Le processus de gestion des TI en fin de vie utile et les mesures de sécurité

Documents pareils
Guide de gestion des équipements informatiques et électroniques en fin de vie utile

MANUEL DES POLITIQUES, PROCÉDURES ET RÈGLEMENTS ADMINISTRATIFS

Vérification de la sécurité des données fiscales. Rapport final Approuvé par le Comité de vérification interne le 29 juin 2005

Options de déploiement de Seagate Instant Secure Erase

POLITIQUE DE GESTION DES DOCUMENTS ET DES ARCHIVES DE TÉLÉ-QUÉBEC

POLITIQUE DE GESTION ET DE CONSERVATION DES DOCUMENTS (Adoptée le 12 juin 2013)

POLITIQUE EN MATIÈRE DE SURVEILLANCE VIDÉO (adoptée le 15 janvier 2010)

Premiers pas sur l ordinateur Support d initiation

IMPLANTATION D UN SYSTÈME DE GESTION ÉLECTRONIQUE :

Projet. Politique de gestion des documents et archives. Service du greffe (Avril 2012)

Politique de gestion documentaire

SCARM Direction de l approvisionnement Ville de Montréal Mars 2013

Recommandations en matière d'effacement de supports d'information électronique.

OUVERTURE DE COMPTE À REMPLIR ET FAIRE PARVENIR AU SIÈGE SOCIAL DE PRO ENERGY COURRIEL : INFO@PRO-ENERGY.CA FAX :

Consultation publique sur le projet de politique québécoise de gestion des matières résiduelles

Information Security beyond the Endpoint. Une assurance haute sécurité de l information

Les pneus hors d usage Fiches informatives 1

PARTENAIRE COMMERCIAL DE MSD CODE DE CONDUITE

Effacement d'un disque dur avant mise au rebut. Denis PUGNÈRE IN2P3/IPNL A3IMP - La Grande Motte /09/2007

2 nd vie des produits technologiques. Ecocitoyenneté et nouveaux modèles économiques dans la téléphonie mobile

Sécuriser physiquement un poste de travail fixe ou portable

La politique environnementale de Computershare

CHARTE INFORMATIQUE LGL

L impact d un incident de sécurité pour le citoyen et l entreprise

Politique de gestion documentaire

ASSOCIATION CANADIENNE DES PAIEMENTS CANADIAN PAYMENTS ASSOCIATION NORME 012 NORME DE SÉCURITÉ DES IMAGES

De vous familiarisez avec les concepts liés aux droits des consommateurs.

CHAPITRE V III: LES RESSOURCES MATÉRIELLES

GESTION DES DOCUMENTS

PROCÉDURE DE RÉCUPÉRATION DES CLÉS ET DES CERTIFICATS (SIGNATURE NUMÉRIQUE)

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

Politique de sécurité de l information

avis CCE La mise sur le marché des substances manufacturées à l état nanoparticulaire

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Programme d intendance des pneus du Nouveau-Brunswick Plan de gestion des pneus usés

PAGE : 1 POLITIQUE GÉNÉRALE DE DONS CHAPITRE : II SECTION : 2.7

Directive relative à l achat, l utilisation et le soutien technique de différentes catégories d équipements technologiques

L éco-responsabilité appliquée à l informatique

CADRE DE GESTION DE LA SÉCURITÉ DE L INFORMATION DE TÉLÉ-QUÉBEC

Politique numéro 42 POLITIQUE DE GESTION DOCUMENTAIRE

Cet index de la GRI constitue le complément du rapport sur la Responsabilité sociale d'entreprise (RSE) 2014 de Rogers.

MANUEL du PROGRAMME DE GESTION DE LA SÛRETÉ

POLITIQUE DE GESTION INTÉGRÉE DES DOCUMENTS

GUIDE DES BONNES PRATIQUES D ARCHIVAGE A L USAGE DES COMPOSANTES

POLITIQUE N o : P AJ-005 POLITIQUE SUR LA PROTECTION DES INFORMATIONS CONFIDENTIELLES

Orientations pour la gestion documentaire des courriels au gouvernement du Québec

Janvier Entretien de l ordinateur

Lecteur éditeur de chèques. i2200. Manuel utilisateur. Solutions de transactions et de paiement sécurisées

22 janvier 2011 CONTRIBUTION POTENTIELLE AU PROGRAMME LEED-CI, V 1.0 CHAISES ARTOPEX

Release Status Date Written by Edited by Approved by FR_1.00 Final 19/03/2014

Guide pratique de l. éco agent. des gestes. simples. et quotidiens. pour agir

CONTRAT CLIP ( Contrat de Location Informatique Pure ) John Dow entreprise de location-vente, réparation informatique et graphisme numérique.

