ANNEXE
NORMES TECHNIQUES DE DESTRUCTION DES INFORMATIONS ET SUPPORTS CLASSIFIÉS OU PROTÉGÉS CONFORMES À L'INSTRUCTION GÉNÉRALE INTERMINISTÉRIELLE NO 1300 SUR LA PROTECTION DU SECRET DE LA DÉFENSE NATIONALE
1. Champ d'application
Le présent document s'applique à la destruction des supports physiques d'information tels que visés par :
- le titre 7.5 (fin d'exploitation des informations et supports classifiés) de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale approuvée par l'arrêté du 9 août 2021 (IGI 1300) ;
- l'annexe 1 de l'IGI 1300 (règles de protection des informations et supports portant la mention Diffusion Restreinte).
Le standard présenté dans le tableau n° 1 concernant les informations et supports non protégés (NP) n'est donné qu'à titre de recommandation.
Les instructions ministérielles prévues au titre 2.3.1 de l'IGI 1300 peuvent compléter les standards et mesures de destruction tels que décrits dans le présent document sans pour autant en abaisser les exigences.
Certains organismes peuvent utiliser des mentions de protection propres à leurs activités ou à certaines réglementations (secret industriel, confidentiel personnel, etc.). Il revient aux ministères concernés dont ces organismes relèvent, le cas échéant, d'établir les équivalences nécessaires entre ces mentions et le présent document.
Pour les supports classifiés de pays étrangers ou relevant d'une organisation internationale et, le cas échéant, pour les supports de ces pays ou organisation protégés par une mention, le document suivant s'applique selon le tableau d'équivalence figurant dans l'accord organisant l'échange d'informations entre la France et le pays ou l'organisation considérés.
La destruction par traitement informatique des informations dématérialisées classifiées ou protégées doit être réalisée selon des procédures et avec des moyens agréés par l'agence nationale de sécurité des systèmes d'information (ANSSI). En l'absence d'agrément de ces procédures et moyens, tout support d'un système d'information classifié Secret (S) ou Très Secret (TS) ou d'un système protégé par la mention Diffusion Restreinte (DR) doit être détruit physiquement en respectant les standards et mesures d'organisation prévus par le présent document.
2. Vocabulaire (1)
Une information est une donnée ou un ensemble de données permettant de se représenter, de manière formalisée, des faits, concepts et instructions. Cet ensemble doit pouvoir être communiqué, interprété ou manipulé par des personnes ou des moyens automatiques.
Un support d'information est un objet ou un élément qui contient l'information.
L'accès à l'information est l'action par laquelle une personne se trouve en mesure de communiquer, interpréter ou manipuler une information, soit directement soit par le biais d'un matériel. Conformément à l'IGI 1300, l'accès à l'information classifiée est à la fois réglementé et restreint aux seules personnes qualifiées. Tout accès non autorisé doit être considéré comme une compromission. L'accès aux informations protégées par la mention Diffusion Restreinte est limité par le besoin d'en connaître.
La procédure de destruction est un processus (ensemble d'opérations) par lequel la forme et/ou la qualité d'un support d'information sont altérées de façon à rendre difficile ou impossible l'accès à l'information qu'il contient.
L'équipement est l'ensemble des moyens matériels, réunis fonctionnellement dans un même lieu et au même moment, permettant la destruction d'un support d'information lors de la procédure de destruction.
A l'issue de la procédure de destruction, le support traité est devenu un déchet, c'est-à-dire un objet, un élément, une matière résultant de la destruction par une personne et/ou un équipement.
Une particule de déchet est un fragment isolé de déchet qui peut ne pas avoir été altéré, peu altéré ou avoir été totalement altéré par la destruction.
Pour chaque équipement il peut être déterminé un degré de destruction, c'est-à-dire un critère technique permettant de garantir que les particules de déchets produites par l'équipement sont conformes à un certain niveau de protection rendant difficile ou impossible l'accès à l'information du support détruit.
Le degré de destruction est qualifié par un standard correspondant à l'association d'une lettre et d'un chiffre. La lettre correspond au type de support à détruire ; le chiffre correspond au niveau de protection à obtenir. Les standards figurants dans les tableaux du présent texte sont donnés en regard de la norme ISO-IEC 21964.
