Un CFN1 est un logiciel intermédiaire entre une application métier et un composant de stockage dont l’objectif est de retrouver facilement des documents importants, dans un espace sécurisé et privé, comme un “coffre” en ligne, avec la garantie qu’ils ne seront ni perdus, ni modifiés, ni accessibles à n’importe qui.
CFN ou SAE en SaaS, que doit-on exiger ?
Hervé Streiff - Directeur de la stratégie digitale
La différence entre un Coffre-Fort Numérique (CFN) et un Système d’archivage Electronique (SAE) n’est pas une évidence pour tout le monde.
Au-delà de la couverture fonctionnelle de ces produits, cet article s’attache à présenter leurs modalités d’exploitation, notamment en tant que service (SaaS) car la portée des certifications existantes peut avoir un impact sur les garanties apportés par les offreurs de ce type de services.
Cette note de synthèse a pour objectif d’orienter les entreprises et services dématérialisés en proposant des réponses à trois questions :
- Quelles différences entre un SAE et un CFN ?
- Quels sont les dispositifs de certification existants ?
- Que dois-je exiger si j’achète un service CFN en SaaS ?
Quelles différences entre un CFN et un SAE ?
Coffre-fort numérique
Système d'archivage électronique
Un SAE2 est un système (ou un service) composé de logiciels, d’une infrastructure et d’une organisation dont l’objectif est d’archiver des documents. Il permet de conserver les documents sur le long terme en garantissant qu’ils restent fiables, intègres et opposables, c’est-à-dire utilisables comme preuve en cas de contrôle, d’audit ou de litige.
La différence majeure réside dans le fait que le SAE dispose d’une véritable structure pour gérer le cycle de vie du document :
- Description pour la recherche
- Gestion des formats
- Cycle de vie du document
- Gestion des habilitations fines pour garantir la confidentialité).
Pour s’assurer qu’un document n’a pas été modifié et qu’on peut le prouver, le système s’appuie sur trois mécanismes :
Une “empreinte digitale” du document : on calcule un code unique lié au fichier.
👉 Si le document change, même très légèrement, ce code change aussi.
Un historique complet de tout ce qui se passe :
👉 Chaque action est enregistrée (dépôt, consultation, modification, export…).
👉 On sait qui a fait quoi, quand, et sur quel document.
Un verrouillage des actions entre elles : les actions sont regroupées et “enchaînées” comme des maillons.
👉 Si quelqu’un tente de trafiquer une étape, tout l’ensemble devient incohérent, donc la fraude se voit immédiatement.
Du fait d’un couverture fonctionnelle plus large, un SAE couvre plus d’usages qu’un CFN qui se contente de stocker des documents : il génère donc plus d’“événements” à tracer, car il documente tout le cycle de vie des archives.
En termes d’usage :
Un CFN est adapté pour équiper un SI métier pour le composant de stockage « probant » pour des durées courtes à moyenne.
Toute l’intelligence de gestion est portée par le SI métier en amont
Un SAE est adapté pour collecter est préserver des documents engageants sur des durée moyennes à longues en provenance d’un ou plusieurs SI métier.
Le SAE gère la conservation des documents et les droits d’accès de manière autonome, sans dépendre du logiciel qui les a créés. Ainsi, même si ce logiciel est remplacé ou disparaît, les archives restent disponibles et exploitables.
CFN et SAE : Quels sont les dispositifs de certification ?
Les produits/services CFN et SAE s’appuie sur des normes de spécification homologuées (AFNOR Normalisation) et des certifications de conformité à ces normes (AFNOR Certification).
La certification de conformité s’appuie sur un référentiel d’audit rédigé par l’organisme de certification qui possède la marque de certification et en octroie l’usage aux certifiés.
Le tableau suivant compare les deux certifications :
CFN
SAE
Norme de référence
NF Z 42-020 3
NF Z 42-013 4 / ISO 14641
Couverture
Spécification d’un logiciel
Spécification d’un logiciel et du service d’exploitation associé
Référentiel d’audit
NF203 NF logiciel / NF203 CCFN
NF461
Label de certification
AFNOR NF Logiciel Coffre-Fort Numérique
AFNOR NF Système d’Archivage Electronique
Type de certification
Certification logiciel
Certification logiciel managé (infrastructure et organisation du service)
Organisme de certification
AFNOR Certification via Infocert
AFNOR Certification
Organisations certifiables
Editeur du logiciel de coffre ou organisation ayant développé un CFN pour usage interne
Tiers archiveur numérique ou organisation exploitant un SAE pour un besoin interne ou mutualisé
L’objectif de ces certifications est aligné avec les normes correspondantes :
NF 203 (CFN) certifie un logiciel de coffre-fort numérique. Elle permet aux éditeurs de mettre en avant la fiabilité de leur solution, et aux clients de s’assurer que l’outil acheté respecte bien les exigences attendues.
