Auteur LARDOUX Guillaume Contact guillaume.lardoux@epitech.eu Année Original 2013 Année de Refonte 2014 DESTRUCTION DES DOCUMENTS PHYSIQUES
Sommaire 1. Introduction 2. Statistique 3. Brûlage & Législation 4. Ancienne Norme 5. Nouvelle Norme 6. Aspect Légale 7. Bibliographie 2
1. Introduction À l ère du «tout numérique», la mode est à la dématérialisation de l information ; l informatique étant aujourd hui omniprésente dans les foyers, les entreprises et les institutions, elle est en grande partie responsable de cet état de fait. Dans un Monde où l espionnage économique est devenu monnaie courante, la sécurité des systèmes d informations joue ainsi un rôle de plus en plus accrue dans la pérennité des entreprises et des institutions, et se doit d être à son apogée pour protéger le bien le plus précieux d une société : son capital immatériel. Il suffit de se rappeler l affaire de «Lotus Note Lotus Domino» qui, en 1996, fit perdre près de 70% de part de marché à la France parce que la plupart des ses compagnies TOTAL, Air France, BNP Paribas, VINCI etc. utilisaient un logiciel IBM censé permettre un chiffrement élevé, mais dont la NSA détenait une partie de la clé grâce à un accord secret établie entre ces deux parties. 3
2. Statistique D après une enquête de l ASBI Alliance for Secure Business Information établie sur 819 professionnels de l IT, de la conformité et de la sécurité informatique, 80% rapportent une faille de sécurité au cours des 12 derniers mois. Pour 49% d'entre eux, l'incident impliquait la perte ou le vol de documents papier. Selon 53% des professionnels interrogés, les salariés en sont la première cause notamment par l'impression et l'oubli de fichiers sur des imprimantes partagées ou dans des salles de réunions, voire même lors de déplacements hors de l'entreprise. D après l ASBI, 62% des salariés d une entreprise pensent simplement à «mettre à la poubelle» un document, sans se préoccuper de son contenu ou des procédures. Un constat qui peut tout aussi bien être appliqué aux disques durs mis au rebut et sur lesquels il reste en réalité souvent des données. Mais ces mauvaises pratiques sont avant tout imputables aux entreprises elles-mêmes qui n'ont que très rarement défini des procédures et contrôlé leur bonne application. 61% des répondants estiment en effet que les ressources et les contrôles garantissant la sécurité des documents contenant des informations sensibles ou confidentielles sont insuffisants. Seuls 37% d'entre eux font état dans leur entreprise de l'existence de politiques strictes encadrant la protection de ces éléments. Ils sont pourtant 59% à confirmer la présence de documents sensibles et/ou confidentiels dans l'entreprise Quant aux informations perdues ou dérobées, il s'agit à 31% de données personnelles se rapportant à des clients, à 29% de données de marché et 26% sont relatives à des secrets commerciaux. 4
3. Brûlage & Législation «Il faut tout brûler!» : Une réaction que nombre de personnes pourraient avoir en lisant ce document, et qui est très pragmatique au passage même l US DOD fait fondre ses disques durs sauf depuis la nouvelle «mode» de l écologie. De fait, depuis le 18 Novembre 2011 en France, la nouvelle circulaire «DEVR1115467C» stipule tout simplement que «le brûlage à l air libre des déchets ménagers est interdit». URL : http://circulaire.legifrance.gouv.fr/pdf/2011/11/cir_34130.pdf 5
4. Ancienne Norme Le DIN Deutsches Institut für Normung est un organisme Allemand de normalisation, datant de 1917 et reconnu en 1975. DIN 32757 est une norme qui définit les niveaux de sécurité des destructeurs de documents, allant d un risque peu préoccupant, DIN 1, à un risque pouvant porter atteinte à la sécurité de la nation, DIN 5. Niveau Classe Taille (mm) Coupe Surface Utilisateurs DIN 1 Général Largeur = 12 Droite = 3594 mm² Civil DIN 2 Standard Largeur <= 6 Droite/Croisée < 800 mm² Civil/Entreprise DIN 3 Confidentiel Largeur <= 4 Droite/Croisée <= 320 mm² Santé DIN 4 Secret L = 2, l = 15 Croisée <= 30 mm² Industrie/Etat DIN 5 Ultra-Secret L = 0.8, l = 13 Croisée <= 10 mm² Défense/Etat Niveau 6 Secret Défense?? Croisée <= 5 mm² Défense/Etat Niveau 7 NSA?? Croisée <= 4 mm² Défense/Etat Les niveaux 6 et 7, pour les documents confidentiels exigeant une sécurité suprême, existent mais ne sont pas régit par la norme DIN 32757, ce qui laisse ainsi une grande liberté aux concepteurs. 6
5. Nouvelle Norme Depuis le 1er octobre 2012, la nouvelle norme DIN 66399 remplace l'ancienne norme DIN 32757. Cette nouvelle norme définit désormais 3 classes de protection, 6 catégories de matériaux et 7 niveaux de sécurité» en matière de destruction de supports contenant des informations. Cette nouvelle normalisation se veut à l épreuve de l ère numérique. Face à la multiplication des produits numérique capable de conserver des informations DVD, Clé USB, Smartphone, Tablette etc. de nouvelles précautions sont à prendre. Un redécoupage à donc été mis en place. 7