Dans les tableaux suivants, la lettre des standards correspond aux types de supports suivants :
- la lettre (P) désigne les papiers, films, plaques et supports d'impression ;
- la lettre (F) désigne les supports d'information miniaturisés tels que microfilms, microfiches ou équivalents ;
- la lettre (O) désigne les supports d'information optiques tels que CD, DVD ou tout autre support optique ;
- la lettre (T) désigne les supports d'information magnétiques tels que disquettes, cartes et bandes magnétiques, ou équivalent ;
- la lettre (H) désigne les supports d'information à mémoire de masse tels que les disques durs magnétiques ;
- la lettre (E) désigne les supports d'information électroniques tels que clé USB, disques durs SSD, puces et mémoires électroniques, smartphones, ou tout autre équipement électronique.
3. Types de supports à détruire et tableaux de standard
Pour la destruction de supports non-protégés (NP), il est recommandé d'utiliser un équipement dont le standard est au moins égal aux standards du tableau n° 1.
Tableau n° 1
|
Types de supports NP à détruire |
Standard de l'équipement |
|---|---|
|
P |
P3 ou supérieur recommandé |
|
F |
F3 ou supérieur recommandé |
|
O |
O3 ou supérieur recommandé |
|
T |
T3 ou supérieur recommandé |
|
H |
H3 ou supérieur recommandé |
|
E |
E3 ou supérieur recommandé |
Pour la destruction de supports protégés par la mention de protection Diffusion Restreinte (DR), le standard de l'équipement utilisé est au moins égal aux standards du tableau n° 2.
Tableau n° 2
|
Types de supports DR à détruire |
Standard de l'équipement |
|---|---|
|
P |
P4 ou P5 ou supérieur |
|
F |
F4 ou F5 ou supérieur |
|
O |
O4 ou O5 ou supérieur |
|
T |
T4 ou T5 ou supérieur |
|
H |
H4 ou H5 ou supérieur |
|
E |
E4 ou E5 ou supérieur |
Pour la destruction de supports protégés par le niveau de classification Secret (S) ou Très Secret (TS), le standard de l'équipement utilisé est au moins égal aux standards du tableau n° 3.
Tableau n° 3
|
Types de supports S ou TS à détruire |
Standard de l'équipement |
|
|---|---|---|
|
S |
TS |
|
|
P |
P6 ou supérieur |
P7 |
|
F |
F6 ou supérieur |
F7 |
|
O |
O6 ou supérieur |
O7 |
|
T |
T6 ou supérieur |
T7 |
|
H |
H6 ou supérieur |
H7 |
|
E |
E6 ou supérieur |
E7 |
|
Exemple de lecture du tableau : pour détruire un CD-ROM (O) comportant des informations classifiées au niveau Secret (S), il faut utiliser un équipement certifié conforme au standard O6 ou supérieur. |
||
Les standards figurants dans les tableaux nos 1, 2 et 3 sont donnés en regard de la norme ISO-IEC 21964. L'officier de sécurité, ou toute personne sous sa responsabilité, étant chargé du choix des équipements à utiliser pour les opérations de destruction, s'assure de la conformité de la destruction et des équipements utilisés avec ces standards, que ces opérations soient directement conduites au sein de son organisme ou indirectement dans le cas d'une prestation de service externe.
Certaines procédures de destruction peuvent utiliser des équipements conduisant à la désintégration du support classifié (2). Le cas échéant, les déchets de cette désintégration peuvent constituer une nouvelle matière. Dans ce cas, la taille des particules de déchet à considérer pour vérifier la conformité est celle de la particule désintégrée et non celle de la nouvelle matière finale.
Pour les supports informatiques et électroniques (T, H, E), l'effacement ou la réécriture sur les supports sont recommandés avant le processus de destruction.
4. Mesures organisationnelles pour les supports classifiés
L'officier de sécurité veille au respect de la réglementation incluant l'application des présentes normes techniques de destruction.
Aucun équipement dont le standard n'est pas conforme au tableau n° 3 ne peut être utilisé pour détruire des informations et supports classifiés (ISC).
Par dérogation au paragraphe précédent, si les supports classifiés à détruire sont transportés avant d'être incinérés, ils doivent avoir été préalablement déchiquetés et mélangés. Dans ce cas, les équipements utilisés peuvent être de standard P4, F4, O4, T4, H4, E4 pour les supports de niveau de classification Secret ou Très secret. A l'issue de la procédure d'incinération, les particules de déchet doivent être conformes aux standards du tableau n° 3. Avant l'incinération, les supports classifiés déchiquetés sont à traiter comme pouvant être reconstitués. Les mesures de protection tout au long de la procédure de destruction sont alors adaptées en conséquence et interdisent l'accès à ces supports par des personnes non-qualifiées.
