Certifications

Certifications

OTAN : l’iPhone et l’iPad certifiés pour les données sensibles

L’iPhone et l’iPad deviennent les premiers appareils grand public capables de traiter des informations classifiées de l’OTAN. Cette reconnaissance, accordée après une évaluation rigoureuse menée par l’administration allemande, confirme que les protections intégrées d’iOS 26 et d’iPadOS 26 répondent aux exigences strictes des environnements à accès restreint. Apple franchit ainsi une étape stratégique en démontrant qu’un appareil grand public peut atteindre un niveau de sécurité auparavant réservé aux solutions spécialisées.

Certification OTAN : un tournant pour les appareils mobiles

L’OTAN autorise désormais l’usage de l’iPhone et de l’iPad pour manipuler des données classifiées jusqu’au niveau « Diffusion restreinte ». Cette décision ne nécessite ni logiciels supplémentaires ni configurations complexes. Elle repose sur l’architecture de sécurité native d’Apple, déjà validée par le gouvernement allemand après des tests approfondis du BSI. Grâce à cette certification, les deux appareils rejoignent le Catalogue des produits de sécurité de l’information de l’OTAN.

Une sécurité intégrée dès la conception

Apple conçoit ses appareils autour d’un principe simple : la sécurité doit être un élément fondamental, pas un ajout. Cette approche se traduit par un chiffrement avancé, une authentification biométrique robuste avec Face ID et des mécanismes innovants comme le Memory Integrity Enforcement. Ces protections, pensées pour tous les utilisateurs, répondent désormais aux standards internationaux les plus exigeants.

Une reconnaissance qui change les pratiques gouvernementales

Avant cette certification, les organisations devaient investir dans des solutions sur mesure pour garantir la sécurité de leurs communications. L’iPhone et l’iPad bouleversent ce modèle. Ils offrent une plateforme sécurisée prête à l’emploi, capable de répondre aux besoins opérationnels des gouvernements et des institutions internationales. Cette évolution marque une nouvelle ère où les appareils grand public peuvent rivaliser avec les solutions spécialisées.

by International ICS

DIN 66399 : la destruction de vos documents

Dans notre monde, les données sont devenues une monnaie d’échange précieuse. Que ce soit nos informations personnelles ou professionnelles, chaque morceau d’information que nous produisons peut avoir une valeur inestimable pour les bonnes (ou mauvaises) personnes. Par conséquent, la sécurité de nos informations est devenue une préoccupation majeure. Un moyen efficace de protéger ces données est l’utilisation d’un destructeur de documents.

Cet article vous guide à travers les différentes facettes de la norme DIN 66399 pour la gestion des documents, en détaillant chaque niveau de sécurité et en expliquant comment ils peuvent être utilisés pour protéger vos informations précieuses.

La norme DIN 66399 est une norme internationale qui définit les exigences pour les machines de destruction de documents. Elle établit différents niveaux de sécurité, allant de P1 à P7, chacun correspondant à un type spécifique de données à protéger et offrant un degré de sécurité différent.

  • Niveau P1 - Données générales : Ce niveau est le plus bas de la norme DIN 66399. Il offre un niveau de sécurité minimal et est principalement utilisé pour réduire le volume des déchets papier. Les documents sont coupés en bandes de moins de 12 mm de large, ce qui rend difficile, mais pas impossible, la reconstitution des informations.
  • Niveau P2 - Données internes : Ce niveau offre une sécurité légèrement supérieure au niveau P1. Avec une coupe droite de moins de 6 mm de large, il peut dissuader les curieux, mais pas ceux qui sont déterminés à accéder à vos informations. Ce niveau est généralement suffisant pour les documents internes qui ne contiennent pas d’informations sensibles.
  • Niveau P3 - Données sensibles : Ce niveau est le plus couramment utilisé par les particuliers pour détruire des documents sensibles tels que les relevés bancaires. Il correspond à l’entrée de gamme des destructeurs de documents à coupe croisée, avec une largeur maximale de 4 mm et une longueur de 46 à 60 mm. Ce niveau offre une sécurité suffisante pour la plupart des documents personnels.
  • Niveau P4 - Données confidentielles : Ce niveau est obligatoire pour toutes les entreprises qui ont des documents contenant des données confidentielles sur leurs clients. Il est conforme au Règlement général sur la protection des données (RGPD) et est donc obligatoire pour toutes les entreprises qui souhaitent détruire des informations confidentielles. Les documents sont coupés en morceaux de 4 x 40 mm à 3 x 25 mm, rendant la reconstitution des informations extrêmement difficile.
  • Niveau P5 - Données secrètes : Ce niveau est utile pour les laboratoires de recherche et les administrations. Les destructeurs de documents P5 réduisent les papiers en confettis de moins de 30 mm², ce qui rend la reconstitution des documents très difficile, même pour les personnes les plus motivées.
  • Niveau P6 - Données ultra-secrètes : Ce niveau correspond aux broyeurs de papier de haute sécurité, avec des résidus de papier mesurant 0,8 mm par 12 mm maximum. La reconstruction des documents originaux est presque impossible, offrant un haut niveau de protection contre l’espionnage industriel ou militaire.

