Norme DIN 66399 : la sécurité du destructeur a changé. Le monde évolue vite, se modernise. La criminalité aussi, elle devient cyber, hackeuse, espionne, usurpatrice d'identité, organisée. Il fallait que les normes de sécurité en matière de confidentialité des données détruites soit précisées et développées. La norme DIN 32757 avait besoin d'être remise au goût du jour.
Ce fut réalisé à partir du 1er octobre 2012 par le Deutsches Institut für Normung (DIN), l'organisme allemand de normalisation. La norme DIN 32757, mise en service le 1er janvier 1995 était alors officiellement annulée et remplacée par la nouvelle norme DIN 66399.
Norme de sécurité adaptée
Cette norme précise mieux les contours en terme de matériels et de techniques pour tout ce qui concerne la destruction de supports qui contiennent, ou qui ont contenu, des informations confidentielles et/ou des données personnelles. La norme DIN 66399 définit notamment :
Les 3 classes de protection qui vont permettre de définir quels sont les besoins en matière de protection des données. Selon qu'elles sont classées comme "internes", "confidentielles" ou "secrètes", les moyens à mettre en oeuvre diffèrent.
Les 6 catégories de matériaux à utiliser. Aujourd'hui, plusieurs supports peuvent être utilisés pour stocker les données. cette nouvelle norme élargie apporte des précisions sur les types de matériaux variés dont on peut se servir.
Les 7 niveaux de sécurité pour la confidentialité des informations. Différents niveaux de sécurité ont été définis qui dépendent de la taille des particules issues de la destruction du support.
Les 3 nouvelles classes
Ce sont ces 3 nouvelles classes de protection qui ont désormais la charge de déterminer quel est le niveau de sécurité que l'on affectera aux données à détruire (avec notamment un destructeur de documents), grâce à une classification détaillée. On parlera donc de données internes, de données confidentielles ou de données secrètes.
Ainsi développées avec précision, ces 3 nouvelles classes permettent à l'utilisateur final de connaître en un clin d'oeil le niveau de sécurité qui lui est nécessaire afin d'obtenir une destruction efficace, sécurisée et respectueuse de la réglementation en vigueur (en France, la Loi 78-17 du 6 janvier 1978 modifiée relative à l'informatique, aux fichiers et aux libertés).
Classe 1 : niveau normal
La classe 1 ne nécessite pas un niveau de protection élevé pour les documents qui contiennent des données internes car elles sont consultables en libre accès par un public nombreux et varié. Le niveau de protection requit est : Normal ou standard.
En effet, la publication non autorisée de ce type d'imprimés n'aurait pas d'impact négatif (ou très faible) pour l'entreprise ou le service administratif concernés.
On peut citer des notes de service internes connues de tous, des catalogues commerciaux et tarifs grands publics largement divulgués, d'anciennes publicités plus à jour depuis des années, etc ...
Classe 2 : niveau élevé
Cette classe requière un niveau de sécurité élevé et concerne essentiellement des documents qui contiennent des données confidentielles, et dont l'accès est expressément réservé à un groupe restreint d'utilisateurs autorisés.
Si ce type de documents venaient à être divulgué inopportunément, cela pourrait avoir un impact préjudiciable pour l'entreprise ou le service administratif concernés.
On peut citer dans le désordre : des données personnelles sur les clients ou les employés, des offres de prix personnalisées sur appels d'offres, des devis confidentiels, des études de marchés de lancement de nouveaux produits, des mémos stratégiques secrets, etc ...
Classe 3 : niveau très haut
Cette classe impose une très haute exigence de sécurité et de protection pour les documents confidentiels et sensibles qui contiennent des données secrètes ou ultra-secrètes consultables uniquement par un groupe restreint de personnes accréditées.
La diffusion intempestive de ce type de documents pourrait avoir des conséquences graves, voire dangereuses, pour l'entreprise ou le service administratif concernés.
On citera par exemple : les données de recherche et développement de laboratoires pharmaceutiques, les données stratégiques ou financières des banques, des brevets, des rapports de services de renseignement ou de l'armée, etc ...
Les catégories de matériaux
La norme identifie pour la première fois, les différents types de matériaux qui peuvent contenir des données. Avec les nouvelles technologies liées à l'informatique, on remarque que les données peuvent être conservées et archivées de multiples manières, et sur de multiples supports (CD ou DVD, disques durs, etc).
Ces catégories de matériaux témoignent également des différentes tailles de données, qui peuvent être plus ou moins miniaturisées (tels les micro-films), ou présentées avec une taille normale (tels les documents papiers).
Il a été mis au point un système d'identification par préfixe pour différencier les catégories de matériaux (P pour le papier, O pour les supports optiques, H pour les disques durs, etc ...).