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

PROGRAMME DES PRESTATIONS D AIDE AU TRAVAIL INDÉPENDANT DE L ONTARIO (PATIO)

L Association des recycleurs de pièces d autos et de camions du Québec (ARPAC)

COMPTA COOP. Guide d utilisation

Les défis logistiques du recyclage des pneus au Québec (A)

LA TENUE DES ARCHIVES

C H A P I T R E. Contrôles généraux des technologies de l information

Politique de sécurité de l actif informationnel

Guide d accompagnement à l intention des entreprises désirant obtenir ou renouveler une autorisation pour contracter/souscontracter avec un organisme

(Ordonnance n 109/08) Efficace le 1 septembre, 2008 CODE DE DÉONTOLOGIE VISANT LES TRANSACTIONS D ACHAT DIRECT

RESSOURCES MATÉRIELLES ET DOCUMENTAIRES CONSERVATION DES DOCUMENTS SEMI-ACTIFS. Guide

Cahier n o 7. Mon ordinateur. Gestion et Entretien de l ordinateur

FLEGT Note d Information

Guide du requérant et du mandataire

RÈGLEMENT RELATIF À L'UTILISATION DES TECHNOLOGIES DE L INFORMATION

Assurer l intégrité environnementale du système québécois de plafonnement et d échange pour les émissions de gaz à effet de serre

POLITIQUES EN MATIÈRE DE GARDE D ENFANTS

Catalogue d offre de services de télésanté

CONCOURS «Un an sans hypothèque, c est capital» Règlement de participation

3.1 Politique de gestion et de conservation des documents (Résolution : C.C )

3 Guide pour développer un plan national de gestion des déchets de soins médicaux

NRJ 94,3 CONCOURS «100 % musique, 100 % cash, grâce à NRJ et Virement Interac MD!» RÈGLEMENTS DE PARTICIPATION

La classification des actifs informationnels au Mouvement Desjardins

Conditions générales d utilisation de l option sauvegarde en ligne

Introduction Le phénomène que représentent les Services de Gestion des Documents Managed Document Services (MDS) Une définition du concept

L Agence du revenu du Canada protège l accès au système pour utilisateurs

PORTAIL ICI ON RECYCLE! GUIDE DE L UTILISATEUR

protection consommateurs commerce électronique Principes régissant la dans le Le cadre canadien des

Conditions Générale de «Prestations de services»

Introduction à l économie circulaire

Architecture des ordinateurs. Environnement Windows : sauvegarde

Manuel d utilisation MA TABLETTE MAGIQUE 3-6. ans VTech Imprimé en Chine FR. Disney Visitez le site DisneyJunior.

Vérification des contrats et processus propres au Service du parc automobile. Déposé devant le Comité de la vérification le 12 mars 2015

Politique Utilisation des actifs informationnels

Vers une Gestion Ecologique du Parc Informatique. Pierre et Sophie CHOPLAIN, Société PCI CUME ET Groupe Logiciel, 24/03/2011

Secure Deletion of Data from Magnetic and Solid-State Memory

SEAhawk. CryptoMill FRENCH/ FRANCÉS/ FRANÇAIS

CONDITIONS GÉNÉRALES D ACCÈS ET D UTILISATION (C.G.A.U.) DU SERVICE BIXI PAR LES ABONNÉS 1 AN OU 30 JOURS ARTICLE 1 OBJET DU SERVICE BIXI

DIVA DIVA. DIVA, le chant des flammes ne vous atteindra pas IGNIFUGE SUPPORTS SENSIBLES

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

MoniCom 15 et 19 Guide de l utilisateur Documentation Version:

Les membres présents forment le quorum et déclarent avoir reçu l avis de convocation.