International ICS recommande notamment le modèle FELLOWES Fortishred 3250SMC ou un équivalent répondant aux mêmes critères de coupe micro-croisée (0,8 x 12 mm). Ce type d’équipement garantit une destruction irréversible des documents et s’intègre dans une politique globale de sécurité de l’information et de conformité au RGPD.

  • Niveau P7 - Données top secrètes : Ce niveau est réservé aux secrets d’État et à la défense. Il offre la meilleure protection possible, avec une coupe croisée produisant des résidus de 1 x 5 mm à 0,8 x 4,5 mm. Il est utilisé pour protéger les documents de type secret défense, assurant ainsi la sécurité des informations les plus sensibles.

Pour la destruction de vos documents, International ICS suggère d’utiliser au minimum le niveau P5.

Voici pour exemple :

La norme DIN 66399 offre une gamme complète de niveaux de sécurité pour répondre à tous les besoins en matière de destruction de documents. Que vous soyez un particulier soucieux de protéger vos données sensibles, une entreprise devant se conformer au RGPD, ou une organisation gouvernementale traitant des secrets d’État, il existe un niveau de sécurité adapté à vos besoins. Comprendre ces niveaux et choisir le destructeur de documents approprié est essentiel pour assurer la meilleure protection possible de vos informations précieuses. Dans notre monde en constante évolution, la protection des données est plus importante que jamais, et la norme DIN 66399 est un outil précieux pour nous aider à naviguer dans ce paysage complexe.

by Thomas d. C

ISO 27701 : gérer la protection de la vie privée

Une norme internationale pour sécuriser les données personnelles. Les données personnelles sont devenues un enjeu majeur pour les entreprises et les organisations, qui doivent les protéger contre les risques de piratage, de fuite ou de détournement. Pour les aider à se conformer aux différentes législations en vigueur, notamment le Règlement général sur la protection des données (RGPD) de l'Union européenne, une nouvelle norme internationale a été publiée en août 2019 : l'ISO 27701.

Cette norme, élaborée par des experts du monde entier, avec la participation de la Commission nationale de l'informatique et des libertés (CNIL) et de l'Association française de normalisation (AFNOR), vise à définir les bonnes pratiques pour la gouvernance et la sécurité des traitements de données personnelles. Elle s'appuie sur deux normes ISO déjà existantes dans le domaine de la sécurité informatique : l'ISO 27001, qui certifie un système de management de la sécurité informatique, et l'ISO 27002, qui détaille les mesures de sécurité à mettre en œuvre.

L'ISO 27701 apporte des exigences spécifiques pour la protection des données personnelles, en tenant compte du rôle de l'organisme qui les traite (responsable de traitement, sous-traitant, sous-traitant de sous-traitant). Elle couvre ainsi les aspects suivants :

- La détermination du rôle de l'organisme et de ses obligations légales et réglementaires ;
- La gestion des risques informatiques et des risques pour la vie privée des personnes concernées ;
- La désignation d'un responsable pour la protection de la vie privée, qui peut être le délégué à la protection des données (DPO) ;
- La sensibilisation et la formation des personnels impliqués dans les traitements de données personnelles ;
- La classification, la protection, la sauvegarde et la journalisation des données personnelles ;
- Les conditions de transfert, de partage et de suppression des données personnelles ;
- La protection de la vie privée dès la conception et par défaut des traitements de données personnelles ;
- La gestion des incidents et des violations de données personnelles ;
- Le respect des principes fondamentaux du RGPD, tels que la finalité, la base légale, le consentement, l'inventaire, l'évaluation des impacts, les droits des personnes, la minimisation, la dé-identification et la durée de conservation des données personnelles ;
- La rédaction des contrats de sous-traitance et des clauses contractuelles types pour les transferts de données hors de l'Union Européenne.

