Étape 1 : identifier les besoins
Avant tout audit technique, une organisation doit répondre à une question simple : a-t-elle besoin de fournir un service d’archivage électronique qualifié au sens d’eIDAS 2 ? «Aujourd’hui, les cas d’usage qui imposent explicitement ce niveau d’archivage ne sont pas encore définis, observe Léo Lemeille. Une transition se dessine, mais rien n’oblige les organisations à y avoir recours immédiatement. » La NF 461 continue de répondre aux besoins de la majorité des organisations, y compris dans des secteurs aussi exigeants que la banque ou l’assurance.
Pour autant, ce n’est pas une raison pour ignorer le sujet, c’est un cadre essentiel pour prioriser les chantiers. L’archivage qualifié s’imposera progressivement, dans les usages où la preuve et la valeur juridique maximale des archives sont déterminantes, et à mesure que le cadre réglementaire sectoriel se précise.
Étape 2 : identifier les chantiers
Côté technique, bonne nouvelle : la base fonctionnelle d’un SAE certifié NF 461 reste largement valide. Gestion des durées de conservation, pérennité des formats, traçabilité, gestion des métadonnées : la norme technique encadrant l’archivage qualifié s’en inspire largement. « Une grande partie des exigences qui existent déjà dans la NF 461 sont reprises dans le référentiel de l’archivage qualifié », confirme Léo Lemeille.
L’écart avec la certification NF 461 porte principalement sur:
- L’exploitation du service dans un environnement sécurisé et strictement isolé des services non qualifiés (séparation au niveau des systèmes, des réseaux, voire physique).
- L’intégration de services de confiance qualifiés dans la chaîne d’archivage : horodatage qualifié, signatures ou cachets électroniques qualifiés.
- Une supervision continue, des mécanismes de détection structurés, ainsi qu’une capacité démontrée à reconnaître, communiquer et traiter un incident affectant la chaîne de confiance.
- Une traçabilité exhaustive et une chaîne de preuves durcie.
- Une capacité à garantir l’antériorité de la preuve et de maintenir la preuve dans le temps, au‑delà de la traçabilité temporelle assurée par la NF 461.
Sur le plan organisationnel, les différences avec la norme NF 461 impliquent un changement d’échelle significatif, tant en matière de gouvernance que d’exploitation du service comme service de confiance à part entière. Elles couvrent de manière plus stricte :
- Une gouvernance renforcée, avec des rôles de confiance, des responsabilités et des procédures documentées au niveau attendu d’un service de confiance qualifié.
- Un parcours de qualification auprès de l’ANSSI et un régime de contrôle renforcé : un audit par un organisme accrédité et une décision de qualification par l’ANSSI tous les deux ans, un audit externe de suivi annuel, des audits internes, des tests de sécurité…
- La capacité à opérer le service de manière fiable et pérenne, y compris en situation dégradée ou de crise, avec des circuits de décision clairement définis.
- Une gestion structurée du cycle de vie du service, couvrant l’introduction de changements, l’évolution des composants techniques et la communication des événements significatifs aux autorités compétentes.
- Une maîtrise renforcée des dépendances et des interfaces, notamment vis‑à‑vis des autres services de confiance interconnectés, dont la conformité conditionne la validité globale de la chaîne de confiance.
- Une approche probatoire de bout en bout, intégrant la conservation, la traçabilité et l’auditabilité des éléments permettant de démontrer la conformité du service dans la durée.
Étape 3 : établir un plan d’action
« L’archivage qualifié, ce n’est pas uniquement une chaîne d’API à brancher ! C’est un modèle de fonctionnement exigeant, avec des responsabilités attribuées, des processus clairs et une maîtrise opérationnelle supérieure à celle d’un SAE classique », insiste Léo Lemeille. La priorité : se concentrer d’abord sur le socle organisationnel, c’est-à-dire les référentiels standards applicables aux services de confiance, avant de traiter les spécifications techniques.
Concrètement, cela signifie de prendre du recul sur les pratiques en place, d’en cartographier les processus et d’évaluer la maturité de l’organisation à opérer un service de confiance qualifié. Les exigences techniques sont élevées, mais elles ne deviennent réellement atteignables que si le cadre organisationnel est déjà conforme aux attentes d’un service de confiance qualifié.
Étape 4 : conduire la transition de manière progressive
Une fois le plan d’action établi, la transition vers l’archivage qualifié peut être conduite de manière progressive.
Le SAE certifié NF 461 est maintenu pour les besoins standards, tandis qu’un environnement d’archivage qualifié est déployé en parallèle sur un périmètre ciblé. Les deux systèmes coexistent dans des environnements strictement cloisonnés, chacun répondant à des usages et des niveaux distincts. « Cette approche permet de structurer une trajectoire de transition réaliste vers l’archivage qualifié, sans imposer de transformation brutale à l’existant », résume Léo Lemeille.
L’essentiel du travail (mise en place d’une gouvernance de service de confiance, préparation à opérer le service de manière fiable et résiliente, maîtrise des dépendances et des interfaces, organisation d’une chaîne de bout en bout…) peut commencer maintenant, indépendamment du calendrier réglementaire et malgré le fait que les organismes évaluateurs ne soient pas encore identifiés. C’est ce socle organisationnel qui déterminera, le moment venu, la capacité réelle d’une organisation à opérer un service de confiance qualifié et ainsi répondre efficacement à la demande le jour où elle se manifestera.