L’objectif de contrôle 8.3 de la norme ISO 27002 de 2013 concerne les supports de données, qu’ils soient le papier, les différentes mémoires informatiques… ou la pierre.

Le but est « d’empêcher la divulgation, la modification, le retrait ou la destruction non autorisé(e) de l’information de l’organisation stockée sur les supports. »

Rappelons que ‘contrôler’ n’est souvent possible qu’à l’aide de procédures documentées.

Gérer les supports et média de stockage

Si gérer les informations et les données est difficile, parce que données et informations sont immatérielles, ce devrait être plus simple avec les supports. Tout d’abord, l’inventaire est plus facile. Il reprendra, pour chaque support, les informations qu’il contient ainsi que ses mouvements.
Notez que l’ordinateur s’occupe de cet inventaire pour les supports électroniques.

Comme ce qui est matériel et, à nouveau, pour ce qui contient des informations sensibles, on veillera à contrôler les déplacements et les échanges des supports et des données contenues. On contrôlera ainsi les entrées et sorties de l’entreprise.

La mémorisation et le stockage sont essentiels. Ce n’est pas seulement une question d’environnement afin que les papiers ne pourrissent ou ne se désagrègent pas. Les supports informatiques ne sont pas éternels et les données enregistrées doivent pouvoir être récupérées même si on change d’ordinateur. (La migration du matériel et des logiciels est toujours un moment critique.)

Bien sûr, les informations et données contenues seront rendues illisibles pour les personnes non autorisées qui parviendraient à mettre la main sur le support. Le chiffrement est une des techniques.

L’entreprise veillera également à s’assurer que le contenu aura été totalement effacé afin de le rendre irrécupérable avant d’utiliser le support pour un autre usage ou par un utilisateur qui a d’autres droits d’accès.

Le service informatique s’assurera aussi que les supports amovibles (clés USB, disques externes) ne soient activés sur les ordinateurs que si c’est vraiment nécessaire (c’est le « Besoin d’utiliser »).

Mise au rebut sécurisée

Quand l’ordinateur ou le support électronique n’est plus utilisé (revendu ou mis en décharge), il faut s’assurer que son contenu (informations, fichiers et programmes) soit effacé de sorte que personne ne puisse les utiliser.

N’oubliez pas que les logiciels dont vous avez payé la licence restent sous votre responsabilité en cas de mauvais usage.

Une procédure claire, basée sur la politique de classification, précise ce qui doit être mis en œuvre pour mettre au rebut les supports qui ont contenu des informations sensibles. Relisez ceci.

Pour les papiers, si la quantité rend la déchiqueteuse trop lourde d’emploi, on peut faire appel à une entreprise spécialisée qui détruira vos documents de façon sûre avec un certificat si vous en désirez un.

L’inventaire (voir ci-dessus) tiendra les traces des supports dont vous vous séparez que se soit définitivement ou temporairement. En effet, le matériel défectueux, endommagé ou sujet à maintenance (par exemple les imprimantes multifonctions) contient lui aussi des informations qui ne doivent pas tomber entre toutes les mains.

N’oubliez pas de vous assurer, par contrat au moins, que le tiers chargé de la destruction ou de la maintenance est fiable et de dresser une liste des sous-traitants autorisés.

Transfert physique sécurisé

Votre courrier postal et vos colis sont normalement scellés et emballés de sorte que le contenu ne soit ni accessible ni endommagé durant le transport. Il en sera de même pour vos supports électroniques. L’emballage sera adéquat et contiendra un inventaire de ce qui est transmis (inventaire qui peut également être envoyé par courriel au destinataire).

Comme tout ce qui a de la valeur, les supports de stockage sera transporté par un coursier salarié ou sous-traitant fiable et dont vous disposez d’une liste certifiée des coursiers… on en sait jamais.

C’est bien  trop souvent une poche…

A nouveau, l’inventaire enregistrera à la date de la remise, le contenu, le destinataire, le coursier et le type de protection utilisé. Assurez-vous de recevoir un avis de réception… aucun échange informatique n’existerait sans ces messages d’envoi et de réception.

 

Encore une fois, la norme ne propose rien d’extraordinaire… au contraire. Mais formaliser ces pratiques évite bien des soucis.

Cette recommandation est-elle appliquée dans votre entreprise ? Les procédures sont-elles explicites ? N’hésitez pas à les challenger si les informations que vous manipulez sont sensibles, au moins à vos yeux.

 

A bientôt, plus en sécurité avec vos informations.

Jean-Luc

Google+