Conditions d'utilisation de la plateforme Défi papiers

SOMMAIRE DU RAPPORT ANNUEL 2013 DU VÉRIFICATEUR GÉNÉRAL

2.5. Pacte mondial des Nations Unies

Valorisation des actifs de la centrale nucléaire de Gentilly-2

Transcription:

Le processus de gestion des TI en fin de vie utile et les mesures de sécurité Service des immeubles et Bureau de sécurité de l information Université Laval 17 mars 2011

Plan de la présentation La démarche DD de l Université Le processus de traitement des équipements informatiques en fin de vie utile

Objectifs de la présentation Présenter sommairement la démarche DD de l Université. Prendre connaissance du nouveau processus de gestion des TI en fin de vie utile et les différentes procédures s y rattachant. 3

Définition et concept «Le développement durable est un développement qui répond aux besoins du présent sans compromettre la capacité des générations futures de répondre aux leurs» Brundlant, 1987

Définition et concept Le niveau de développement durable est fonction de l intensité des efforts investis de façon équilibrée dans chacune des trois dimensions Source : É. Bauce, 2009 5

Le développement durable pour une organisation La responsabilité sociétale : C est l intégration des préoccupations sociales, environnementales et économiques dans : ses processus décisionnels ses activités (opérations, produits et services créés) son interaction avec ses parties prenantes

Initiatives en développement durable 1. Mise en place d un Fonds de 2 millions $ sur 5 ans (septembre 2007): Soutien aux initiatives de la communauté universitaire 2. Mise en place d une structure de concertation (décembre 2007): Appropriation et participation aux décisions Engagement de l ensemble de la communauté 3. Mise en place d un portail web institutionnel (septembre 2008): Diffusion et interaction avec les acteurs 7

Initiatives en développement durable 4. Mise en place d une politique institutionnelle de développement durable (novembre 2008): Intégration du développement durable dans les activités et opérations de l institution par un engagement individuel, collectif et institutionnel 5. Élaboration d un plan d action institutionnel État de situation Bilan Plan de 84 actions d ici 2012 avec cibles et indicateurs Tableau de bord et Rapport DD public (mars 2011) Embauche d une conseillère pour concrétiser l approvisionnement et la gestion des biens excédentaires dans une vision de DD 8

Gestion responsable des équipements sur l ensemble de leur cycle de vie Image : Ciraig 9

Enjeux de la gestion responsable des TI Impacts sur l environnement et la santé Métaux lourds (plomb, mercure, arsenic, etc.) Retardateur de flamme et «PVC» (Chlore) Consommation de ressources pour la fabrication En moyenne : 240 Kg de combustibles, 22 kg de produits chimiques et métaux lourds, 1500 litres d eau. Au niveau mondial, les TI génèrent 2% des émissions de CO2 80% de l empreinte énergétique des TI est associé à la fabrication / moyenne de 9x fois son poids en énergie fossile. Santé et sécurité des travailleurs 10

Gestion responsable des biens excédentaires (BE) Analyse de durabilité Processus gestion des biens excédentaires Impacts sociaux Bénéficiaire / fournisseur Logistique Traitement Pérennité économiqu e de l institution Impacts environne mentaux Gestion BE de façon responsable

Gestion responsable des biens excédentaires Principes et modalités* Intérêt de disposer d un bien excédentaire Récupération de la juste valeur marchande Éthique et transparence Réemploi, recyclage et valorisation Sécurité (*chap. 8 de la Politique d acquisition de biens, de services ou d octroi de contrats de travaux de construction de l Université Laval) 12

Objectifs d une gestion responsable des TI excédentaires Maximiser la valeur marchande des équipements en fin de vie utile Favoriser le réemploi à l interne Faciliter la vente à l externe Détourner un maximum d équipement de mise au rebut (3R-V) Encourager le développement d un service de démontage et de recyclage local et un OBNL à mission sociale (Atelier coup de main) 13

Processus de gestion en fin de vie utile (TI) Équipement excédentaire (TI) Sélection de la voie de traitement (analyse de risque et de désuétude) Réemploi Récupération Traitement sécurisé Nettoyage des données Nettoyage des données Nettoyage des données et entreposage sécurisé Réemploi à l interne Vente à l externe Réemploi à l externe (OBNL) Recyclage Broyage sécurisé 14

Sélection de la voie de traitement (réemploi, récupération, traitement sécurisé) Évaluation du niveau de confidentialité de l information Évaluation des risques associés au processus de traitement des équipements en fin de vie utile et au niveau de confidentialité de l information contenue sur les supports de données (Présentation du BSI) Analyse de désuétude Évaluation des possibilités et de l intérêt du réemploi des équipements (fonctionnel et niveau de performance : Pentium IV et écran plat 17 ) 15

