Si vous travaillez vers la certification ISO 27001, créer une politique de conservation des données n'est pas seulement une bonne pratique de sécurité de l'information—c'est une nécessité. Mais qu'est-ce qu'une politique de conservation des données, pourquoi est-elle importante, et comment pouvez-vous en développer une qui soit conforme aux exigences d'ISO 27001 ?

Nous examinerons le rôle d'une politique de conservation des données dans le contexte de l'ISO 27001 et fournirons un guide étape par étape pour en écrire une.

Pourquoi la conservation des données est-elle importante pour la conformité à l'ISO 27001

ISO/IEC 27001 est une norme mondiale de sécurité de l'information. Elle offre des lignes directrices pour aider les organisations à gérer les risques et à protéger les données sensibles au sein d'un système de gestion de la sécurité de l'information (SGSI). La norme traite de nombreux aspects de la sécurité de l'information, y compris la conservation des données, pour garantir la confidentialité, l'intégrité et la disponibilité des données. 

La conservation des données est le processus de stockage et de maintien des données pendant une période de temps spécifique. Les organisations poursuivant la conformité à l'ISO 27001 doivent définir des processus de gestion des données appropriés. Ceux-ci incluent des méthodes de stockage et d'élimination des données ainsi que des périodes de conservation des données. 

En plus de la conformité ISO 27001, une conservation appropriée des données présente plusieurs avantages pour les entreprises :

1. Promouvoir l'hygiène des données

Définir des processus pour la création, le maintien et la suppression des données aide les organisations à prévenir les enregistrements dupliqués ou obsolètes. Des données de haute qualité améliorent les processus d'affaires et conduisent à de meilleures perspectives et prises de décisions.

2. Améliorer et informer la réponse aux incidents

La conservation des données implique de maintenir des journaux appropriés des systèmes, du trafic réseau et des accès des utilisateurs. Des journaux complets et fiables peuvent aider les équipes de sécurité à :

• Signaler des anomalies et des activités suspectes
• Comprendre les vecteurs et points d'entrée des attaques
• Évaluer la gravité d'une violation de données
• Déterminer l'étendue des données compromises
• Mettre en place des contrôles pour prévenir de futurs incidents de sécurité

3. Soutenir des opérations commerciales efficaces

Une politique de conservation des données garantit que les données essentielles sont correctement maintenues et conservées. Cela soutient diverses opérations commerciales critiques, permettant aux organisations de :

• Mettre en évidence les tendances des clients et du marché
• Générer des rapports financiers précis
• Suivre la performance de l'entreprise
• Soutenir le développement de produits
• Développer des initiatives marketing efficaces

4. Protéger contre la perte accidentelle de données

Établir des processus de sauvegarde et de récupération réduit le risque de perte de données due à une défaillance matérielle, une catastrophe naturelle ou une activité malveillante. Tester régulièrement les systèmes et procédures de sauvegarde dans le cadre d'une stratégie de conservation des données garantit que les données peuvent être restaurées en cas de perte accidentelle, minimisant ainsi les interruptions et soutenant la continuité des activités. 

Exigences de rétention des données ISO 27001

L'Annexe A 5.33 de l'ISO 27001:2022 couvre les exigences pour la « Protection des dossiers ». (« Dossiers » est un autre terme pour les données que votre organisation utilise pour ses activités commerciales courantes.) Pour être conforme à l'ISO 27001, les organisations doivent prendre des mesures pour protéger tous les dossiers contre la falsification, l'accès ou la divulgation non autorisés, et la perte.

Selon les dernières révisions de la norme ISO 27001:2022, les organisations doivent :

1. Établir des lignes directrices et/ou des processus pour :

• Stockage des dossiers
• Élimination des dossiers
• Établir une chaîne de responsabilité pour la gestion des dossiers
• Prévention de la manipulation des dossiers

2. Maintenir un calendrier de rétention pour tous les dossiers. Ce calendrier de rétention définit combien de temps différents types de dossiers seront conservés en fonction de leur usage commercial spécifique.

3. Définir des processus de stockage et de gestion des dossiers qui traitent :

• Exigences légales et/ou réglementaires pour la tenue des dossiers commerciaux
• Attentes sociales et des clients quant à la manière dont les organisations devraient gérer les dossiers et les données personnelles

4. Utiliser des méthodes sécurisées pour détruire les dossiers une fois la période de rétention terminée.

5. Catégoriser les dossiers en fonction de leurs risques de sécurité, en particulier :

• Dossiers du personnel
• Dossiers juridiques
• Dossiers comptables
• Transactions financières

6. Stocker les dossiers de manière à pouvoir les récupérer si demandé par un tiers (interne ou externe).

7. Dans le cas des dossiers électroniques, considérer et atténuer le risque de tout changement technologique pouvant limiter l'accès ou la récupération (comme la conservation des clés cryptographiques).

8. Suivre toutes les instructions du fabricant lors de la maintenance des dossiers électroniques.

Comment rédiger une politique de rétention des données ISO 27001

Maintenant que nous avons couvert les exigences, plongeons dans les détails de la rédaction d'une politique de rétention des données pour l'ISO 27001. 

Étape 1 : Catégoriser et classifier les données

Tout d'abord, vous devrez classifier les données en fonction de leur sensibilité, de leur importance et des exigences légales. Types de données à considérer incluent : 

• Données client
• Données des employés
• Propriété intellectuelle 
• Données opérationnelles
• Dossiers des fournisseurs et des vendeurs
• Dossiers de santé
• Dossiers éducatifs
• Courriels et communications
• Dossiers financiers et fiscaux

Étape 2 : Définir les exigences de rétention des données pour chaque catégorie

Quelles sont vos exigences légales, réglementaires ou de conformité pour chaque type de données ?

