulé comme autorisé et que rien n'a été laissé sur place)

 

Pourquoi c'est important : Sans gouvernance, une archive n'est qu'une boîte noire. Les auditeurs doivent être en mesure de comprendre les règles, de consulter les journaux et de confirmer que les archives ont respecté leurs propres politiques.

 

SIP, AIP, DIP : ce que ces termes signifient (et pourquoi ils sont importants)

OAIS utilise le concept de ‘paquets d'informations’ pour communiquer ce qui est préservé. Ces trois éléments sont fondamentaux pour comprendre le cycle de vie de la préservation :

SIP (Submission Information Package) : Ce qu'un client ou un système soumet dans l'archive. Le SIP comprend les fichiers, les métadonnées et toutes les preuves à l'appui (signatures, horodatages). Il est vérifié et validé au moment de l'ingestion.

AIP (Archival Information Package) : Ce que l'archive stocke à long terme. L'EP comprend le contenu, les métadonnées et les métadonnées de conservation (contrôles d'intégrité, provenance, historique des versions). C'est ce que les auditeurs et les avocats veulent voir.

DIP (Dissemination Information Package) : Ce qui est remis à un utilisateur autorisé. Le DIP est souvent une vue contrôlée ou un sous-ensemble de l'AIP ; un avocat peut ne voir que la version finale signée, et non tous les brouillons ou les journaux d'accès.

Une analogie pratique : Pensez à une salle d'audience d'un tribunal. Le SIP est le sac de preuves que vous remettez au greffier. Le PIA est la boîte scellée et cataloguée, avec un registre d'audit de toutes les personnes qui l'ont touchée. Le DIP est la vue contrôlée que vous donnez au juge, avec les parties sensibles expurgées. Si un fournisseur n'est pas en mesure d'expliquer clairement ce qui se trouve dans chaque paquet et comment l'intégrité et le contexte sont préservés, vous disposez probablement d'un dépôt et non d'un système de préservation.

 

Liste de contrôle de l'état de préparation à l'OAIS

Utilisez ces six questions pour évaluer si votre organisation est prête pour la préservation alignée sur OAIS, ou pour évaluer un fournisseur.

  • Comment prouver l'intégrité dans le temps (contrôles de fixité, mécanismes de preuve, journaux d'audit) ?
  • Quel est votre plan en cas d'obsolescence des formats ? Pouvez-vous migrer les fichiers tout en prouvant leur authenticité ?
  • Comment préserver la provenance et le contexte commercial ? Pouvez-vous expliquer à un auditeur pourquoi ce document est important et d'où il provient ?
  • Comment fonctionnent la conservation et les mises en suspens légales ? Qui décide de ce qui est supprimé et quelle preuve existe-t-il que la suppression a eu lieu ?
  • Comment les auditeurs peuvent-ils accéder aux documents sans obtenir un accès général au système ? Existe-t-il un moyen de lecture seule et de traçabilité ?
  • Pour les documents comportant beaucoup de signatures, quelle est votre approche du renouvellement des preuves à mesure que les normes cryptographiques évoluent ?

 

Si vous ne pouvez pas répondre clairement à ces questions, c'est que votre organisation n'est pas encore prête pour la préservation à long terme, ou que les solutions sur lesquelles vous vous appuyez ne sont pas correctement alignées sur les principes de préservation.

 

Comment Docbyte Vault s'aligne sur OAIS

Docbyte Vault est conçu dès le départ comme un système de préservation aligné sur l'OAIS. Il est certifié eIDAS et conçu pour prendre en charge les six fonctions OAIS de manière à survivre aux audits et aux litiges.

Ingestion: Vault accepte les enregistrements provenant de différents canaux (DMS, courrier électronique, portails, applications professionnelles) avec validation automatique, identification du format, vérification de la signature et enrichissement des métadonnées.

Stockage d'archives : Vault stocke les enregistrements avec des contrôles de fixité cryptographiques, un stockage redondant sur des sites géographiquement dispersés, une surveillance continue de l'intégrité et des pistes d'audit immuables.

Gestion des données : Vault offre une gestion structurée des métadonnées, des attributs de conservation liés aux règles réglementaires et commerciales, des index consultables et une capture complète de la provenance.

Accès: Vault offre des contrôles d'accès basés sur les rôles, une récupération prête pour l'audit, un accès en lecture seule pour les enregistrements sensibles et une traçabilité complète de qui a accédé à quoi et quand.

Planification de la préservation : Vault surveille les formats, planifie les migrations, soutient le renouvellement des preuves pour les signatures numériques, et suit l'évolution de la puissance des algorithmes cryptographiques.

L'administration : Vault met en œuvre une gouvernance basée sur des règles, maintient des journaux d'audit immuables, prend en charge les flux de travail de conservation et de mise en attente légale, et fournit une preuve d'élimination pour les enregistrements supprimés.

Vault étant certifié eIDAS, les contrôles de conservation eux-mêmes sont vérifiables et conformes aux exigences des services de confiance. Cela signifie que vous n'avez pas à dépenser des ressources internes pour prouver que la conservation a bien lieu ; c'est la qualification qui s'en charge.

 

Prochaines étapes

Si votre organisation doit défendre des documents lors d'un audit ou d'un litige, OAIS fournit le cadre. Si vous comptez actuellement sur un système de gestion de documents ou sur un système de stockage général pour la conservation à long terme, vous êtes exposé. Vault vous aide à passer d'un stockage passif à une conservation active et vérifiable.

Faites de vos archives un atout stratégique
Contactez Docbyte pour discuter de la manière dont une approche alignée sur l'OAIS peut transformer vos archives d'un fardeau de conformité en un atout stratégique.

Contactez-nous dès aujourd'hui !

Image de Frederik Rosseel
Frederik Rosseel

Bonjour, je suis Frederik, PDG de Docbyte. Pionnier des solutions d'archivage numérique et des services de confiance qualifiés depuis des années, je distille cette expérience inestimable dans mes écrits. Mon objectif est d'aider les entreprises à obtenir une sécurité des données solide et une conformité réglementaire sans faille grâce à des informations claires et nettes.

Contactez-nous


Chez Docbyte, nous prenons votre vie privée au sérieux. Nous n'utiliserons vos informations personnelles que pour gérer votre compte et vous fournir les produits et services que vous nous avez demandés.

Vous souhaitez contribuer à notre blog ?
Blogs récents