Offre 03 — Sécurité, résilience, archivage

Sécurité, résilience et archivage probant.

Sécuriser sans tout remplacer. Tester ce qui doit l'être. Garantir la valeur probante et la continuité de service. Choisir vos outils en connaissance de cause.

Objectif

Couvrir l'ensemble de la pyramide de résilience documentaire.

Cette mission couvre une chaîne complète — du contrôle d'accès jusqu'à la réversibilité — en s'appuyant sur les standards français et internationaux qui font autorité : NF Z42-013 et SEDA pour l'archivage probant, ISO 22301 pour la continuité d'activité, doctrine ANSSI pour les sauvegardes, CCAG-TIC pour la réversibilité.

01 — Sécurité d'accès et conformité

Le socle non négociable.

Avant toute logique de résilience, il faut maîtriser qui accède à quoi, ce qui se passe et la conformité réglementaire.

Gestion des accès

Matrice des droits par rôle et par projet, comptes à privilèges, procédures de départ et de changement de rôle, gestion des sous-traitants.

Traçabilité

Journal d'audit conservé, historique de versions, imputabilité des actions, preuves de validation horodatées et opposables.

Conformité RGPD

Cartographie des données sensibles, registre des traitements, durées de conservation CNIL, géolocalisation salariés, sous-traitance.

02 — Sauvegardes et immuabilité

La règle 3-2-1-1-0.

Doctrine ANSSI éprouvée contre le rançongiciel. Trois copies, deux supports, une hors site, une immuable, zéro erreur au test de restauration.

— 3 copies

Trois copies des données

Une production active + deux copies de secours indépendantes, avec versionnage permettant le retour arrière en cas de corruption.

— 2 supports

Deux supports différents

Disque local, NAS, stockage objet S3, bande LTO — la diversité technologique réduit le risque de défaillance corrélée.

— 1 hors site

Une copie hors site

Datacenter distinct, cloud en autre région, coffre externe. Protection contre la perte physique de site (incendie, sinistre).

— 1 immuable

Une copie immuable ou air-gap

Object Lock S3 (WORM), bande déconnectée, coffre numérique. Inviolable même par un compte administrateur compromis.

« Le 0 final — zéro erreur au test de restauration — est la condition souvent oubliée qui transforme une sauvegarde théorique en sauvegarde réellement opérante. »

03 — Tests systématiques

Ce qui n'est pas testé n'existe pas.

Un dispositif documentaire ne se déclare pas fiable — il se vérifie. Astrolab installe un programme de tests structuré et rythmé.

Test	Objet	Fréquence recommandée
Test de restauration	Vérifier qu'une sauvegarde se restaure réellement, complète, intègre, dans le temps prévu.	Trimestriel
Test de bascule PRA	Exercice grandeur réelle ou table-top de bascule sur le site de secours, scénario documenté.	Annuel (réel) · Semestriel (partiel)
Test de charge / stress	GED ou SAE soumis à 2× la volumétrie nominale, montée en concurrence, pics de versement.	Annuel · à chaque montée de version
Revue des accès	Audit des habilitations effectives, comptes à privilèges, comptes de service, comptes dormants.	Semestriel
Audit des journaux	Revue continue automatisée + revue manuelle des anomalies, conservation conforme.	Continu + revue trimestrielle
Test de chaîne probante	Vérification des empreintes, scellements, signatures, horodatages qualifiés (eIDAS).	Annuel

04 — RPO / RTO et continuité

Combien on accepte de perdre. Combien de temps on accepte d'être à l'arrêt.

Deux objectifs chiffrés qui pilotent toute l'architecture de continuité — alignés sur la criticité réelle de vos documents et de vos marchés.

RPO — Recovery Point Objective

Volume de données qu'on accepte de perdre en cas de sinistre. Mesuré en temps : « combien de minutes ou d'heures d'activité peut-on perdre ? ».

Actes engageants (visas, signatures contractuelles) — RPO ≤ 1 h.
Documents marchés en cours — RPO 4 h.
Fonds documentaire courant — RPO 24 h.
Archives intermédiaires — RPO 72 h acceptable.

RTO — Recovery Time Objective

Durée maximale d'indisponibilité tolérée. Mesurée en temps : « combien d'heures peut-on rester à l'arrêt avant que l'impact devienne inacceptable ? ».

Applicatifs critiques (signature, notification, plateforme acheteur) — RTO 4 h.
GED courante — RTO 24 h.
Outils de pilotage — RTO 48 h.
Fonds non actifs — RTO 72 h.

Ces ordres de grandeur sont indicatifs. Le calibrage final repose sur un BIA (Bilan d'Impact sur l'Activité) conforme ISO 22301, conduit avec la direction et les métiers.

05 — PCA et PRA

Plan de continuité.
Plan de reprise.

Deux dispositifs complémentaires, alignés sur la norme ISO 22301 et la doctrine ANSSI.

