Conservation des preuves et des documents

1) Objectif et résultats

• L'immuabilité juridique des artefacts (évidence immuable).
• Tracabilité : qui, quand, pourquoi a créé/modifié/lu.
• Prêt à l'audit « par bouton » (répliqué par « audit pack »).
• Respect de la vie privée et de la rétractation (TTL, Legal Hold, suppression/anonymisation).
• Un circuit unique de droits et de responsabilités (RACI) et des métriques de qualité.

2) Taxonomie des artefacts (ce que nous considérons comme des preuves)

Techniques : logs d'accès et d'admin-action, conclusions des scanners (SAST/DAST/SCA), rapports de scan secret, journaux SOAR, dérive IaC/cloud, backup de configuration, pistes KMS/HSM.
Opérations : tiquets ITSM/incidents/modifications, protocoles post-mortem, actes de test DR/BCP, rapports d'audit d'accès (re-cert).
Législation et réglementation : politiques/normes/SOP avec journal de version, DPA/SLA/addendums, avis aux organismes de réglementation, réponses aux demandes, LEP/remédiations.
Vie privée et données : registres de traitements, cas DSAR, preuves de suppression/anonymisation, graphiques de rétractation, revues Legal Hold.
Vendeurs/tiers : résultats de Due Diligence, certificats (SOC/ISO/PCI), rapports de pentesta, conformité SLA.
Contrôle financier : rapports AML/STR, limites et exceptions, confirmations SoD.

3) Principes (design tenets)

Immutabilité par défaut : WORM/Object Lock, interdiction d'écraser pendant la période de rétention.
Integrity & Authenticity : chaînes de hachage, racines mercley, signature numérique et horodatages.
Minimum & Purpose-bound : uniquement les données souhaitées, pseudonymisation/masquage.
Case-based access : accès par case et rôle, avec un journal de lecture/exportation de bout en bout.
Policy-as-Code : Retence/Legal Hold/classes d'artefacts - dans le référentiel de règles.
Auditabilité : rapports reproductibles et « pack d'audit » avec reçus de hachage.

4) Rôles et RACI

(R — Responsible; A — Accountable; C — Consulted; I — Informed)

5) Architecture de stockage (référence)

1. Zone de réception (ingest) : bus fiable, mTLS, retraits, déduplication, normalisation des métadonnées (JSON).
2. Stockage à chaud : recherche rapide/rapports (30-90 jours).
3. Stockage à froid : objet/archivage (1-7 ans), classe économique.
4. WORM/Object Lock-contour : archive de preuves immuable avec des stratégies par baquet/objet.
5. Intégrité : Hash Batchi, Merkley arbres, ankering périodique ; le journal des contrôles.
6. Répertoire/MDM artefacts : registre des types, schémas, propriétaires, TTL, champs de recherche clés.
7. Accès : RBAC/ABAC + cas-based access ; exportation avec reçu de hachage ; contrôle à deux volets pour les ensembles sensibles.
8. Réplication et DR : Géodistribution, objectifs RTO/RPO, contrôles de récupération réguliers.

6) Politiques-comme-code (exemple YAML)

yaml id: EVD-RET-001 title: "Retention and Legal Hold (evidence)"
classes:
- name: "security_logs"
hot_days: 30 cold_days: 365 worm_years: 3
- name: "contracts_dpa"
hot_days: 0 cold_days: 2555  # ~7 лет worm_years: 7 legal_hold:
enabled: true override_ttl: true privacy:
mask_fields: ["email","phone","ip","account_id"]
export_policy: "case_based"
verification:
integrity_check: "daily"
anchor_cadence: "hourly"

7) Chaîne de stockage (Chain of Custody)

Identification : ID unique de l'objet, source, version du schéma.
Fixation : hash SHA-256/512, signature du paquet, timbre temporel.
Transport : journal des manifestes (qui/quand a téléchargé/vérifié).
Accès : comptabilisation de toutes les lectures/exportations ; référence à la case/tiquet.
Rapports : reçus de hachage, protocoles de vérification, résultats de swerok.

8) Rétention, Legal Hold et suppression

Horaires de stockage par classe d'artefacts et par juridiction.
Legal Hold dans les incidents/demandes du régulateur - « gel » des suppressions.
Suppression par TTL - seulement après vérification automatique de l'absence de Hold actif.
Rapport de suppression - Liste des objets + résumé de hachage agrégé.
Offbording vendor - rétraction miroir, confirmation de la destruction.

9) Confidentialité et minimisation

Scope-minimum : stocker le contexte, pas « payload complet ».
Pseudonyme/masquage des champs sensibles ; Clés séparées de ré-identification.
Accès « par case » : pour DSAR/incident - droits temporaires avec le journal.
Transfrontalité : marques explicites du pays de stockage/traitement ; contrôle des copies.

10) « Audit pack » (structure)

1. Description de l'organisation et RACI.
2. Politiques/normes/SOP (versions actualisées + changelog).
3. Carte des systèmes et contrôles + mapping sur les normes/certifications.
4. Indicateurs KPI/KRI et rapports de période.
5. Artefacts par échantillon : logs, configues, scans, DR/BCP, révisions d'accès.
6. Dossier Vendor : DPA/SLA, certificats, rapports de pentest.
7. LEP/remédiations : statut, preuve de fermeture.
8. Reçu de hachage du lot et journal d'accès.