• Les données de santé peuvent être soumises à la Health Insurance Portability and Accountability Act (HIPAA).  En vertu de la HIPAA, les organisations doivent conserver les dossiers pendant au moins 6 ans après leur dernière utilisation.
• Les organisations servant des clients de l'UE peuvent avoir besoin de se conformer au RGPD. Le RGPD exige que les données personnelles ne soient conservées que le temps nécessaire pour atteindre l'objectif pour lequel elles ont été collectées.
• Les organisations de commerce en ligne ou financières peuvent devoir tenir compte des exigences PCI DSS. Les données de titulaires de cartes doivent être détruites une fois qu'elles ne sont plus nécessaires à des fins légales, contractuelles ou commerciales. La documentation de conformité PCI, comme les journaux d'audit, doit être conservée pendant au moins un an.

Consultez les parties prenantes, y compris le département juridique, l'informatique/la conformité et la direction exécutive, pour couvrir de manière appropriée. Les accords contractuels avec les clients, les partenaires et les fournisseurs tiers peuvent également affecter les exigences de rétention des données. 

Étape 3 : Définir des périodes de rétention des données et des méthodes de sécurité

Spécifiez combien de temps chaque type de données doit être conservé et comment il sera sécurisé. Les méthodes de sécurité peuvent inclure l'anonymisation ou la tokenisation, et le cryptage. 

Étape 4 : Documenter une politique et des procédures de conservation des données

Une politique de conservation des données ISO 27001 doit couvrir la gestion des données tout au long de leur cycle de vie. Les détails varieront en fonction des besoins de votre organisation, mais la politique doit inclure les éléments clés suivants :

1. Objet : Expliquez l'objectif de la politique. Assurez-vous de mentionner l'objectif d'aligner les pratiques de gestion des données de votre organisation sur les exigences de l'ISO 27001.

2. Portée : Définissez les données couvertes par la politique. Cela devrait inclure tous les documents relatifs à votre SGSI, ainsi que tous les documents exigés par l'ISO 27001. Les données peuvent aller des systèmes cloud et des documents de courriel aux bases de données spécifiques et aux dossiers physiques.

3. Rôles et responsabilités : Expliquez les rôles et responsabilités des personnes impliquées dans la création, l'application et la maintenance de la politique. Cela implique généralement les propriétaires de données, les dépositaires de données et/ou les responsables de la protection des données.

4. Catégorisation des données : Expliquez comment vous avez décidé de catégoriser les données. Par exemple, en fonction de la sensibilité et de l'importance pour l'entreprise. Ces catégories seront utilisées pour informer les décisions concernant les périodes de conservation ainsi que les méthodes de stockage et de suppression.

5. Périodes de conservation des données : Spécifiez les périodes de conservation pour chaque catégorie de données, en veillant à respecter les exigences légales, réglementaires, contractuelles et/ou commerciales. Vous devez également expliquer votre raisonnement pour le choix de ces périodes de conservation.

6. Stockage des données : Expliquez où et comment les données seront stockées en toute sécurité pendant la période de conservation.

7. Suppression des données : Décrivez comment vous allez supprimer en toute sécurité chaque catégorie de données une fois la période de conservation terminée. Cela pourrait impliquer des procédures de suppression sécurisée et/ou de destruction physique.

8. Mesures de protection des données : Décrivez les contrôles de sécurité que vous avez mis en place pour protéger les données à chaque étape de leur cycle de vie. Ceux-ci pourraient inclure des contrôles d'accès utilisateur, le chiffrement, l'anonymisation/la tokenisation et des audits de sécurité réguliers.

9. Révision et mise à jour de la politique : Indiquez à quelle fréquence vous examinerez et mettrez à jour la politique. (Cela devrait être au moins une fois par an.)

10. Application : Expliquez les conséquences du non-respect de la politique. Cela pourrait impliquer des actions disciplinaires ou la résiliation du contrat.

11. Exceptions : Si des exceptions à la politique existent, elles doivent être clairement énoncées et expliquées.

Nous recommandons toujours d'impliquer des professionnels juridiques et des professionnels de l'informatique/de la sécurité lors de la rédaction de politiques afin de s'assurer qu'elles reflètent les pratiques commerciales réelles et qu'elles alignent vos objectifs de conformité.

Étape 5 : Partager la politique pour examen et acceptation

Cette politique doit être accessible à tout le personnel et toutes les parties prenantes concernés pour examen et acceptation.

Étape 6 : Surveiller, maintenir et mettre à jour les politiques et procédures

L'ISO 27001 exige que les organisations surveillent et améliorent continuellement leurs processus de sécurité des données. Cela inclut la réalisation d'une surveillance régulière de la conformité et d'audits internes.

Examinez votre politique de conservation des données au moins une fois par an pour refléter toute nouvelle exigence légale, réglementaire ou contractuelle.

Plus de ressources gratuites pour la conformité ISO 27001

L'obtention de la certification ISO 27001 peut être un processus intimidant et complexe. Chez Secureframe, notre mission est de démystifier et de simplifier la conformité de la sécurité pour toutes les organisations.

Notre plateforme d'automatisation de la conformité surveille votre infrastructure cloud pour la conformité, simplifie la gestion des fournisseurs et du personnel, et collecte automatiquement les preuves d'audit. Nous avons également créé un Hub de Conformité ISO 27001 pour vous guider tout au long du processus de certification, ainsi qu'une bibliothèque de modèles de politique ISO 27001 gratuits, de listes de vérification de préparation et de feuilles de calcul de preuves pour vous faire gagner des heures de travail manuel.