Chapitre 10 -- Feuille de route du SAE ProbatioVault¶
Le present chapitre dresse un panorama de la maturite du Systeme d'Archivage Electronique ProbatioVault. Il distingue les composants en production, ceux en cours de developpement et ceux planifies sur l'horizon 2026, conformement aux exigences ISO 14641:2018 et NF Z42-013:2020. Chaque element porte un statut explicite (DONE, En cours ou Planifie) afin d'eviter toute ambiguite entre ce qui est operationnel et ce qui releve de la trajectoire.
10.1 Composants implementes (DONE)¶
L'ensemble des briques fondamentales du SAE sont en production. Elles couvrent le stockage immutable, la securite cryptographique, la chaine de preuve probatoire, la tracabilite et le partage delegue.
| Composant | Stories | Description synthetique | Chapitre de reference |
|---|---|---|---|
| Architecture stockage S3/Glacier | PD-1 | Stockage WORM multi-cloud avec Object Lock COMPLIANCE sur OVH (region Paris) et archivage froid sur AWS Glacier Deep Archive (Paris + CRR Frankfurt). La durabilite repose sur la replication cross-region et l'immutabilite logique garantie par le mode COMPLIANCE. | Ch. 4 -- Stockage |
| Chiffrement client-side zero-knowledge | PD-4, PD-5, PD-6 | Chiffrement AES-256-GCM realise cote client avant tout transfert. Le serveur ne dispose jamais des cles de dechiffrement ni des donnees en clair, assurant la confidentialite meme en cas de compromission de l'infrastructure. | Ch. 3 -- Securite |
| Gestion de cles HSM PKCS#11 | PD-7, PD-8 | Les cles maitres (K_master) sont generees et stockees dans des modules materiels AWS CloudHSM certifies FIPS 140-2 niveau 3. Les operations cryptographiques critiques (signature, key wrapping) ne quittent jamais le perimetre du HSM. | Ch. 3 -- Securite |
| Piste d'audit append-only | PD-19 | Journal immutable enregistrant chaque evenement significatif du SAE (ingestion, consultation, destruction, modification de droits). Les entrees sont ecrites en mode ajout seul (append-only) et ne peuvent etre modifiees ni supprimees. | Ch. 7 -- Tracabilite |
| Arbres de Merkle et batch cryptographique | PD-33, PD-34 | Regroupement des empreintes documentaires en lots (batches) organises en arbre de Merkle. Chaque racine est horodatee via une autorite de confiance TSA (RFC 3161), offrant une preuve d'inclusion verifiable pour tout document du lot. | Ch. 5 -- Chaine de preuve |
| Ancrage blockchain | PD-36 | La racine Merkle horodatee est ancree sur une chaine publique, produisant une preuve verifiable par un tiers independant. Cette couche assure la non-repudiation et l'immutabilite publique de la preuve probatoire. | Ch. 5 -- Chaine de preuve |
| Signature HSM des journaux d'audit | PD-37 | Les entrees du journal d'audit sont signees individuellement en ECDSA via le HSM. La verification cryptographique permet de detecter toute tentative de falsification des logs apres ecriture. | Ch. 7 -- Tracabilite |
| Proxy Re-Encryption (PV-PRE) | PD-60 | Mecanisme de partage delegue permettant a un utilisateur d'accorder l'acces a un document sans que le serveur ne dechiffre le contenu. Le re-chiffrement s'effectue au niveau du proxy, preservant le zero-knowledge. | Ch. 3 -- Securite |
| Destruction controlee avec bordereau probatoire | PD-250 | Processus irreversible de suppression d'un document archive, accompagne de la generation automatique d'un bordereau probatoire. Ce bordereau atteste de l'identite du document detruit, de l'autorite ayant ordonne la destruction et de l'horodatage de l'operation. | Ch. 6 -- Cycle de vie |
Bilan : Les 9 composants ci-dessus couvrent les exigences fondamentales d'un SAE conforme aux normes ISO 14641:2018 et NF Z42-013:2020 en matiere de stockage, securite, integrite, tracabilite et cycle de vie documentaire. Le score d'audit PD-244 (ISO 77.78 %, NF 68.18 %) reflete cette couverture, avec des gaps residuels detailles au chapitre 8.
