Stockage WORM et conservation légale : quand vous avez besoin d'archives en écriture unique
La plupart des archives de documents sont mutables. Un fichier stocké sur un système de fichiers standard ou un stockage d’objets peut être écrasé, supprimé ou silencieusement modifié par toute personne disposant des permissions appropriées, y compris les administrateurs système. Pour la plupart des usages opérationnels, c’est acceptable. Pour la conservation réglementée des documents, cela pose un problème : vous ne pouvez pas affirmer de manière crédible qu’un document archivé n’a pas été altéré si le système qui le stocke aurait pu l’altérer.
Le stockage WORM et la conservation légale sont les deux mécanismes qui répondent à ce problème au niveau de la couche de stockage.
Ce que signifie WORM
WORM signifie Write Once, Read Many (écrire une fois, lire plusieurs fois). Un système de stockage WORM accepte une écriture exactement une fois pour chaque objet. Une fois l’écriture validée, l’objet ne peut pas être modifié, écrasé ou supprimé jusqu’à l’expiration de la période de conservation configurée.
Il s’agit d’une contrainte physique ou logique au niveau de la couche de stockage, et non d’une politique de contrôle d’accès. La différence est importante : une politique de contrôle d’accès peut être modifiée par un administrateur. Une contrainte WORM ne peut pas être contournée par la reconfiguration des permissions, car la propriété d’écriture unique est appliquée par le système de stockage lui-même, et non par une couche de politique par-dessus.
WORM matériel : les supports optiques (CD-R, BD-R), certains formats de bandes enterprise et les matrices de disques WORM spécialisées appliquent cette contrainte au niveau physique. Une fois écrits, les données ne peuvent pas être modifiées quel que soit le logiciel en cours d’exécution par-dessus.
WORM de stockage d’objets (appliqué logiciellement) : la plupart des magasins d’objets compatibles S3 modernes prennent en charge un mode « Object Lock » qui implémente la sémantique WORM en logiciel. Lorsque Object Lock est activé avec une date de conservation, l’API de stockage refuse les demandes de suppression et d’écrasement pour cet objet jusqu’à l’expiration de la période de conservation, même pour les demandes faites avec des identifiants administratifs.
Modes de conservation
Les magasins d’objets compatibles WORM offrent généralement deux modes de conservation :
Mode gouvernance : les administrateurs disposant d’une permission spécifique peuvent contourner le verrou de conservation. Utile pour corriger des erreurs lors de la configuration initiale de la période de conservation. Non adapté aux archives réglementées, car il préserve la capacité de remplacement administratif.
Mode conformité : aucun utilisateur, y compris le compte racine, ne peut supprimer ou modifier l’objet avant la date de conservation. La période de conservation peut être prolongée mais pas raccourcie. C’est le mode requis pour la conformité réglementaire dans la plupart des juridictions.
La distinction est significative lors des audits. Un auditeur demandant « ce document aurait-il pu être modifié après archivage ? » devrait obtenir la réponse « non, techniquement impossible » et non « non, seuls les administrateurs auraient pu le faire, et nous faisons confiance à nos administrateurs ».
Ce que signifie la conservation légale
La conservation légale (aussi appelée gel de litige) est un mécanisme distinct de la conservation. La conservation définit la durée pendant laquelle un document doit être conservé. La conservation légale suspend la suppression pour un document spécifique, que la période de conservation ait expiré ou non.
Lorsqu’une organisation reçoit une ordonnance judiciaire, une demande réglementaire ou est notifiée d’un litige potentiel, elle a l’obligation de conserver tous les documents pertinents. La conservation légale applique automatiquement cette préservation : les documents sous gel ne peuvent pas être supprimés même si leur période de conservation standard a expiré.
Le gel est levé par une libération explicite, généralement par le service juridique, une fois l’affaire résolue.
En termes opérationnels, la conservation légale nécessite d’étiqueter les documents au niveau des métadonnées et que le système de stockage applique l’étiquette. Dans le stockage d’objets avec capacités WORM, cela est généralement implémenté comme un indicateur de gel indéfini aux côtés de la période de conservation temporisée.
