Messagerie : le cadre réglementaire se durcit

L'Europe a récemment adoptée la directive Euro-SOX qui impose aux entreprises françaises une plus grande transparence et une meilleure traçabilité de leurs échanges électroniques. Des logiciels les aident à vérifier la bonne conformité de leur système d'i

Au début des années 2000, les scandales financiers d'Enron et de Tyco ont conduit les Etats-Unis à adopter la loi Sarbanes-Oxley (SOX) pour garantir, notamment, la traçabilité des documents électroniques échangés dans et en dehors de l'entreprise. Toutes les sociétés américaines cotées y sont assujetties. De nombreuses déclinaisons sont apparues à la même période partout dans le monde : Bâle II, LSF, HIPAA, etc.

Plus récemment, l'Europe vient d'adopter une nouvelle directive - Euro-SOX - qui s'inspire de la loi Sarbanes-Oxley. Sa transposition en droit français a eu lieu au premier trimestre 2008. Si Euro-SOX renforce la valeur légale des messages et des documents électroniques attachés, elle impose en contrepartie de nouvelles exigences en terme de traçabilité et de transparence dans le domaine du courrier électronique.

Une décision logique car « la messagerie est l'application la plus stratégique de l'entreprise. Tout le monde s'en sert. Et 90% des décisions business se prennent sur la base d'échanges par courrier électronique, souvent accompagnés de documents clés : fax,contrats scannés, plan industriels, etc. » estime François Provost, Directeur Europe Sud de GFT inboxx, un éditeur spécialisé dans le domaine de l'archivage des documents sensibles de l'entreprise.

Quel va être l'impact d'Euro-SOX pour les entreprises françaises ? « Elles vont toutes être obligées d'archiver leurs e-mails » estime François Provost. La perte des courriels et des pièces attachées pourrait avoir des répercussions importantes en cas de contrôle.

Un coût négligeable au regard des risques encourus

La direction informatique doit désormais mettre en place une solution qui archive et indexe les courriers électroniques et les pièces attachées (PDF, fax, plans, etc.) dans leur format original. Couplé au serveur de messagerie via un connecteur, le logiciel capture en temps réel tous les messages qui entrent et sortent de l'entreprise. Ils les indexent et, une fois traités, les stockent sur le SAN ou le NAS de l'entreprise.

De GFT Inboxx à Cartesis en passant par Symantec-Veritas, de nombreux éditeurs proposent des solutions dédiées. Cependant, tous n'offrent pas les mêmes fonctionnalités. Issu du monde de la gestion électronique de document (GED), GFT Inboxx se distingue par exemple en indexant le contenu des pièces attachées. « La plupart de nos concurrents se limitent au format PDF. Notre moteur de reconnaissance optique de caractères (OCR) indexe en plus mot-à-mot les copies électroniques des fax, commandes, contrats, plans, etc. qui sont souvent stockés sous la forme d'images TIFF, JPEG, etc. » illustre François Provost. Ce qui permet de retrouver les documents dans 100% des cas, à l'aide d'un simple clic, grâce au moteur de recherche intégré.

Le coût de ces outils d'archivage se chiffre généralement autour de 50 € par boîte aux lettres, à amortir sur 10 ans, soit 5 € par an. Un coût négligeable au regard des risques encourus en cas de perte définitive de pièces légales importantes. De plus, le dédoublement d'attachements identiques permet de libérer jusqu'à 60% de l'espace disque consacré au stockage des e-mails.

Vérifier l'application des règles de bonne conduite

L'archivage n'est pas suffisant. La mise en conformité commence par la définition d'une politique d'utilisation acceptable (AUP pour Acceptable Use Policy) explicite pour tous les utilisateurs et tous les partenaires de l'entreprise. Ces règles précisent par exemple qu'il est interdit de transférer ou d'envoyer des courriels contenant des images pornographiques.
La vérification de la bonne application des règles (exigences de conformité) s'appuie souvent sur un logiciel de sécurité évolué tel que Email Security and Control de Sophos ou Control Compliance Suite de Symantec. Souvent présents dans les grandes entreprises, ces logiciels sont encore peu installés dans les PMI. Ils bloquent ou enregistrent les courriers entrants qui ne respectent pas les exigences de conformité de l'entreprise, mais aussi les courriers internes et sortants. Ces outils permettent ainsi à la direction informatique de suivre en temps réel la conformité aux exigences et de réagir en cas de besoin.
Les éditeurs qui proposent ces outils sont souvent issus de la sécurité pour deux raisons. D'une part, l'approche technique est très proche de leur cœur de compétence. D'autre part, la protection des messages et pièces jointes archivées et le respect de l'AUP passent aussi par l'assurance qu'aucun virus ou malware ne s'est glissé dans le système de messagerie de l'entreprise. Les virus modernes ont en effet la fâcheuse tendance à envoyer des contenus illégaux à l'ensemble du carnet d'adresse de l'utilisateur infecté... ou à détruire ses e-mails. L'entreprise ne peut alors plus prouver son respect des exigences réglementaires.

Frédéric Bordage