10.2 Composants en cours¶
Un composant est actuellement en phase d'implementation active.
| Composant | Story | Statut | Horizon | Description |
|---|---|---|---|---|
| Verification d'integrite periodique | PD-251 | En cours | Q1 2026 | Mecanisme automatise de re-verification cyclique des empreintes documentaires stockees dans le SAE. Un ordonnanceur (scheduler BullMQ) declenche des campagnes de verification par lots, compare les empreintes recalculees aux valeurs de reference et produit un rapport d'integrite signe. |
Objectif fonctionnel : La verification periodique repond a l'exigence ISO 14641:2018 article 7.3 (controle d'integrite dans le temps) et NF Z42-013:2020 article 8.4.2 (verification reguliere de l'integrite des documents archives). Elle constitue un prerequis pour atteindre le statut "Conforme" sur les gaps GAP-ISO-7.3 et GAP-NF-8.4.2 identifies par l'audit PD-244.
Perimetre couvert par PD-251 :
- Planification des campagnes de verification (frequence configurable)
- Re-calcul des empreintes SHA3-256 sur les documents stockes
- Comparaison avec les empreintes de reference enregistrees lors de l'ingestion
- Generation d'un rapport d'integrite structure (resultat par document, statistiques globales)
- Signature HSM du rapport pour garantir son authenticite
Etat d'avancement : La specification et les tests contractuels sont finalises. L'implementation backend est en cours. Le chapitre 6 du present manuel documente l'architecture prevue avec un statut explicite "En cours".
10.3 Composants planifies¶
Les composants suivants sont inscrits dans la feuille de route mais leur implementation n'a pas encore demarre. Chacun porte un horizon temporel indicatif et une justification normative.
10.3.1 Signature qualifiee eIDAS¶
| Attribut | Valeur |
|---|---|
| Statut | Planifie |
| Horizon | Q2-Q3 2026 |
| Justification | Le reglement eIDAS (UE 910/2014) definit la signature electronique qualifiee comme ayant un effet juridique equivalent a la signature manuscrite. L'integration d'un prestataire de services de confiance qualifie (PSCQ) dans le SAE renforcera la valeur probante des actes d'archivage. |
| Dependances | Selection et contractualisation avec un PSCQ liste par l'ANSSI ou un organisme europeen equivalent. Integration de l'API de signature dans le workflow d'ingestion. |
| Impact normatif | Contribue a la fermeture du gap GAP-NF-6.3 (signature electronique qualifiee) et renforce la conformite eIDAS du SAE. |
10.3.2 Horodatage qualifie eIDAS¶
| Attribut | Valeur |
|---|---|
| Statut | Planifie |
| Horizon | Q2-Q3 2026 |
| Justification | L'horodatage qualifie au sens eIDAS fournit une presomption legale de la date et de l'heure d'un acte electronique. Le SAE utilise actuellement un horodatage TSA RFC 3161 non qualifie. La migration vers un service qualifie augmentera la force probante des preuves d'archivage. |
| Dependances | Selection d'une autorite d'horodatage qualifiee (TSA qualifiee eIDAS). Mise a jour du module de scellement pour integrer les jetons d'horodatage qualifies. |
| Impact normatif | Fermeture du gap lie a l'horodatage qualifie dans les matrices ISO et NF. Prerequis pour la certification complete. |
10.3.3 Politique d'archivage formalisee (PAE)¶
| Attribut | Valeur |
|---|---|
| Statut | Planifie |
| Horizon | Q2 2026 |
| Justification | La norme NF Z42-013:2020 exige la formalisation d'une Politique d'Archivage Electronique (PAE) decrivant les regles de gestion, les engagements de service, les roles et responsabilites, et les procedures de controle. Ce document de gouvernance est un prerequis de certification. |
| Dependances | Redaction par le RSSI et le responsable conformite. Validation par la direction. |