Quand le WORM est requis
Les exigences réglementaires pour le stockage immuable sont spécifiques aux secteurs mais de plus en plus courantes.
Services financiers (UE) : MiFID II exige que les enregistrements des transactions et des communications soient stockés dans un format qui empêche toute modification. L’exigence porte explicitement sur un stockage résistant à la falsification, que satisfait le WORM. Les périodes de conservation sont de cinq ans pour la plupart des enregistrements de transactions, sept ans pour certaines catégories.
Santé : Le RGPD combiné aux règles sectorielles spécifiques (en Allemagne, le Patientendatenschutzgesetz) exige que les dossiers médicaux soient conservés pendant 10 à 30 ans selon le type, sous une forme qui garantit leur intégrité. Le WORM est l’implémentation la plus défendable.
Secteur public : De nombreuses réglementations des États membres de l’UE en matière de marchés publics exigent que la documentation des contrats soit archivée sous forme immuable pour la durée du délai de prescription plus la période de conservation, ce qui peut dépasser 15 ans.
Comptabilité (GoBD, Allemagne) : La GoBD exige l’Unveränderbarkeit (immuabilité) pour les documents comptables archivés. Les orientations précisent explicitement que les documents archivés doivent être protégés contre toute modification ultérieure. Le stockage WORM satisfait à cette exigence par conception.
Le WORM ne remplace pas les chaînes de hachage
Le stockage WORM prouve que les bits stockés n’ont pas changé depuis l’écriture. Il ne prouve pas quel processus a produit ces bits, ni que le processus était correct.
Une chaîne de hachage prouve que la séquence des événements de traitement était cohérente et non modifiée. Elle n’empêche pas le stockage sous-jacent d’être modifié (à moins que le stockage ne soit également WORM).
Ensemble, ils répondent à différents modèles de menace :
| Mécanisme | Ce qu’il empêche |
|---|---|
| Stockage WORM | Modification ou suppression post-écriture des fichiers archivés |
| Chaîne de hachage | Falsification rétroactive de l’historique de traitement |
| Horodatage RFC 3161 | Antidatage de documents ou d’événements |
Une archive à long terme entièrement défendable utilise les trois : WORM pour la couche de stockage, chaînes de hachage pour la piste d’audit, et horodatages RFC 3161 comme ancres temporelles externes. Chaque couche comble les lacunes que les autres laissent ouvertes.
Portabilité des preuves
Un risque spécifique aux archives WORM est le verrouillage propriétaire au niveau de la couche de stockage. Si votre implémentation WORM utilise un format propriétaire ou une API propriétaire, la migration vers un autre fournisseur de stockage avant l’expiration de la période de conservation peut être impossible ou juridiquement risquée.
L’architecture la plus sûre sépare les preuves du mécanisme de stockage : les preuves (document + chaîne de hachage + horodatages) sont auto-vérifiables quel que soit leur emplacement de stockage. La propriété WORM garantit qu’elles n’ont pas été modifiées après archivage, mais le dossier de preuve démontre l’intégrité même si la propriété WORM pouvait théoriquement être contournée.
Cela signifie que le format du dossier de preuve et le format de stockage doivent être choisis indépendamment. PDF/A-3 pour les documents, JSON standard pour les pistes d’audit et jetons RFC 3161 dans leur encodage CMS standard sont tous indépendants du format. Ils se vérifient avec des outils open source sans nécessiter le système de stockage original.
SealDoc et l’archivage immuable
Le mode archive de SealDoc écrit les documents dans un stockage d’objets compatible WORM avec des verrous de conservation en mode conformité. La période de conservation est configurable par type de document : sept ans pour les factures, dix ans pour les contrats, des périodes personnalisées pour les exigences sectorielles spécifiques.
Les documents stockés en mode archive combinent le stockage WORM avec des pistes d’audit à chaîne de hachage et des horodatages RFC 3161, offrant trois couches indépendantes de preuves de résistance à la falsification. La conservation légale peut être appliquée via l’API et ne se lève que sur libération explicite.
Le dossier de preuve légale généré au moment de l’archivage est lui-même stocké sous conservation WORM, garantissant que les artefacts de preuve sont aussi immuables que les documents qu’ils couvrent.