Si un organisme s'est doté d'un équipement en propre antérieurement à la date de publication des présentes normes techniques et que cet équipement n'est pas conforme aux standards des tableaux n° 2 et 3, l'organisme peut continuer d'utiliser cet équipement jusqu'à ce que celui-ci devienne inutilisable par usure ou obsolescence et, au maximum, pendant cinq ans à compter de la date de publication des présentes normes techniques, dès lors que cet équipement est conforme aux dispositions de l'article 59 de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale dans leur version résultant de l'arrêté du 30 novembre 2011 (3) et applicables jusqu'au 9 août 2021 (4).
Dans le respect de la réglementation et des présentes normes techniques, l'officier de sécurité de l'organisme, ou toute personne sous sa responsabilité, définit les opérations de destruction et les mesures de protection à mettre en œuvre pour les supports classifiés. Ceci concerne notamment : les procédés utilisés, le choix des équipements, la désignation des autorités décisionnelles, la collecte, le transport, les éventuels stockages intermédiaires, les opérations de destruction, les mesures de surveillance, la gestion des déchets, le contrôle des opérations, la traçabilité, la protection des supports et des locaux concernés, le choix des prestataires.
La procédure de destruction et ses équipements mis en œuvre doivent être adaptés au nombre et au type d'ISC à détruire. Aussi, les opérations et mesures à définir sont distinctes en fonction des cas (destruction courante, fin de réunion, inventaire, fiche clôture de plan contractuel, etc.). Elles tendent à limiter les manipulations, transports, stockages intermédiaires, intervention de tiers ou de personnes non-habilitées. Elles prévoient les risques liés à l'indisponibilité des équipements ou à l'interruption imprévue en cours d'opération.
Les procédures de destruction d'urgence de l'organisme sont adaptées. Elles visent à permettre la traçabilité et à rendre impossible toute reconstitution, même partielle, des ISC détruits.
La politique de protection du secret de l'organisme est mise à jour en conséquence.
L'officier de sécurité de l'organisme, ou toute personne sous sa responsabilité, s'assure de la conformité des équipements et des procédures de destruction avec la réglementation tout au long de leurs utilisations et mises en œuvre. Il veille au respect des procédures, à leur effectivité, à la formation et à la sensibilisation du personnel concerné. Il s'assure que les opérateurs de la destruction sont habilités au niveau requis ou qu'une personne habilitée au niveau requis surveille les opérations.
Les équipements de destruction doivent être marqués de façon à indiquer aux opérateurs et utilisateurs le standard de destruction ainsi que le type de supports pouvant y être détruits en fonction de leurs classifications ou protection.
Après l'opération, un procès-verbal de destruction est dressé. Ce procès-verbal de destruction porte la signature du détenteur et, en sus pour les documents Très Secret, celle d'un témoin habilité au niveau Très Secret (cf. annexe 45 de l'IGI 1300).
(1) Les définitions de vocabulaire sont notamment issues de la norme ISO-IEC 21964. La norme ISO-IEC 21964 est constituée de trois textes distincts : ISO/IEC 21964-1 : 2018, Principles and definitions ; ISO/IEC 21964-2 : 2018, Requirements for equipment for destruction of data carriers ; ISO/IEC 21964-3 : 2018, Process of destruction of data carriers.
(2) Les particules composantes du support sont intégralement dissociées soit par effet thermique, de fonte, de liquéfaction, de gazéification, de dissolution, etc.
(3) Extrait de l'article 59 (abrogé) de l'arrêté du 30 novembre 2011 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale : " Les techniques de destruction sont adaptées au nombre et au type de supports à détruire. Les principales formes de destruction sont le brûlage, l'incinération, le broyage, le déchiquetage et la surtension électrique. Lorsque des documents classifiés doivent être transportés afin d'être incinérés, ils doivent impérativement avoir été préalablement déchiquetés et mélangés. […] Le brûlage consiste à exposer l'ensemble du support ou la surface utile à une température de plus de 1 000 °C avec un chalumeau ; l'incinération est une combustion complète réduisant le support à l'état de cendres, destinée à empêcher toute dispersion de fragments ; le broyage consiste à réduire le support en pulpe afin que les morceaux résiduels n'excèdent pas 2 mm de diamètre ; le déchiquetage est une opération qui réduit le support en lambeaux de moins de 0,8 mm de large et 13 mm de long ; la surtension électrique consiste à détruire les circuits d'alimentation du support par une surtension positive immédiatement suivie d'une surtension négative (ce qui ne détruit toutefois pas les circuits eux-mêmes, qui contiennent l'information). "
(4) Arrêté du 9 août 2021 portant approbation de l'instruction générale interministérielle n° 1300 sur la protection du secret de la défense nationale.