| Impact normatif | Fermeture du gap GAP-NF-5.1 (politique d'archivage formalisee). Prerequis bloquant pour la certification NF Z42-013. |
10.3.4 Programme d'audit periodique¶
| Attribut | Valeur |
|---|---|
| Statut | Planifie |
| Horizon | Q3 2026 |
| Justification | La norme ISO 14641:2018 article 9 et la NF Z42-013:2020 article 10 exigent un programme d'audit periodique du SAE. Ce programme doit definir la frequence des audits internes, les referentiels utilises, les responsables et les procedures de suivi des ecarts. |
| Dependances | PAE finalisee (cf. section 10.3.3). Nomination d'un auditeur interne ou selection d'un cabinet externe. |
| Impact normatif | Fermeture des gaps lies aux audits periodiques dans les deux normes. Contribue a la demonstration de l'amelioration continue du SAE. |
10.3.5 Certification SecNumCloud¶
| Attribut | Valeur |
|---|---|
| Statut | Planifie |
| Horizon | Q4 2026 |
| Justification | Le referentiel SecNumCloud de l'ANSSI definit les exigences de securite pour les prestataires de services d'informatique en nuage. L'obtention de cette qualification renforcerait la confiance des clients institutionnels et des administrations dans le SAE ProbatioVault. |
| Dependances | Conformite prealable ISO 27001. Audit de l'infrastructure cloud par un prestataire agree ANSSI. Mise en conformite des pratiques operationnelles avec le referentiel SecNumCloud v3.2. |
| Impact normatif | Qualification complementaire (non bloquante pour ISO 14641 / NF Z42-013 mais strategique pour le positionnement marche). |
10.4 Planning de certification¶
La trajectoire de certification s'organise autour de trois jalons majeurs, conditionnes par la completion des composants planifies.
Jalon 1 -- Pre-audit interne (Q2 2026)¶
| Element | Detail |
|---|---|
| Objectif | Valider la couverture normative du SAE en conditions d'audit interne |
| Prerequis | PD-251 DONE, PAE formalisee, matrices de conformite a jour |
| Activites | Revue complete des 10 chapitres du present manuel par le RSSI et le responsable conformite. Mise a jour des matrices ISO 14641 et NF Z42-013. Identification des ecarts residuels. |
| Critere de succes | Score ISO >= 90 %, score NF >= 85 % (cibles indicatives) |
Jalon 2 -- Certification ISO 14641 / NF Z42-013 (Q3 2026)¶
| Element | Detail |
|---|---|
| Objectif | Obtenir la certification SAE par un organisme accredite |
| Prerequis | Pre-audit interne valide, signature qualifiee eIDAS operationnelle, horodatage qualifie eIDAS operationnel, programme d'audit periodique en place |
| Activites | Engagement d'un organisme certificateur (AFNOR Certification ou equivalent). Audit documentaire (present manuel comme reference). Audit technique sur site. Traitement des ecarts constates. |
| Critere de succes | Certificat delivre sans reserve majeure |
Jalon 3 -- Qualification SecNumCloud (Q4 2026)¶
| Element | Detail |
|---|---|
| Objectif | Obtenir la qualification SecNumCloud v3.2 de l'ANSSI |
| Prerequis | Certification ISO 27001 en cours ou obtenue, infrastructure cloud conforme au referentiel |
| Activites | Prestataire d'audit agree ANSSI. Audit de conformite SecNumCloud. Remediation des ecarts. |
| Critere de succes | Qualification delivree par l'ANSSI |
Synthese des jalons¶
| Jalon | Horizon | Norme / Referentiel | Prerequis cles |
|---|---|---|---|
| Pre-audit interne | Q2 2026 | ISO 14641, NF Z42-013 | PD-251, PAE, matrices a jour |
| Certification SAE | Q3 2026 | ISO 14641:2018, NF Z42-013:2020 | eIDAS (signature + horodatage), programme audit |
| SecNumCloud | Q4 2026 | SecNumCloud v3.2 | ISO 27001, audit ANSSI |
10.5 Evolutions architecturales¶
Au-dela des composants fonctionnels planifies, plusieurs evolutions architecturales sont envisagees a moyen terme pour renforcer la robustesse, la performance et la perennite du SAE.