Procédures pour le réemploi (1/3) Réemploi Nettoyage des données, retrait des logiciels et des licences Unité administrative Service des immeubles (SI) Firme externe, sous la responsabilité du SI Oui Offre à l interne via liste d'envoi courriel Non Déclaration de BE au SI (suivi inventaire + manutention) Oui Mise en lot et vente à l'externe Non Procédure financière transfert de biens à l interne (SF) Déclaration de BE au SI (vente à l'externe) Déclaration BE excédentaire (récupération) $$$ Approbation de la transaction + procédure financière vente de bien à l externe Récupération via un OBNL 16 Don pays étrangers

Procédure pour le réemploi (2/3) Transfert (vente )à l interne Nettoyage des données, retirer les logiciels et licences Offrir le matériel via les listes d envoi courriel (CPTI et TRFTI) Remplir une déclaration de biens excédentaires au SI En indiquant les # d inventaire UL des équipements et l unité administrative qui en fait l acquisition. Effectuer une facture interne et description des biens vendus - compte de dépense en immobilisation 550600 (Voir site du SF) Revenu au fonds 3 (investissement) Si besoin de transport faire une demande de service au SI (#7000) transport facturé à l Unité qui acquiert les biens 17

Procédure pour le réemploi (3/3) Procédure pour vente à l externe Obtenir l autorisation de vos supérieurs Nettoyage des données et retirer les logiciels et licences Trouver vous-même un acheteur externe (exclusivement des entreprises reconnues) Mise en lot (400$ minimum) 3 soumissionnaires Une fois l acheteur identifié Contacter Marie-Michèle Couture qui va autoriser la transaction et effectuer la facturation Retirer les numéros d inventaire Ulaval Équipement payable par chèque au moment même de la prise de possession Matériel sans garantie légale et aucun service après vente 18

Processus de gestion en fin de vie utile (TI) Équipement excédentaire (TI) Sélection de la voie de traitement (analyse de risque et de désuétude) Réemploi Récupération Traitement sécurisé Nettoyage des données Nettoyage des données Nettoyage des données et entreposage sécurisé Réemploi à l interne Vente à l externe Recyclage Broyage sécurisé 19

Procédure pour la récupération (1/2) Récupération Service gratuit pour les unités administratives Nettoyage des données Retrait des logiciels et des clés Identification du matériel fonctionnel ou non Déclaration de Bien exédentaire au SI (récupération) Unité administrative Firme externe, sous la responsabilité du SI Tri et démontage (OBNL) 20 Réemploi de certaines composantes Recyclage des autres matières

Procédure pour la récupération (2/2) Nettoyage des données et retirer les logiciels et les licences Identifier le matériel fonctionnel ou non (autocollant vert ou rouge) Faire suivre le filage avec les équipements (à l aide d adhésif) Remplir une déclaration de BE sur le site du SI Dans la section commentaire : indiquer le numéro d inventaire UL + indication que le matériel est destiné à la récupération Le SI va s occuper du transport et du traitement Partenaire de l Université pour le tri, le démontage et la revente à l externe : Atelier Coup de main L atelier va réemployer ou recycler les différentes composantes 21

Processus de gestion en fin de vie utile (TI) Équipement excédentaire (TI) Sélection de la voie de traitement (analyse de risque et de désuétude) Réemploi Récupération Traitement sécurisé Nettoyage des données Nettoyage des données Nettoyage des données et entreposage sécurisé Réemploi à l interne Vente à l externe Recyclage Broyage sécurisé 22

Procédures pour le traitement sécurisé (1/2) Traitement sécurisé CD/DVD Nettoyage des données Disque rigide, clé USB, disquette, etc. Destruction physique à l interne Demande au SI pour service de destruction physique par une firme externe Dans l Unité administrative Firme externe Destruction sécurisée (SI) Mise au rebut Service externe de destruction sécurisée $ 23

Procédures pour le traitement sécurisé (2/2) CD/DVD : aucun débouché de recyclage fiable Briser les disques (3 morceaux) puis mettre au rebut Autres supports (Disques rigides, disquettes, rubans, serveurs, etc.) Nettoyage de l information Entreposer ces supports dans un endroit sécurisé et sous clé Tenir un registre des numéros de série des supports Téléphoner au #7000 pour faire une demande de service SI (destruction de supports de données confidentielles) Cueillette le mardi ou le vendredi, 15$ la visite + 10$/unité détruite La personne ressource doit être sur place et signer le registre de collecte Assurez-vous de remettre le matériel à un représentant de la firme Arteau Récupération (habillement et registre pour l identifier) 24

