Stockage immuable (Immutable Storage) - définition
Le stockage immuable (Immutable Storage) est un modèle de conservation des données en mode non modifiable, dans lequel les objets enregistrés ne peuvent être ni modifiés ni supprimés pendant une période définie ou jusqu’à révocation. En pratique, cela repose sur une politique WORM (Write Once Read Many), un verrouillage temporel de rétention et un mécanisme de legal hold. L’objectif est d’assurer la résistance aux manipulations, la conformité réglementaire et l’intégrité probante des données.
Dans le contexte de l’anonymisation de photos et de vidéos, le stockage immuable garantit la conservation des originaux des fichiers sources, des journaux de traitement non modifiables ainsi que le contrôle des versions des résultats incluant le floutage des visages et des plaques d’immatriculation.
Dans les solutions orientées objet, le mécanisme est notamment assuré par des verrous de type Object Lock, tandis que dans les systèmes de fichiers, il repose sur des politiques WORM et une vérification cryptographique. L’intégrité est confirmée par des sommes de contrôle et des métadonnées de rétention. La solution doit être conforme aux exigences du RGPD en matière de minimisation des données, de limitation des finalités, de durée de conservation et de sécurité du traitement.
Rôle du stockage immuable dans l’anonymisation des photos et vidéos
L’immutabilité du stockage renforce la fiabilité de la chaîne de preuve et simplifie les audits de conformité. Pour les processus de floutage des visages et des plaques d’immatriculation, elle permet de démontrer que :
- l’original de la vidéo ou de la photo n’a pas été modifié avant l’anonymisation ;
- le résultat de l’anonymisation est associé à une version précise de l’algorithme et de la configuration ;
- les données auxiliaires et les journaux n’ont pas été altérés a posteriori.
En pratique, le DPO (Délégué à la protection des données) et les équipes de sécurité utilisent des référentiels immuables pour conserver les originaux, les politiques de traitement, les sommes de contrôle et les rapports d’exécution. Dans Gallio PRO, cela concerne les fichiers d’entrée ainsi que les métadonnées du processus. Le logiciel ne stocke pas de journaux contenant des coordonnées ou des résultats de détection des visages et des plaques d’immatriculation, ni d’autres données personnelles ou sensibles.
Technologies de stockage immuable
L’immutabilité peut être mise en œuvre dans le cloud ou en environnement on-premise. Les solutions ci-dessous prennent en charge la rétention WORM, les mécanismes de verrouillage et la vérification d’intégrité. Le choix dépend des exigences légales, du budget et de l’intégration avec le pipeline vidéo.
Technologie | Caractéristique clé | Périmètre | Source
|
|---|---|---|---|
AWS S3 Object Lock | Modes Governance et Compliance, rétention et legal hold | Stockage objet, API S3 | |
Azure Blob Immutable | Rétention basée sur le temps, legal hold | Stockage objet, Blob | |
MinIO Object Lock | Compatibilité avec l’API S3 Object Lock | On-premise, objet | |
NetApp SnapLock | WORM au niveau du volume et du fichier | NAS, on-premise | |
Dell EMC Retention Lock | Application des politiques de rétention et de verrouillage | Systèmes de protection des données (selon le produit) | |
Linux fs-verity | Intégrité vérifiable des fichiers (détection de modification) | Système de fichiers |
Paramètres et métriques clés du stockage immuable
Ces paramètres déterminent l’efficacité et la conformité de la solution de stockage immuable. Voici un aperçu des principaux attributs, des méthodes de vérification et des sources de référence.
Paramètre | Signification | Vérification | Source
|
|---|---|---|---|
Mode de rétention | Governance vs Compliance, possibilité de contournement | Inspection des métadonnées de l’objet et des autorisations | |
Durée de rétention | Période pendant laquelle l’objet est non supprimable | Métadonnées de rétention (ex. RetainUntilDate) / API du service | |
Legal hold | Blocage sans date de fin | Indicateur de hold dans les métadonnées | |
Périmètre | Objet, conteneur/bucket, volume | Configuration des politiques | |
Intégrité cryptographique | Hash du fichier, preuve d’immutabilité | SHA-256 conforme à la norme FIPS 180-4 | |
Versioning | Historique des versions, protection contre l’écrasement | Indicateur versioning-enabled | |
Durabilité des données | Probabilité de perte de données | Engagements contractuels du fournisseur | |
RPO/RTO des copies immuables | Restauration après incident et fenêtre de perte admissible | Planification des snapshots et tests de restauration |
Défis et limites de conformité
L’immutabilité doit être conçue en tenant compte des exigences du RGPD. Les principaux risques résultent du conflit entre la rétention obligatoire et le droit à l’effacement ainsi que le principe de minimisation.
- Limitation de la conservation - la durée de rétention doit reposer sur une base légale et une politique formelle de conservation (art. 5 §1 e RGPD).
- Droit à l’effacement - éviter un mode empêchant la suppression en l’absence de base légale pour poursuivre la conservation (art. 17 RGPD).
- Sécurité du traitement - le contrôle d’accès, le chiffrement et la supervision doivent compléter l’immutabilité (art. 32 RGPD).
- Risque opérationnel de mauvaise configuration - le mode Compliance est irréversible jusqu’à la fin de la période de rétention.
- Coûts et performances - le versioning et les copies immuables augmentent l’espace de stockage requis.
Exemples d’utilisation dans Gallio PRO
Le schéma ci-dessous illustre l’utilisation pratique du stockage immuable dans l’anonymisation de photos et de vidéos avec Gallio PRO. Il s’agit d’un traitement par lots, le logiciel ne réalisant pas d’anonymisation en temps réel ni sur flux vidéo continu.
- Ingestion des originaux dans un référentiel avec rétention WORM et versioning activés.
- Lancement du processus Gallio PRO, qui floute automatiquement uniquement les visages et les plaques d’immatriculation. Les autres éléments peuvent être floutés manuellement via l’éditeur.
- Enregistrement des résultats dans un bucket distinct avec contrôle de version et sommes SHA-256.
- Archivage des métadonnées du processus et des rapports dans un référentiel immuable, sans journaux de détection contenant des données personnelles.
- Application de politiques de rétention différenciées : plus courte pour les contenus anonymisés, plus longue pour les originaux si la base légale l’exige.
- Tests périodiques de restauration et audit des métadonnées de rétention pour le DPO.
Références normatives et sources
- RGPD : art. 5, 17, 32 - EUR-Lex, 2016/679, lien.
- ISO/IEC 27040:2015 Information technology - Security techniques - Storage security, ISO, lien.
- NIST SP 800-209 Security Guidelines for Storage Infrastructure, 2020, lien.
- NIST FIPS 180-4 Secure Hash Standard, 2015, lien.
- AWS S3 Object Lock - documentation, lien.
- Amazon S3 FAQ - durabilité 99,999999999 %, lien.
- Azure Blob Storage - stockage immuable, Microsoft Docs, lien.
- Linux fs-verity - documentation du noyau, lien.
- NetApp SnapLock - Technical Report, lien.