Migration vers un horodatage a double source¶
L'architecture actuelle repose sur une unique autorite d'horodatage TSA. L'evolution prevue consiste a interroger deux TSA independantes pour chaque operation de scellement, offrant une redondance probatoire. En cas de compromission ou de revocation de l'un des deux prestataires, la preuve d'horodatage reste valide via la seconde source. Cette evolution s'inscrit dans la migration vers l'horodatage qualifie eIDAS (section 10.3.2).
Rotation automatisee des cles de chiffrement¶
Le SAE dispose d'une hierarchie de cles geree par HSM (K_master, K_encryption, K_doc). L'evolution envisagee porte sur l'automatisation complete de la rotation des cles intermediaires (K_encryption) selon un calendrier configurable, avec re-chiffrement transparent des enveloppes de cles (key wrapping) sans interruption de service. Le mecanisme de rotation est partiellement operationnel pour les cles HSM (PD-7/PD-8) ; l'extension aux cles applicatives est planifiee.
Archivage multi-juridictionnel¶
La strategie actuelle repose sur deux regions (OVH Paris, AWS Frankfurt). Pour repondre aux exigences de certains clients institutionnels europeens, une extension vers des regions supplementaires (Luxembourg, Pays-Bas) est envisagee, avec un routage des documents selon la juridiction applicable. Cette evolution necessitera une mise a jour de la politique de retention et des mecanismes de legal hold pour tenir compte des specificites reglementaires locales.
Observabilite avancee du SAE¶
L'evolution des metriques d'exploitation vise a fournir un tableau de bord temps reel du SAE couvrant : le nombre de documents archives, le volume stocke par tier (HOT/COLD), le taux de succes des verifications d'integrite, les alertes de securite et les indicateurs de performance des operations cryptographiques. Ce tableau de bord constituera un outil de pilotage pour le RSSI et un element de preuve supplementaire pour les audits periodiques.
Diagramme : Feuille de route SAE 2026¶
timeline
title Feuille de route SAE ProbatioVault — 2026
section Q1 2026
PD-251 Verification integrite : En cours
Composants DONE en production : DONE
section Q2 2026
PAE formalisee : Planifie
Signature qualifiee eIDAS : Planifie
Horodatage qualifie eIDAS : Planifie
Pre-audit interne : Jalon
section Q3 2026
Programme audit periodique : Planifie
Certification ISO 14641 : Jalon
Certification NF Z42-013 : Jalon
section Q4 2026
Qualification SecNumCloud : Jalon
Evolutions architecturales : PlanifieLegende : Les elements "DONE" representent les composants en production. Les elements "En cours" sont en phase d'implementation active. Les elements "Planifie" figurent dans la trajectoire mais n'ont pas encore demarre. Les "Jalon" correspondent aux etapes de certification formelle.
Synthese du chapitre¶
| Categorie | Nombre | Exemples |
|---|---|---|
| Composants DONE | 9 | Stockage WORM, chiffrement ZK, HSM, audit, Merkle, blockchain, PV-PRE, destruction |
| Composants En cours | 1 | Verification d'integrite periodique (PD-251, Q1 2026) |
| Composants Planifies | 5 | Signature eIDAS, horodatage eIDAS, PAE, audit periodique, SecNumCloud |
| Jalons de certification | 3 | Pre-audit interne (Q2), certification SAE (Q3), SecNumCloud (Q4) |
La feuille de route s'inscrit dans un objectif de certification ISO 14641:2018 et NF Z42-013:2020 au troisieme trimestre 2026, avec la qualification SecNumCloud comme horizon complementaire en fin d'annee. L'ensemble des composants en production constitue une base solide, et les evolutions planifiees visent a combler les gaps identifies par l'audit PD-244 tout en renforçant la valeur probante et la perennite du systeme.
Voir aussi : Ch. 8 -- Conformite normative pour les matrices de conformite et gaps detailles ; Ch. 6 -- Cycle de vie pour le detail de PD-251.