L'ISO 27701 n'est pas une certification au sens de l'article 42 du RGPD, qui prévoit la possibilité pour les organismes de faire valider leur conformité par un organisme accrédité. Mais elle constitue un référentiel reconnu et harmonisé, qui permet aux organismes de démontrer leur engagement et leur responsabilité en matière de protection des données personnelles. Elle peut également faciliter les échanges de données entre les organismes situés dans des pays ayant des législations différentes, en garantissant un niveau de sécurité élevé.

L'ISO 27701 est donc une norme utile et pertinente pour les organismes qui traitent des données personnelles, quels que soient leur taille, leur secteur d'activité ou leur localisation. Elle leur permet de se doter d'un système de management efficace et adapté, qui assure la sécurité et la confiance des personnes concernées..

by Thomas d. C

ISO 27001 : le système de management de la sécurité de l’information

La norme ISO/CEI 27001, qui a succédé à la norme BS 7799-2 de BSI a été révisée en 2013 et 2022 après sa publication initiale en octobre 2005. Cette norme, qui s’adresse à tous les types d’organismes, y compris les entreprises commerciales, les ONG et les administrations, définit les exigences pour la mise en place d’un système de management de la sécurité de l’information (SMSI). Le SMSI est conçu pour recenser les mesures de sécurité dans un périmètre défini, garantissant ainsi la protection des actifs de l’organisme. L’objectif est de protéger les fonctions et informations contre toute perte, vol ou altération, et de protéger les systèmes informatiques contre toute intrusion et sinistre informatique. Cela renforce la confiance des parties prenantes.

La certification ISO 27001, un gage de sécurité pour les systèmes d’information. La sécurité des systèmes d’information est devenue un enjeu majeur pour les organisations de tous secteurs et de toutes tailles, face à la multiplication des cyberattaques et des exigences règlementaires. Pour garantir la protection, la performance et l’amélioration continue de leurs systèmes d’information, de plus en plus d’organisations optent pour la certification ISO 27001, la norme internationale de référence en la matière.

La certification ISO 27001 atteste qu’une organisation a mis en place un système de management de la sécurité de l’information (SMSI) efficace, basé sur une analyse et une maîtrise des risques liés aux informations sensibles. Elle implique également le respect des bonnes pratiques et principes énoncés dans la norme, tels que la définition d’une politique de sécurité, l’engagement de la direction, la sensibilisation du personnel, ou encore la mise en œuvre de mesures de protection adaptées. La certification ISO 27001 présente de nombreux avantages pour les organisations certifiées, notamment :

  • La résilience face aux cyberattaques et aux nouvelles menaces
  • La conformité aux exigences légales et contractuelles, notamment en matière de protection des données personnelles
  • La confiance et la satisfaction des parties prenantes, telles que les clients, les fournisseurs, les partenaires ou les autorités
  • La réduction des coûts liés aux incidents de sécurité ou aux pertes d’information
  • L’optimisation des processus et des ressources liés au système d’information
  • La différenciation et la valorisation sur le marché

La norme stipule que les exigences en matière de mesures de sécurité doivent être adéquates et proportionnées aux risques encourus, évitant ainsi d’être trop laxistes ou trop sévères.

L’ISO/CEI 27001 énumère une série de points de contrôle à respecter pour assurer la pertinence du SMSI, permettant ainsi son exploitation et son évolution. Plus précisément, l’annexe A de la norme comprend les 114 mesures de sécurité de la norme ISO/CEI 27002 (anciennement ISO/CEI 17799), classées en 14 sections. Tout comme les normes ISO 9001 et ISO 14001, il est possible de faire certifier un organisme ISO/CEI 27001.

Cependant, certains points ont disparu par rapport à la norme BS 7799-2 : l’ISO 27001 n’intègre plus l’amélioration de la compétitivité, des cash flow, de la profitabilité, le respect de la réglementation et l’image de marque.