NF 461 certifie un service d’archivage électronique. Elle s’adresse aux tiers archiveurs qui proposent leurs services (souvent en mode SaaS) et aux organisations qui souhaitent prouver que leur dispositif d’archivage est conforme, y compris pour un usage interne.
👉 On pourrait donc penser qu’il existe un “angle mort” : des organisations qui veulent uniquement des fonctions de coffre-fort numérique, sans installer un logiciel, et sans avoir besoin de toute la richesse fonctionnelle d’un SAE.
Quelles sont les exigeances à avoir si j’achète un CFN en tant que service (SaaS) ?
Un SAE inclut systématiquement les fonctions d’un coffre-fort numérique (CFN). Il peut donc être utilisé comme un CFN, mais il restera toujours plus complet sur le plan fonctionnel.
Contrairement au CFN, le SAE ne se limite pas au logiciel : il prend aussi en compte les conditions d’exploitation (infrastructure, sécurité, organisation, procédures) dans un cadre certifié NF 461.
Le prestataire s’engage notamment sur des niveaux de service et sur la sécurité, qui sont vérifiés lors des audits de certification.
À l’inverse, un CFN — même certifié et même proposé en mode SaaS — apporte généralement moins de garanties sur la façon dont il est opéré au quotidien.
En effet, la certification NF 203 CFN porte sur le composant logiciel, mais ne couvre pas les exigences d’exploitation et ne s’applique pas à l’opérateur de service qui héberge et administre le coffre.
Le conseil Xelians
Si vous avez besoin d’un CFN en SaaS, privilégiez un SAE certifié NF 461, même si l’usage envisagé se limite à des fonctions de type coffre-fort numérique, car :
- Les coûts d’exploitation d’un CFN et d’un SAE sont généralement comparables.
- Les contrôles et audits sont réalisés par l’organisme de certification, ce qui renforce la sécurité juridique et facilite la démonstration de la valeur probatoire en cas de besoin.
- La solution reste évolutive : elle pourra être étendue plus tard à des usages SAE plus complets si les besoins de l’organisation évoluent.
L’offre Xelians CFN
Xelians propose Xelians CFN, une application “allégée” issue de son SAE Xelians Archives Management.
Grâce à un packaging et un paramétrage standardisé, cette offre permet de déployer rapidement un connecteur de stockage de type coffre-fort numérique, tout en bénéficiant des garanties d’un SAE certifié NF 461, ainsi que des certifications ISO 27001 / HDS, et de l’agrément pour la conservation d’archives publiques.
Contactez nos expertsRéservez une démo personnalisée de X-AM
1. Définition normée NF Z42-020 : Composant Coffre-Fort Numérique (Abréviation CCFN) composant d’un système d’information constitué d’un logiciel ou d’une combinaison logiciel/matériel qui permet de préserver l’intégrité d’Objets Numériques dans le temps
2. Définition normée NF Z42-013 : Système d’Archivage Électronique (SAE) : système d’information utilisant des moyens informatiques, des processus organisationnels visant à préserver la sécurité (intégrité, disponibilité et confidentialité) et la traçabilité des archives électroniques conservées de manière pérenne
3. NF Z42-020 de juillet 2012 : Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps
4. NF Z42-013 octobre 2020 : Archivage Electronique – Recommandations et Exigences
Pour aller plus loin
Pour s’assurer qu’un document n’a pas été modifié et qu’on peut le prouver, le système s’appuie sur trois mécanismes :
Une “empreinte digitale” du document : on calcule un code unique lié au fichier.
👉 Si le document change, même très légèrement, ce code change aussi.
Un historique complet de tout ce qui se passe :
👉 Chaque action est enregistrée (dépôt, consultation, modification, export…).
👉 On sait qui a fait quoi, quand, et sur quel document.
Un verrouillage des actions entre elles : les actions sont regroupées et “enchaînées” comme des maillons.
👉 Si quelqu’un tente de trafiquer une étape, tout l’ensemble devient incohérent, donc la fraude se voit immédiatement.
Du fait d’un couverture fonctionnelle plus large, un SAE couvre plus d’usages qu’un CFN qui se contente de stocker des documents : il génère donc plus d’“événements” à tracer, car il documente tout le cycle de vie des archives.
En termes d’usage :
Un CFN est adapté pour équiper un SI métier pour le composant de stockage « probant » pour des durées courtes à moyenne.
Toute l’intelligence de gestion est portée par le SI métier en amont
Un SAE est adapté pour collecter est préserver des documents engageants sur des durée moyennes à longues en provenance d’un ou plusieurs SI métier.
Le SAE gère la conservation des documents et les droits d’accès de manière autonome, sans dépendre du logiciel qui les a créés. Ainsi, même si ce logiciel est remplacé ou disparaît, les archives restent disponibles et exploitables.