Processus de gestion en fin de vie utile (TI) Équipement excédentaire (TI) Sélection de la voie de traitement (analyse de risque et de désuétude) Réemploi Récupération Traitement sécurisé Nettoyage des données Nettoyage des données Nettoyage des données et entreposage sécurisé $ Réemploi à l interne Vente à l externe Recyclage Broyage sécurisé $ 25

Commentaires ou questions? 26

Présentation du BSI Objectifs poursuivis; Mise en contexte; Les risques et les mesures de sécurité à considérer pour la gestion du matériel informatique en fin de vie; Recommandations; Questions. 27

Objectifs poursuivis Comprendre les risques associés à la fin de vie du matériel informatique et les mesures pour diminuer ces risques afin de répondre aux besoins d affaires de l Université Laval; Proposer certains éléments de solution globale pour la mise en place des mesures de sécurité. 28

Mise en contexte Nos processus d affaires utilisent abondamment les équipements informatiques sur lesquels sont enregistrées des données de nature stratégique et confidentielle. Étant donné le taux de roulement de nos équipements informatiques et en l absence de chaîne de traçabilité, certains d entre eux, incluant les données, peuvent se retrouver à des endroits inconnus (autant à l intérieur qu à l extérieur de l institution). 29

Mise en contexte (Suite) La sécurité de l information n est pas toujours adéquate dans certaines unités, puisque des risques de sécurité ne sont pas pris en compte dans la gestion du matériel en fin de vie, ce qui expose l Université Laval à des risques. La disposition du matériel informatique en fin de vie doit s harmoniser avec les bonnes pratiques de sécurité et de développement durable. 30

Les risques d affaires encourus Une gestion adéquate et sécurisée de la disposition du matériel informatique en fin de vie utile diminue l exposition de l Université Laval envers certains risques, notamment les suivants : Perte d image et de réputation; Perte d opportunités d affaires; Poursuites judiciaires. 31

Les risques de sécurité Certains risques de sécurité de l information viennent favoriser la concrétisation d un risque d affaires, notamment les suivants : La divulgation d information confidentielle : Renseignements personnels Renseignements stratégiques Propriété intellectuelle La perte de matériel informatique 32

La gestion des risques Identification des vulnérabilités La concrétisation de ces risques sera favorisée par l exploitation de vulnérabilités, notamment les suivantes : Par une mauvaise gestion opérationnelle des équipements informatiques; Par une mauvaise méthode de nettoyage en fonction du type de données emmagasinées sur le matériel informatique; Par une absence d identification des supports pouvant contenir de l information confidentielle. 33

La gestion des risques Mesures pour atténuer les risques Le BSI recommande les mesures de sécurité suivantes : 1. Il convient de mettre en place une directive sur la gestion du matériel informatique en fin de vie dans la politique de sécurité. 2. Il convient de définir les rôles et responsabilités reliés à la gestion du matériel informatique en fin de vie; 3. Il convient de mettre en place un processus sommaire et des procédures de gestion et d exploitation pour venir en appui à la directive, ainsi qu aux rôles et responsabilités définis. 34

La gestion des risques Mesures pour atténuer les risques 4. Il convient de mettre des règles de sécurité à l intérieur de ces mêmes procédures de gestion et d exploitation. 5. Il convient de sélectionner avec soin l entrepreneur qui collectera et détruira le matériel informatique de façon sécuritaire et selon un niveau d expérience adéquat; 35

Détail de la mesure 1 Révision de la politique de sécurité L ensemble des travaux présentés aujourd hui se retrouvera dans la politique de sécurité suivant sa présente révision. La portée de cette directive sera sur les équipements informatiques suivants: Disque magnétique : disquette, disque rigide Ruban magnétique : Exabyte, DAT, DLT Disque optique: CD et DVD Mémoire: RAM, DRAM 36

Détail de la mesure 2 Définition des rôles et responsabilités Définir et octroyer les rôles et responsabilités nécessaires pour mettre en œuvre le processus et les procédures énoncées dans la mesure 2 (selon que l Université opte pour une solution centralisée, fédérée ou décentralisée). 37

Détail de la mesure 3 Les processus et procédures (1/7) Le processus sommaire devrait décrire la gestion du matériel informatique en fin de vie basée sur la norme NIST-800-88. Des procédures devraient appuyer le processus sommaire sur les actions suivantes: L évaluation de la valeur des informations; Le transport; L entreposage; La destruction physique ; L effacement et la purge des données; L inventaire; Les échanges avec le partenaire externe. 38