PCA — Continuité

Maintien des activités essentielles pendant la crise, en mode dégradé si nécessaire. Le PCA répond à la question : « comment continuons-nous à fonctionner malgré le sinistre ? ».

BIA — identification des activités critiques et de leur tolérance d'interruption.
Procédures de mode dégradé documentées.
Cellule de crise, chaîne d'astreinte, communication.
Sites alternatifs, équipements de secours, ressources humaines mobilisables.

PRA — Reprise

Restauration des systèmes après sinistre, dans des délais et niveaux de service prédéfinis. Le PRA répond à la question : « comment remettons-nous tout en marche ? ».

Architecture de secours documentée (site, cloud, hybride).
Procédures de bascule détaillées, ordre de restauration des applications.
RPO/RTO contractualisés avec l'hébergeur le cas échéant.
Tests de bascule réguliers, retours d'expérience, plan d'amélioration.

06 — Scénarios de sinistre

Six scénarios à couvrir explicitement.

Un dispositif crédible doit pouvoir nommer ses scénarios — pas seulement parler de « risque général ».

Rançongiciel

Chiffrement des données et des sauvegardes accessibles. Scénario n°1 aujourd'hui. Mitigation : copie immuable et air-gap obligatoires.

Destruction de site

Incendie type OVH Strasbourg 2021. Mitigation : copie hors site géographiquement distant, datacenter de secours.

Défaillance hébergeur

Panne durable, faillite, sanction administrative. Mitigation : réversibilité contractualisée et testée, formats ouverts.

Perte de personne-clé

Administrateur unique du SAE, dépositaire de connaissances tacites. Mitigation : doublure, documentation, comptes nominatifs.

Corruption silencieuse

Bit rot, erreur applicative propagée aux sauvegardes. Mitigation : empreintes, contrôles d'intégrité, conservation de versions anciennes.

Compromission privilégiée

Vol d'identifiants administrateur, exfiltration RGPD. Mitigation : MFA, séparation des rôles, surveillance comportementale.

07 — Archivage probant et conformité

L'archivage électronique est un droit dur, pas une option.

Les MOA publics sont soumis au Code du patrimoine : archives imprescriptibles, inaliénables, sous responsabilité de l'exécutif. Le SAE doit produire des dossiers opposables.

NF Z42-013

Norme française de référence (révisée 2020) pour les Systèmes d'Archivage Électronique à valeur probante. Cadre intégrité, traçabilité, sécurité, pérennité, réversibilité.

NF Z42-026

Numérisation fidèle des documents papier au sens du Code civil (art. 1379). Indispensable pour dématérialiser les dossiers de marchés anciens.

SEDA / MEDONA

Standard d'échange pour l'archivage public (NF Z44-022). Format XML obligatoire pour interopérer avec les Archives départementales.

OAIS — ISO 14721

Modèle conceptuel international des archives numériques (SIP, AIP, DIP). Socle théorique de SEDA et du programme Vitam.

Vitam

Back-office d'archivage open source porté par l'État (Culture, Affaires étrangères, Armées). Brique de référence pour les SAE publics.

Code du patrimoine

Articles L211-1 et s., L212-6, R212-10 — archives publiques imprescriptibles, élimination soumise au visa du SIAF, versement aux Archives départementales.

La valeur probante repose sur quatre fonctions cumulées : horodatage qualifié, intégrité (empreintes / scellement), imputabilité (signature, identité), traçabilité (journaux non répudiables).

08 — Réversibilité

La sortie se prépare à l'entrée.

Le CCAG-TIC 2021 rend la réversibilité obligatoire dans les marchés numériques. Astrolab cadre la clause, organise le transfert et opère la recette de restitution.

Formats ouverts documentés — PDF/A pour les documents, XML/SEDA pour les métadonnées, CSV/JSON pour les référentiels. Pas de format propriétaire pour l'export.
Schémas et documentation — modèle de données, dictionnaire des champs, documentation fonctionnelle et technique, scripts d'exploitation et paramétrages livrés en clair.
Période de réversibilité contractualisée — typiquement 3 à 6 mois, avec assistance du sortant et engagement de moyens humains.
Recette de restitution — bascule effective testée chez le successeur avant clôture, sur jeu de données représentatif, avec preuves d'intégrité.
Conservation après transfert — copie de sécurité conservée par le MOA pendant la durée légale, accès auditable.

Livrables complets de l'offre

Ce que vous repartez avec.

Matrice des droits d'accès

Cartographie des risques sécurité

Recommandations RGPD et registre

Politique de sauvegarde 3-2-1-1-0

Plan de tests structuré et calendrier

BIA et grille RPO/RTO calibrée

PCA documenté

PRA et procédures de bascule

Cartographie des scénarios de sinistre

Cahier des charges SAE conforme NF Z42-013

Grille comparative d'outils

Plan de réversibilité CCAG-TIC

Prenez la mesure de votre maturité documentaire

Demandez un diagnostic.

Deux semaines, un rapport, un plan d'action. C'est le format que choisissent nos clients pour engager la transformation.

Démarrer un diagnostic→