CFN et SAE : Quels sont les dispositifs de certification ?
Les produits/services CFN et SAE s’appuie sur des normes de spécification homologuées (AFNOR Normalisation) et des certifications de conformité à ces normes (AFNOR Certification).
La certification de conformité s’appuie sur un référentiel d’audit rédigé par l’organisme de certification qui possède la marque de certification et en octroie l’usage aux certifiés.
Le tableau suivant compare les deux certifications :
| CFN | SAE | |
| Norme de référence | NF Z 42-020 3 | NF Z 42-013 4 / ISO 14641 |
| Couverture | Spécification d’un logiciel | Spécification d’un logiciel et du service d’exploitation associé |
| Référentiel d’audit | NF203 NF logiciel / NF203 CCFN | NF461 |
| Label de certification | AFNOR NF Logiciel Coffre-Fort Numérique | AFNOR NF Système d’Archivage Electronique |
| Type de certification | Certification logiciel | Certification logiciel managé (infrastructure et organisation du service) |
| Organisme de certification | AFNOR Certification via Infocert | AFNOR Certification |
| Organisations certifiables | Editeur du logiciel de coffre ou organisation ayant développé un CFN pour usage interne | Tiers archiveur numérique ou organisation exploitant un SAE pour un besoin interne ou mutualisé |
L’objectif de ces certifications est aligné avec les normes correspondantes :
NF 203 (CFN) certifie un logiciel de coffre-fort numérique. Elle permet aux éditeurs de mettre en avant la fiabilité de leur solution, et aux clients de s’assurer que l’outil acheté respecte bien les exigences attendues.
NF 461 certifie un service d’archivage électronique. Elle s’adresse aux tiers archiveurs qui proposent leurs services (souvent en mode SaaS) et aux organisations qui souhaitent prouver que leur dispositif d’archivage est conforme, y compris pour un usage interne.
👉 On pourrait donc penser qu’il existe un “angle mort” : des organisations qui veulent uniquement des fonctions de coffre-fort numérique, sans installer un logiciel, et sans avoir besoin de toute la richesse fonctionnelle d’un SAE.
Quelles sont les exigeances à avoir si j’achète un CFN en tant que service (SaaS) ?
Un SAE inclut systématiquement les fonctions d’un coffre-fort numérique (CFN). Il peut donc être utilisé comme un CFN, mais il restera toujours plus complet sur le plan fonctionnel.
Contrairement au CFN, le SAE ne se limite pas au logiciel : il prend aussi en compte les conditions d’exploitation (infrastructure, sécurité, organisation, procédures) dans un cadre certifié NF 461.
Le prestataire s’engage notamment sur des niveaux de service et sur la sécurité, qui sont vérifiés lors des audits de certification.
À l’inverse, un CFN — même certifié et même proposé en mode SaaS — apporte généralement moins de garanties sur la façon dont il est opéré au quotidien.
En effet, la certification NF 203 CFN porte sur le composant logiciel, mais ne couvre pas les exigences d’exploitation et ne s’applique pas à l’opérateur de service qui héberge et administre le coffre.
| Le conseil Xelians | |
|---|---|
Si vous avez besoin d’un CFN en SaaS, privilégiez un SAE certifié NF 461, même si l’usage envisagé se limite à des fonctions de type coffre-fort numérique, car :
|
|
L’offre Xelians CFN
Xelians propose Xelians CFN, une application “allégée” issue de son SAE Xelians Archives Management.
Grâce à un packaging et un paramétrage standardisé, cette offre permet de déployer rapidement un connecteur de stockage de type coffre-fort numérique, tout en bénéficiant des garanties d’un SAE certifié NF 461, ainsi que des certifications ISO 27001 / HDS, et de l’agrément pour la conservation d’archives publiques.
Contactez nos expertsRéservez une démo personnalisée de X-AM
1. Définition normée NF Z42-020 : Composant Coffre-Fort Numérique (Abréviation CCFN) composant d’un système d’information constitué d’un logiciel ou d’une combinaison logiciel/matériel qui permet de préserver l’intégrité d’Objets Numériques dans le temps
2. Définition normée NF Z42-013 : Système d’Archivage Électronique (SAE) : système d’information utilisant des moyens informatiques, des processus organisationnels visant à préserver la sécurité (intégrité, disponibilité et confidentialité) et la traçabilité des archives électroniques conservées de manière pérenne
3. NF Z42-020 de juillet 2012 : Spécifications fonctionnelles d’un composant Coffre-Fort Numérique destiné à la conservation d’informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps
4. NF Z42-013 octobre 2020 : Archivage Electronique – Recommandations et Exigences
Pour aller plus loin
retour en haut de page