Un audit du Bureau de l’inspecteur général (BIG) du ministère de la Justice a identifié des « faiblesses importantes » dans la gestion des stocks du FBI et l’élimination des supports de stockage électroniques contenant des informations sensibles et classifiées.
Le rapport met en évidence de multiples problèmes liés aux politiques et procédures ou contrôles de suivi des supports de stockage extraits des périphériques, ainsi que d’importantes lacunes de sécurité physique dans le processus de destruction des supports.
Le FBI a reconnu ces problèmes et est en train de mettre en œuvre des mesures correctives sur la base des recommandations du BIG.
Conclusions du BIG
L’audit du BIG met en évidence plusieurs faiblesses dans les procédures de gestion et d’élimination des stocks du FBI pour les supports de stockage électroniques contenant des informations sensibles mais non classifiées (SBU) ainsi que des informations classifiées sur la sécurité nationale (NSI).
Les trois principales conclusions sont résumées comme suit:
- Le FBI ne suit ni ne comptabilise de manière adéquate les supports de stockage électroniques, tels que les disques durs internes et les clés USB, une fois qu’ils sont extraits d’appareils plus volumineux, ce qui augmente le risque de perte ou de vol de ces supports.
- Le FBI ne parvient pas à étiqueter systématiquement les supports de stockage électroniques avec les niveaux de classification appropriés (par exemple, Secret, Très secret), ce qui pourrait entraîner une mauvaise manipulation ou un accès non autorisé à des informations sensibles.
- Le BIG a également constaté une sécurité physique insuffisante dans les locaux du FBI où se produit la destruction des médias. Cela comprend des contrôles d’accès internes inadéquats, un stockage non sécurisé des supports en attente de destruction et des caméras de surveillance non fonctionnelles, qui augmentent tous le risque que des informations classifiées soient compromises.
Recommandations et réponse du FBI
Le BIG a formulé trois recommandations spécifiques au FBI pour résoudre les problèmes identifiés.
- Réviser les procédures pour s’assurer que tous les supports de stockage électroniques contenant des informations sensibles ou classifiées, y compris les disques durs extraits d’ordinateurs destinés à la destruction, sont correctement comptabilisés, suivis, désinfectés en temps opportun et détruits.
- Mettre en œuvre des contrôles pour s’assurer que ses supports de stockage électroniques portent les marquages de niveau de classification NSI appropriés, conformément aux politiques et directives applicables.
- Renforcer le contrôle et les pratiques en matière de sécurité physique de ses supports de stockage électroniques dans l’installation afin de prévenir la perte ou le vol.
Le FBI a reconnu les conclusions de l’audit et a déclaré qu’il était en train d’élaborer une nouvelle directive intitulée « Directive sur le contrôle physique et la destruction des Appareils électroniques classifiés et sensibles et de la politique matérielle ». »
Cette nouvelle politique devrait régler les problèmes relevés dans le suivi des supports de stockage et les marquages de classification.
De plus, le FBI a déclaré qu’il était en train d’installer des « cages » de protection à utiliser comme points de stockage pour les médias, qui seront couverts par la vidéosurveillance.
Le BIG s’attend à ce que le FBI le mette à jour sur l’état de la mise en œuvre des mesures correctives dans les 90 jours.