La première étape consiste à définir la politique et le périmètre du SMSI. Le périmètre, qui est le domaine d’application du SMSI, est librement choisi, mais il est essentiel car il détermine ensuite le périmètre de certification. Il doit comprendre tous les actifs métiers (actifs primordiaux au sens de la norme ISO/CEI 27005) et les actifs support à ces activités qui sont impliqués dans le SMSI. La politique détermine le niveau de sécurité (intégrité, confidentialité, disponibilité de l’information) qui sera pratiqué au sein de l’entreprise. La norme n’impose pas de niveau minimum de sécurité à atteindre dans le SMSI, son niveau devant être proportionné aux risques évalués.

Le choix du périmètre et de la politique étant libre, ces deux éléments sont des “leviers de souveraineté” pour l’entreprise. Ainsi, une entreprise peut être certifiée ISO 27001 tout en définissant un périmètre très réduit et une politique de sécurité peu stricte et sans répondre aux exigences de ses clients en matière de sécurité.

La deuxième étape consiste à identifier et évaluer les risques liés à la sécurité et à élaborer la politique de sécurité. La norme ISO 27001 ne donne pas de directives sur la méthode d’appréciation des risques à adopter. Les entreprises peuvent donc en inventer une en veillant à bien respecter le cahier des charges ou en choisir une parmi les plus courantes, notamment la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité) mise en place en France par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). Le cahier des charges relatif à l’appréciation des risques se développe en 7 points :

  • Identifier les actifs
  • Identifier les personnes responsables
  • Identifier les vulnérabilités
  • Identifier les menaces
  • Identifier leurs impacts sur les actifs à défendre
  • Évaluer la vraisemblance ou potentialité du risque
  • Estimer les niveaux de risque, fonction de leur potentialité et de leur impact

La troisième étape : Gestion de l’incertitude et reconnaissance du risque subsistant. Il existe quatre méthodes possibles pour traiter chaque risque identifié, présentées par ordre décroissant d’intérêt pour l’organisme :

  • L’évitement : Si l’incident est jugé inacceptable ou si les mesures sont facilement accessibles, une politique est mise en place. Il s’agit de réorganiser le système d’information à protéger afin d’éliminer totalement la potentialité du risque.
  • La réduction : La potentialité et/ou l’impact du risque sont ramenés à un niveau acceptable grâce à la mise en œuvre de mesures techniques et organisationnelles. C’est la solution la plus couramment utilisée.
  • Le transfert (ou partage) : La part de risque qui ne peut pas être évitée ou réduite est appelée risque résiduel. L’organisme peut transférer la responsabilité technique de tout ou partie de ce risque résiduel en recourant à une solution d’externalisation de sécurité. Il peut également souscrire une assurance pour réduire l’impact financier du risque.
  • L’acceptation (ou maintien) : Aucune mesure de sécurité supplémentaire n’est mise en place car les conséquences du risque résiduel non transférable sont acceptables. Par exemple, le vol d’un ordinateur portable qui ne contient pas de données essentielles pour l’entreprise a un impact minime. Cette solution peut n’être que temporaire.

Une fois la décision de traitement du risque prise, l’entreprise doit identifier les risques résiduels, c’est-à-dire ceux qui persistent après la mise en place des mesures de sécurité. Si ces risques sont jugés inacceptables, des mesures de sécurité supplémentaires doivent être définies. Cette phase d’acceptation formelle des risques résiduels s’inscrit souvent dans un processus d’homologation, le système étant homologué en tenant compte de ces risques résiduels.

Quatrième étape, le choix des procédures de sécurité à implémenter. La norme ISO 27001 comprend une annexe A qui propose 114 mesures de sécurité classées en 14 catégories (politique de sécurité, sécurité du personnel, contrôle des accès…). Cette annexe normative n’est qu’une liste et ne donne aucun conseil de mise en œuvre au sein de l’entreprise. Les mesures sont présentées dans la norme ISO 27002.

La certification ISO 27001 est délivrée par des organismes certificateurs accrédités, tels que l’AFNOR, après un audit du SMSI de l’organisation candidate. La certification est valable pour une durée de trois ans, sous réserve de maintenir et d’améliorer le SMSI et de passer des audits de suivi annuels. La norme ISO 27001 est régulièrement mise à jour pour tenir compte de l’évolution des technologies, des menaces et des besoins des organisations. La dernière version date de 2022 et introduit notamment des changements dans l’annexe A, qui liste les mesures de sécurité à considérer.
La certification ISO 27001 est donc un outil précieux pour les organisations qui souhaitent sécuriser leurs systèmes d’information et se préparer aux défis du numérique.

by Thomas d. C

Privacy Preference Center

Privacy Preferences