11) Métriques et SLO

Integrity Pass : 100 % des chaines de hachage réussies.
Anchor Freshness p95 : ≤ 2 heures entre l'ancrage et la vérification.
Coverage : ≥ 98 % des systèmes critiques dans le catalogue evidence.
Access Review SLA : 100 % des re-attestations mensuelles des droits d'archive.
Legal Hold Lag : ≤ 15 minutes de l'événement à l'installation de Hold.
Export SLA (« pack d'audit ») : ≤ de 8 heures pour émettre un jeu complet.
Taux de fuite PII : 0 fuites critiques dans les archives.

12) Dashboards (recrutement minimum)

Integrity & WORM : état d'ancrage, verrouillage d'objets, erreurs de vérification.
Coverage et Catalogue : couvrir les classes d'artefacts, les « trous », les objets orphelins.
Access & Exports : qui a lu/déchargé quoi, anomalies, conflits SoD.
Pension & Hold : Timer TTL, Legal Hold actif, calendrier de suppression.
Vendor Mirror : état de rétraction miroir chez les entrepreneurs.
Audit Read....: prêt « par bouton » et le temps jusqu'à SLA.

13) SOP (procédures standard)

SOP-1 : Chargement de preuves

1. Enregistrement de la source → 2) normalisation/schéma → 3) hachage et signature →

2. entrée dans la zone WORM → 5) vérification et ancrage → 6) mise à jour du catalogue.

SOP-2 : Préparation du « pack audit »

Ouvrir la case → collecter la liste des artefacts par échantillon → former un paquet → générer un reçu de hachage → un avis juridique → émettre via le canal officiel → enregistrer l'accès et la copie dans WORM.

SOP-3: Legal Hold

Initier Hold → accrocher les classes/cases → arrêter les tâches de suppression → avertir les propriétaires → journaliser toutes les opérations → retirer Hold avec la solution Legal.

SOP-4 : Suppression par TTL

Vérifier Hold actif → supprimer atomiquement → publier un rapport avec un résumé de hachage → mettre à jour le catalogue.

SOP-5 : Offboard vendeur

Demande de rapport de stockage miroir → exportation/transfert → confirmation de la destruction auprès du vendeur → vérification et archive d'aide.

14) Métadonnées de l'artefact (minimum)

UID, classe, version du schéma, source, propriétaire/contacts.
Date/heure de création et de chargement, juridiction/région de stockage.
Hachage/signature/liste mercley et historique des vérifications.
TTL et le statut de Legal Hold.
Liens vers les tickets/cas/politiques connexes.
Historique des accès/exportations.

15) Vérification de l'intégrité (algorithme)

L'échantillon quotidien de trampolines → recalculé les hachées → le rapprochement avec la racine de Merkley → le rapport de non-conformité → l'escalade automatique et « freeze » des segments controversés avant l'enquête.

16) Qualité et tests

Schema compliance ≥ 99. 5 % (écarts → blocage de réception).
Disaster Restore Drills - tests trimestriels de restauration d'archive.
Reperformability - scripts de reperformage pour auditeurs (reproductibilité des rapports).
Versioned Playbooks - Versioning SOP et modèles « audit pack ».

17) Anti-modèles

L'absence de WORM/immutabilité → la controverse des preuves.
Texte brut sans schémas → faible recherche/validation.
Il n'y a pas de catalogue et de propriétaires → de responsabilité « nul ».
Archives comme « stockage » : pas de métriques/dashboards, pas de tests DR.
Exceptions éternelles (waivers) sans date d'expiration.
Exporte sans hachage ni journal d'accès.
Mélanger les données pro-PI dans des artefacts sans les minimiser.

18) Modèle de maturité (M0-M4)

M0 Manuel : dossiers disparates, pas de TTL/chaîne de stockage.
M1 Catalogue : registre unique des artefacts, rétention de base.
M2 Managed : WORM/Object Lock, intégration avec IAM, Legal Hold, dashboards.
M3 Assured : chaînes de hachage, ankering, case-based access, « audit pack » par bouton.
M4 Assurance continue : contrôles d'intégrité automatiques, risques prévisionnels, rétention miroir chez les vendeurs, exercice complet de DR.

19) Articles wiki liés

Tenue de journaux et de protocoles

Audit Trail : suivi des opérations

Legal Hold et le gel des données

Graphiques de stockage et de suppression des données

Surveillance continue de la conformité (CCM)

KPI et métriques de conformité

Diligence raisonnable et risques d'externalisation

Gestion des changements dans la politique de conformité

Interaction avec les régulateurs et les auditeurs

Résultat

Le stockage fiable des preuves n'est pas seulement une « archive », mais un système gérable et immuable : WORM et chaînes de hachage, des politiques strictes de rétractation et Legal Hold, un accès « par case », des catalogues et des métriques reproduits par « audit pack » et des contrôles d'intégrité réguliers. Dans un tel système, l'audit est prévisible, les enquêtes sont rapides et les risques sont contrôlés.