À présent, voici à quoi peut ressembler l ensemble de la «Catégorie P» une fois le passage de la machine terminé : Comme on peut le constater il faut être très courageux et avoir énormément de temps devant soi pour pouvoir restaurer l immense puzzle du niveau P-7! 8
6. Aspect Légal Outre les aspects liés à la sécurité, la juridiction française est très claire et stipule qu un établissement de santé doit détruire les vieilles archives et qu un patron d entreprise doit protéger les informations de ses employés et de ses clients, et plus globalement toute information liée à la personne physique. Ce ne sont que deux exemples très simple, mais en lisant la loi attentivement on s aperçoit qu elle englobe un grand nombre de corps de métier, ainsi que les particuliers. Une chose intéressante du Code Pénal est qu il stipule de manière très claire que la négligence ou l imprudence liée à la «fuite» d informations est tout aussi punissable que lorsqu il y a volonté de «fuite». Article 226-22 du Code Pénal «Le fait, par toute personne qui a recueilli, à l'occasion de leur enregistrement, de leur classement, de leur transmission ou d'une autre forme de traitement, des données à caractère personnel dont la divulgation aurait pour effet de porter atteinte à la considération de l'intéressé ou à l'intimité de sa vie privée, de porter, sans autorisation de l'intéressé, ces données à la connaissance d'un tiers qui n'a pas qualité pour les recevoir est puni de cinq ans d'emprisonnement et de 300 000 Euros d'amende. La divulgation prévue à l'alinéa précédent est punie de trois ans d'emprisonnement et de 100 000 Euros d'amende lorsqu'elle a été commise par imprudence ou négligence. Dans les cas prévus aux deux alinéas précédents, la poursuite ne peut être exercée que sur plainte de la victime, de son représentant légal ou de ses ayants droit.» 9
Article R1112-7 du Code la Santé Publique «Les informations concernant la santé des patients sont soit conservées au sein des établissements de santé qui les ont constituées, soit déposées par ces établissements auprès d'un hébergeur agréé en application des dispositions à l'article L. 1111-8. Le directeur de l'établissement veille à ce que toutes dispositions soient prises pour assurer la garde et la confidentialité des informations ainsi conservées ou hébergées. Le dossier médical mentionné à l'article R. 1112-2 est conservé pendant une durée de vingt ans à compter de la date du dernier séjour de son titulaire dans l'établissement ou de la dernière consultation externe en son sein. Lorsqu'en application des dispositions qui précèdent, la durée de conservation d'un dossier s'achève avant le vingt-huitième anniversaire de son titulaire, la conservation du dossier est prorogée jusqu'à cette date. Dans tous les cas, si la personne titulaire du dossier décède moins de dix ans après son dernier passage dans l'établissement, le dossier est conservé pendant une durée de dix ans à compter de la date du décès. Ces délais sont suspendus par l'introduction de tout recours gracieux ou contentieux tendant à mettre en cause la responsabilité médicale de l'établissement de santé ou de professionnels de santé à raison de leurs interventions au sein de l'établissement. A l'issue du délai de conservation mentionné à l'alinéa précédent et après, le cas échéant, restitution à l'établissement de santé des données ayant fait l'objet d'un hébergement en application de l'article L. 1111-8, le dossier médical peut être éliminé. La décision d'élimination est prise par le directeur de l'établissement après avis du médecin responsable de l'information médicale. Dans les établissements publics de santé et les établissements de santé privés participant à l'exécution du service public hospitalier, cette élimination est en outre subordonnée au visa de l'administration des archives, qui détermine ceux de ces dossiers dont elle entend assurer la conservation indéfinie pour des raisons d'intérêt scientifique, statistique ou historique.» 10
7. Bibliographie - http://www.intimus.com/index.php?actualites - http://www.journaldunet.com/solutions/securite/actualite/le-papier-plus-expose-que-lesdonnees-informatiques.shtml - http://circulaire.legifrance.gouv.fr/pdf/2011/11/cir_34130.pdf - http://www.terface.com/media/livreblanc/business_guide_terface_2011_2.pdf - http://www.legifrance.gouv.fr - http://www.commentcamarche.net/faq/8784-effacer-de-maniere-sure-un-disque-dur 11