Points clés
- Les supports et équipements physiques — disques durs, clés USB, bandes magnétiques, ordinateurs portables, téléphones — constituent des vecteurs de fuite ou de perte de données dont la gestion est souvent insuffisante.
- Morgan Stanley a été condamné en 2020 par l'OCC à une amende de 60 millions USD pour avoir confié à un prestataire la destruction de disques durs contenant des données clients, sans vérifier que la destruction avait effectivement eu lieu.
- La NSA a documenté le cas d'Harold Martin, un sous-traitant de la NSA qui avait accumulé chez lui pendant 20 ans 50 téraoctets de données classifiées sur des supports physiques — un cas extrême de gestion insuffisante des équipements sensibles.
- NIST SP 800-88 (Guidelines for Media Sanitization) et ISO 27001:2022 A.7.10 définissent les exigences de gestion des supports physiques tout au long de leur cycle de vie.
La sécurité des supports physiques de données est un angle mort fréquent des politiques de sécurité de l'information. Les organisations investissent dans le chiffrement, les firewalls et les SIEM, mais négligent la traçabilité des disques durs en fin de vie, la gestion des ordinateurs portables perdus ou volés, et les procédures de destruction des supports contenant des données sensibles. Cette négligence crée des expositions réelles et documentées.
Pour la direction générale, la question est de savoir si les processus de gestion du cycle de vie des équipements — approvisionnement, utilisation, maintenance, recyclage, destruction — intègrent des contrôles de sécurité proportionnés à la sensibilité des données qu'ils peuvent contenir.
Le cycle de vie des équipements comme vecteur de risque
L'approvisionnement en équipements est la première étape du cycle de vie. Les équipements achetés doivent être enregistrés dans un inventaire avec leur identifiant unique, leur localisation physique et leur niveau de sensibilité des données qu'ils peuvent traiter. ISO 27001:2022 A.5.9 impose la tenue d'un inventaire des actifs informationnels, qui doit couvrir les actifs physiques.
L'utilisation et la maintenance constituent la phase la plus exposée au vol et à la perte. Les ordinateurs portables, téléphones professionnels et tablettes sont les équipements les plus fréquemment perdus ou volés. Selon le Ponemon Institute, un ordinateur portable perdu coûte en moyenne 49 000 USD à l'organisation quand on intègre les coûts de détection, notification, remédiation et réputation — même si les données sont chiffrées. Sans chiffrement, les coûts et risques sont exponentiellement plus élevés.
Le recyclage et la destruction constituent la phase la plus critique et la plus souvent défaillante. Des disques durs réformés contenant des données non effacées, des bandes de sauvegarde éliminées sans destruction sécurisée, des équipements de réseau revendus avec leur configuration : ces situations créent des expositions de données post-usage dont l'organisation n'est généralement pas informée avant qu'elles ne soient découvertes par un tiers.
Contrôles à mettre en place pour les supports sensibles
Le chiffrement intégral des disques (FDE — Full Disk Encryption) sur tous les équipements mobiles est la protection fondamentale contre la perte et le vol. Un équipement chiffré perdu ou volé ne constitue pas une violation de données si la clé de chiffrement n'est pas compromise avec lui. ISO 27001:2022 A.8.24 impose l'utilisation de la cryptographie pour protéger les données, y compris sur les supports physiques.
La destruction sécurisée des supports est une exigence explicite de NIST SP 800-88 (Guidelines for Media Sanitization), qui définit trois niveaux de destruction : Clear (effacement logique, adapté aux données non sensibles), Purge (effacement cryptographique ou dégaussage, adapté aux données sensibles) et Destroy (destruction physique — déchiquetage, incinération — pour les données hautement sensibles). Les certifications de destruction par des prestataires accrédités (NAID AAA) doivent être conservées comme preuves de conformité.
La traçabilité physique des équipements sensibles doit être maintenue tout au long de leur cycle de vie. Un registre d'inventaire incluant les mouvements des équipements (prêt, déplacement, maintenance externe, retour, destruction) permet de reconstituer le périmètre d'exposition en cas d'incident et de démontrer la diligence de l'organisation aux auditeurs et régulateurs.
La destruction comme obligation de conformité
Plusieurs régulateurs ont sanctionné des organisations pour défaillance dans la destruction de supports. L'OCC américain (Office of the Comptroller of the Currency) a infligé à Morgan Stanley une amende de 60 millions USD en 2020 pour avoir confié la destruction de disques durs d'équipements décommissionnés à un prestataire non certifié, qui a revendu certains équipements sans les avoir effacés. Des données clients ont été retrouvées sur des équipements revendus.
En Europe, plusieurs autorités de protection des données ont sanctionné des organisations pour conservation indéfinie de données sur des supports physiques non détruits. La CNIL française a émis des recommandations spécifiques sur la conservation et la destruction des données sur supports physiques, rappelant que RGPD Article 5(1)(e) impose une limitation de la durée de conservation applicable aussi aux supports physiques.
Morgan Stanley a décommissionné entre 2016 et 2019 des milliers de serveurs contenant des données de clients dans le cadre de la fermeture de plusieurs centres de données. La banque a mandaté un prestataire pour la destruction des équipements. L'enquête de l'OCC a établi que Morgan Stanley n'avait pas vérifié que la destruction avait été effectivement réalisée, et que certains équipements avaient été revendus par le prestataire sur un marché d'occasion, avec des données clients accessibles. L'OCC a prononcé une amende de 60 millions USD en 2020 pour défaillance dans la gestion des données clients sur supports physiques.
Une enquête du Financial Services Authority (devenu FCA) britannique a établi que HSBC avait, pendant plusieurs années, stocké des données clients sur des bandes magnétiques de sauvegarde dans des entrepôts externes sans contrôle d'accès physique adéquat. Des bandes manquantes avaient été signalées sans déclencher de procédure de notification. L'affaire a conduit à une révision complète de la politique de gestion des supports physiques de HSBC et à des investissements significatifs dans des systèmes de traçabilité et de destruction sécurisée. La FCA a conclu que la défaillance relevait d'une gouvernance insuffisante du risque physique de données.
Coplin Health System, un système de santé américain opérant dans plusieurs États, a notifié en 2017 la compromission potentielle de données de 43 000 patients suite au vol d'un ordinateur portable non chiffré dans un véhicule. L'appareil contenait des dossiers médicaux non chiffrés. HHS a émis une résolution agreement imposant un plan de correction incluant l'implémentation obligatoire du chiffrement intégral des disques sur tous les équipements mobiles. Ce cas illustre les coûts réputationnels et réglementaires d'une défaillance de sécurité physique des équipements mobiles dans le secteur de la santé.