Support de type P : cette catégorie de sécurité concerne la destruction de données présentées à taille normale, tel du texte ou des photos sur du papier. Les différents niveaux de sécurité sont gradués de P1, le plus faible jusqu'à P7, le plus élevé.
Support de type F : cette catégorie de sécurité concerne la destruction de données présentées sur des microfilm, tel des sauvegardes des fichiers numériques. Les différents niveaux de sécurité sont gradués de F1, le plus faible jusqu'à F7, le plus élevé.
Support de type O : cette catégorie de sécurité concerne la destruction de données présentées sur des supports optiques, tel des CD ou des DVD sauvegarde. Les différents niveaux de sécurité sont gradués de O1, le plus faible jusqu'à O7, le plus élevé.
Support de type T : cette catégorie de sécurité concerne la destruction de données présentées sur des supports magnétiques, tel des disquettes de sauvegarde. Les différents niveaux de sécurité sont gradués de T1, le plus faible jusqu'à T7, le plus élevé.
Support de type H : cette catégorie de sécurité concerne la destruction de données présentées sur des supports magnétiques, comme des disques durs d'ordinateurs. Les différents niveaux de sécurité sont gradués de H1, le plus faible jusqu'à H7, le plus élevé.
Support de type E : cette catégorie de sécurité concerne la destruction de données présentées sur des supports électroniques, comme des cléss USB de sauvegarde. Les différents niveaux de sécurité sont gradués de E1, le plus faible jusqu'à E7, le plus élevé.
Les niveaux de sécurité
Pour chaque catégorie de matériaux, il a été déterminé plusieurs niveaux de sécurité.
Chacun des niveaux est représenté par la taille des particules qui sont produites par la destruction du support en question. Selon le type du matériau, plus les données ont un degré de confidentialité élevé, plus les particules doivent être de petite taille pour une protection réellement efficace.
L'objectif étant naturellement de ne pas pouvoir reconstituer les documents dans leur format d'origine par quelque procédé que ce soit.
Pour ce qui concerne la destruction de données sur papiers, la norme DIN 66399 a modifié la norme DIN 32757 en créant 2 nouveaux niveaux de sécurité pour protéger la confidentialité des documents ultra-secrets.
Elle a arrêté les niveaux de sécurité pour les destructeurs de documents de la manière suivante :
Le niveau de sécurité P1 est conseillé pour détruire les données sur support papier d'ordre général, qui ont une confidentialité quasiment nulle. La taille des particules est inférieure ou égale (≤) à 2 000 mm². Cela représente un destructeur avec un bloc de coupe droite de 12 mm.
Le niveau de sécurité P2 est conseillé pour détruire les données internes sur support papier, qui ont une confidentialité telle qu'ils doivent être rendus illisibles. La taille des particules est inférieure ou égale (≤) à 800 mm². Cela représente un destructeur avec un bloc de coupe droite de 4 ou 6 mm.
Le niveau de sécurité P3 est conseillé pour détruire les données sensibles sur support papier, qui ont une forte confidentialité et doivent devenir totalement illisibles. La taille des particules est inférieure ou égale (≤) à 320 mm². Cela représente un destructeur avec un bloc de coupe croisée de 4 x 60 mm ou 6 x 50 mm.
Le niveau de sécurité P4 est conseillé pour détruire les données sensibles et confidentielles sur support papier, qui doivent devenir définitivement illisibles. La taille des particules est inférieure ou égale (≤) à 160 mm². Cela représente un destructeur avec un bloc de coupe croisée de 4 x 40 mm ou 3 x 25 mm.
Le niveau de sécurité P5 est particulièrement recommandé pour détruire les données secrètes sur support papier, qui doivent devenir définitivement illisibles. La taille des particules est inférieure ou égale (≤) à 30 mm². Cela représente un destructeur avec un bloc de coupe croisée de 2 x 15 mm.
Le niveau de sécurité P6 est prévu pour détruire les données ultra-secrètes sur support papier, qui doivent devenir définitivement illisibles et ne pas être reconstituables. La taille des particules est inférieure ou égale (≤) à 10 mm². Cela représente un destructeur avec un bloc de coupe MC de 0,8 x 12 mm.
Le niveau de sécurité P7 est prévu pour détruire les données ultra-secrètes sur support papier, qui doivent devenir définitivement illisibles et ne pas être reconstituables. La taille des particules est inférieure ou égale (≤) à 5 mm². Cela représente un destructeur avec un bloc de coupe MC de 0,8 x 5 mm.
Ressources sur le sujet
- Site de la CNIL concernant la réglementation en vigueur : www.cnil.fr
- Les normes de destruction des documents évoluent !
- Protection des données à caractère personnel
- Obligations en matière de protection des données personnelles
Lire l'article suivant : Peut on reconstituer un document déchiqueté ?