Détail de la mesure 3 Les processus et procédures (2/7) Le BSI recommande l utilisation de l une des méthodes de nettoyage des données suivantes: Destruction physique interne; Effacement; Purge; Destruction physique externe. Note: Voir les définitions en annexe 39

Détail de la mesure 3 Le processus sommaire (3/7) 40

Détail de la mesure 3 Le processus sommaire (4/7) 41

Détail de la mesure 3 Processus sommaire (Basse) (5/7) 42

Détail de la mesure 3 Processus sommaire (Moyenne) (6/7) 43

Détail de la mesure 3 Processus sommaire (Élevé) (7/7) 44

Détail de la mesure 4 Règle sur le niveau de confidentialité (1/2) Confidentialité Description Basse Le média ne contient aucune donnée personnelle ou stratégique, ni aucune donnée dont le contenu doit demeurer privé à l Université Laval. Exemple : serveur Web public, système d exploitation, poste libre-service, poste de laboratoire ne contenant aucune donnée des utilisateurs sur le disque interne. Moyenne Le média ne contient aucune donnée personnelle ou stratégique, mais des données dont le contenu doit demeurer privé à l Université Laval. Exemple : Serveur Intranet, serveur de fichiers ne contenant aucun renseignement personnel ou stratégique, serveur de base de données pour la gestion de demandes, serveur de courriel ne contenant aucune boîte de courriel... Élevée Le média contient des données personnelles ou stratégiques. Exemple : Serveur de base de données contenant des renseignements personnels ou stratégiques, serveur de fichiers contenant des renseignements personnels ou stratégiques ou de travaux d étudiants ou de recherche, serveur d enquêtes (informatique et SSP), serveur de courriel contenant des boîtes de courriel 45

Détail de la mesure 4 Règle sur le niveau de confidentialité (2/2) Lors du réemploi d un média, il faut que ceci soit respecté : Le média réemployé doit être installé dans un ordinateur d une personne qui a le même niveau de confidentialité ou plus élevé que l ancien propriétaire du média. Niveau de confidentialité Basse Moyenne Élevée Niveau de confidentialité de recyclage Basse, moyenne et élevée Moyenne et élevée Élevée 46

Détail de la mesure 4 Règles sur la méthode de nettoyage (1/4) Média Réemploi Recyclage Destruction interne interne externe démontage destruction sécurisée ($) Clé USB x x x Disque rigide x x x x Disque ZIP x x x x Disquette x x DVD et CD non réinscriptible x x DVD et CD réinscriptible x x x Mémoire : RAM, DRAM x x x Ruban magnétique x x x Note: La méthode privilégiée est fonction du niveau de confidentialité, du droit d auteur, de la capacité du média, et naturellement en lien avec les objectifs du développement durable à l Université Laval. 47

Détail de la mesure 4 Règles sur la méthode de nettoyage (2/4) Niveau de confidentialité basse Média Réemploi Recyclage Destruction interne interne externe démontage destruction sécurisée ($) Clé USB x x x Disque rigide x x x Disque ZIP x x Disquette x x DVD et CD non réinscriptible x DVD et CD réinscriptible x x Mémoire : RAM, DRAM x x x Ruban magnétique x x 48

Détail de la mesure 4 Règles sur la méthode de nettoyage (3/4) Niveau de confidentialité moyenne Média Réemploi Recyclage Destruction interne interne externe démontage destruction sécurisée ($) Clé USB x x Disque rigide x x Disque ZIP x x x Disquette x x DVD et CD non réinscriptible x x DVD et CD réinscriptible x x x Mémoire : RAM, DRAM x x x Ruban magnétique x x x 49

Détail de la mesure 4 Règles sur la méthode de nettoyage (4/4) Niveau de confidentialité élevée Média Réemploi Recyclage Destruction interne interne externe démontage destruction sécurisée ($) Clé USB x x Disque rigide x x Disque ZIP x x x Disquette x x DVD et CD non réinscriptible x x DVD et CD réinscriptible x x x Mémoire : RAM, DRAM x x x Ruban magnétique x x x 50

Détail de la mesure 4 Règle sur la journalisation Il convient, dans la mesure du possible, de journaliser la disposition de pièces sensibles afin de tenir à jour la trace d audit. 51

