ISO 27001 et destruction physique : quels contrôles exigent quoi ?
Quiconque vise ou maintient une certification ISO 27001 se heurtera tôt ou tard à la question de l'élimination des informations confidentielles en fin de vie. La norme exige explicitement la maîtrise de l'élimination des supports dans le cadre du système de management de la sécurité de l'information (SMSI). Cet article décortique les contrôles pertinents de l'Annexe A et montre ce qu'un auditeur veut voir en pratique.
Quels contrôles touchent à la destruction ?
L'Annexe A d'ISO 27001:2022 mentionne explicitement, sous « A.7 Contrôles physiques » et « A.8 Contrôles technologiques » :
- A.7.10 Supports de stockage : gestion des supports tout au long du cycle de vie, élimination comprise.
- A.8.10 Suppression d'informations : suppression des informations dès qu'elles ne sont plus nécessaires.
- A.8.12 Prévention des fuites de données : empêcher la diffusion indésirable d'informations confidentielles, y compris lors de l'élimination.
- A.5.34 Vie privée et protection des PII : protection des données personnelles (lié à la destruction via le RGPD).
Dans l'ancienne version de la norme (ISO 27001:2013), cela était réparti entre A.8.3 (Manipulation des supports) et A.11.2.7 (Mise au rebut ou réemploi sécurisé des équipements). Le fond est matériellement le même. La structure a été rationalisée en 2022.
Qu'attend un auditeur en pratique ?
Documentation
- Politique d'élimination : politique écrite indiquant quelles méthodes sont utilisées pour quelles classes d'information.
- Procédure par type de support : papier, HDD, SSD, optique, cartes en plastique.
- Accord de traitement avec le prestataire de destruction externe. Lisez la liste de contrôle.
- Lien avec la classe d'information : quelle classification (Public, Interne, Confidentiel, Strictement confidentiel) reçoit quelle méthode de destruction ?
Preuves d'exécution
- Certificats de destruction par mission. Lisez le certificat de destruction.
- Journal des supports éliminés (étiquette d'actif, date, méthode).
- Évaluation périodique du prestataire.
- Registres de formation du personnel manipulant des supports confidentiels.
Contrôles opérationnels
- Consoles verrouillées au bureau. Lisez consoles verrouillées contre bacs ouverts.
- Documentation de la chaîne de traçabilité. Lisez la chaîne de traçabilité, des archives à la déchiqueteuse.
- Analyse de risque sur la chaîne d'élimination.
Classification de l'information : la relier à la méthode de destruction
Une classification courante conforme à l'Annexe A ressemble à ceci :
| Classe | Exemple | Méthode de destruction |
|---|---|---|
| Public | Matériel promotionnel | Flux de déchets ordinaire |
| Interne | Procédures internes | DIN P-3 |
| Confidentiel | Administration clients, RH | DIN P-4 / P-5 |
| Strictement confidentiel | Catégories particulières de données personnelles, données soumises au secret professionnel | DIN P-5 / P-6, pour le matériel H-5 / H-6 |
L'auditeur veut voir la classification et la méthode de destruction reliées de façon logique. Un générique « tout en P-5 » fonctionne, mais surclasser est coûteux et illogique.
NIST 800-88 comme source technique
ISO 27001 ne renvoie pas explicitement à NIST 800-88, mais la norme en est la référence technique implicite. Dans les rapports d'audit, les classes Clear / Purge / Destroy de NIST sont souvent utilisées comme classe technique à côté des classifications DIN. Lisez notre article NIST 800-88 contre DIN 66399 pour la table de correspondance.
L'évaluation du prestataire
La certification ISO 27001 impose de démontrer périodiquement que les prestataires externes répondent à vos exigences de sécurité. À un prestataire de destruction, vous demandez entre autres :
- Sa propre certification ISO 27001 (non obligatoire, mais elle raccourcit la due diligence).
- Une description des processus opérationnels.
- La classification DIN des équipements et du processus.
- Un modèle de certificat par mission.
- Un accord de traitement au titre du RGPD.
- Une procédure d'incident (que se passe-t-il si du matériel est perdu ?).
Mobile contre off-site dans le contexte ISO
Les auditeurs interrogent souvent sur la chaîne de traçabilité. La destruction mobile (sur place) raccourcit considérablement cette chaîne et constitue donc souvent la voie recommandée en contexte ISO. Pour l'arbitrage plus large, lisez destruction mobile contre off-site. Pour l'off-site, une documentation supplémentaire est nécessaire sur la sécurité du transport et le délai de traitement sur le site de déchiquetage.
Constats d'audit fréquents (non-conformités)
- « Politique d'élimination manquante ou obsolète. » Rédigez-la et révisez-la chaque année.
- « Pas d'accord de traitement avec le prestataire de destruction. » Demandez-le au prestataire.
- « Certificats incomplets (pas de classification DIN). » Demandez un certificat plus explicite.
- « Pas de lien entre classification et méthode d'élimination. » Intégrez un tableau dans la politique.
- « Pas d'évaluation du prestataire. » Planifiez-la chaque année ou par mission.
Notre rôle dans votre parcours ISO
Nous livrons en standard :
- Accord de traitement au titre de l'art. 28 RGPD.
- Certificat par mission avec classification DIN et méthode.
- Sur demande, une déclaration de prestataire avec nos mesures de sécurité.
- Liste d'étiquettes d'actif ou de numéros de série pour la destruction de matériel.
Pour les MSP informatiques qui gèrent des environnements ISO pour des clients, cela compte. Lisez notre article sectoriel.
Des preuves de destruction conformes à ISO 27001.
Nous livrons l'accord de traitement, le certificat et, sur demande, une déclaration de prestataire. Prêts à ajouter directement à votre dossier ISO.
Demander un devisVous travaillez à une certification ISO ? Écrivez-nous via desnipperaar.nl au sujet des preuves d'audit précises qu'attend votre auditeur.