Détail de la mesure 5 Choix d un fournisseur Il convient que le fournisseur soit une entreprise reconnue à Québec disposant de mesures et de procédures appropriées et qui garantisse le respect des lois en matière de protection des renseignements personnels et des exigences relatives à la destruction de documents. Le fournisseur doit vérifier les antécédents de ses employés. Le fournisseur doit avoir au minimum un an d expérience dans ce domaine. 52

Questions et commentaires 53

Annexe Concepts de base

Mise au rebut L action de mettre un objet dans une poubelle dont le contenu est destiné à l enfouissement ou à l incinération. (ex.: On détruit une disquette et on la jette dans la poubelle). 55

Récupération L action de détourner de l enfouissement ou de l incinération une matière résiduelle dans le but de favoriser soit : Son réemploi intégral Le réemploi de certaines de ses composantes Le recyclage des différentes matières qui composent le bien 56

Réemploi Le fait de prendre un bien ou l une de ses composantes dans le but de les réutiliser dans leur même fonction ou utilité. ( ex : ordinateur complet ou l une de ses composantes que l on va remettre à niveau dans le but de favoriser son réemploi comme technologie de l information) 57

Recyclage Procédé par lequel on extirpe les matières qui composent un bien dans le but de les réintroduire dans le cycle de fabrication d un autre bien. (Ex : Le démontage ou le broyage d un ordinateur pour en extirper les matières premières (métaux, plastique, etc.) et favoriser leur réinsertion dans un procédé de fabrication de nouveaux ordinateurs ou tout autre bien.) 58

Chiffrement intégral Le chiffrement intégral d un disque (et non seulement des fichiers qu il contient) est une méthode consistant à rendre inintelligible l ensemble du contenu de ce dernier à quiconque ne possède pas la clé de déchiffrement. Contrairement au chiffrement de fichiers, la portée du chiffrement intégral n est pas discrétionnaire; le disque entier est chiffré limitant ainsi les risques que certains fichiers soient oubliés. 59

Démagnétisation Une exposition du disque à un fort champ magnétique en vue d en perturber l induction magnétique. Cette opération s effectue au moyen d un démagnétiseur (ou «dégausseur») utilisant soit un puissant aimant permanent ou une bobine électromagnétique. 60

Déchiquetage Le déchiquetage consiste à réduire le disque en morceaux de taille tellement petite que toute tentative de récupération devient pratiquement futile. La norme stipule que la largeur des résidus ne devrait pas excéder 5 mm, et leur surface ne devrait pas excéder 25 mm 2. 61

Déformation physique Cette méthode consiste à infliger physiquement au disque des dommages considérés suffisants pour entraver ou du moins décourager les tentatives potentielles de récupération des données contenues sur celui-ci. 62

Destruction La destruction physique du support magnétique. L efficacité de cette mesure varie en fonction de la méthode utilisée. En effet, les données proprement dites ne sont pas détruites; si la taille physique des résidus du disque le permet, celles-ci pourraient théoriquement être accessibles au moyen d équipement de laboratoire hautement spécialisé. 63

Écrasement par réécriture Un procédé par lequel les données sont effacées en inscrivant systématiquement, ou de façon aléatoire, une série de «0» et de «1» sur toute la surface du disque. 64

Effacement Un procédé par lequel les données sont effacées du support magnétique d une façon telle qu elles ne puissent être récupérées via les fonctions normales du système d exploitation ou de logiciels de recouvrement commerciaux; à ce titre, un formatage normal ou une simple suppression de fichiers ne peuvent être considérés comme des mesures d effacement. 65

Effacement sécurisé Conformément au standard établi par l American National Standards Institute (ANSI) et l InterNational Commitee for Information Technology Standards (INCITS), tous les disques de type ATA manufacturés depuis 2001 implémentent une commande directement à l intérieur de leur micrologiciel (firmware) permettant d effacer systématiquement tous les blocs de données de façon théoriquement irréversible. De plus, plusieurs disques de type SCSI implémentent également cette commande bien qu elle soit optionnelle pour ces derniers. 66

Purge Un procédé par lequel les données sont effacées du support magnétique d une façon telle qu elles ne peuvent être récupérées, même au moyen de techniques spécialisées. À noter que dans le cas d une purge, il est théoriquement possible, au prix de grands efforts, de reconstruire une partie des données au moyen d équipement de laboratoire hautement spécialisé. 67