La protection des données est un enjeu commercial de premier plan pour toutes les entreprises, car c’est en assurant une confidentialité optimale que l’on préserve la réputation d’une entreprise. Avec les nouvelles réglementations, cette protection est un impératif et le non-respect de cette protection peut avoir un réel coût financier. Selon IBM, le coût moyen d'une violation de données pour une entreprise, en tenant compte de tous les facteurs d'impact, est de 4,35 millions de dollars. Alors que la législation sur la protection des données continue de se durcir, s'assurer que toutes les données sont entièrement supprimées de tout actif informatique mis au rebut et que l'équipement est recyclé, réaffecté ou détruit de manière conforme est l'une des étapes les plus importantes d’un système de sécurité des données.
Votre vieil ordinateur portable peut présenter une menace
Si nous sommes dorénavant conscients des risques liés aux cyberattaques, qu’il s’agisse d’hameçonnage ou de ransomware, celui lié aux actifs physiques ne doit pas être oublié. Lorsque les entreprises se débarrassent de manière inadéquate d'équipements obsolètes ou cherchent à détruire des documents contenant des informations sensibles sans s’assurer du maintien de la confidentialité des informations contenues, elles s'exposent à un risque bien plus grand qu'elles ne le pensent. Ce risque peut inclure des violations ou divulgations de données mais aussi des dommages financiers et réputationnels. La majeure partie des données d'entreprise étant encore stockée sur des ordinateurs, disques durs et serveurs ; il est essentiel de réutiliser, recycler ou éliminer les actifs informatiques de manière appropriée.Le recyclage des équipements informatiques doit toujours suivre un processus défini. Plus important encore, quelle que soit la méthode choisie, il incombe au propriétaire de s'assurer que toutes les données sont réellement détruites. Si les entreprises sont suffisamment sensibilisées pour savoir que leurs biens informatiques doivent être nettoyés avant de s'en débarrasser, beaucoup ne réalisent pas que ce nettoyage des données est plus complexe que le simple reformatage d'un disque ou la suppression de fichiers.
Comment détruire intégralement des données ?
La suppression des données est la partie la plus importante de l'ensemble du processus ITAD (IT Asset Disposition). Cette étape ne doit en aucun cas être négligée ou mal réalisée. La toute première chose à faire lorsque l’on jette ou réaffecte un équipement informatique est d'en éliminer toutes les données.En réalité, une suppression vraiment complète nécessite des techniques et des outils spécifiques et, malheureusement, il ne suffit pas de supprimer des fichiers, de vider la corbeille de l’appareil ou de reformater un disque dur. En effet, si un fichier supprimé est retiré des répertoires, la plupart des données elles-mêmes restent intactes. Un disque reformaté supprime les pointeurs des fichiers, mais il suffit d'avoir un logiciel approprié pour récupérer la plupart du contenu qui existait sur ce périphérique. Il est donc recommandé d'utiliser un logiciel d'effacement des données conçu à cet effet et conforme à la norme NIST 800-88, ou de détruire physiquement le matériel s'il ne peut être effacé.
Lorsque la destruction ou le recyclage des équipements sont confiés à un fournisseur tiers, il est important que ce dernier soit en mesure de démontrer l'utilisation d'un logiciel certifié NIST 800-88 ou de fournir la preuve de la destruction physique et du démantèlement de l'équipement. La fiabilité d’un fournisseur fiable dépend de l’usage d’logiciel d'écrasement certifié pour effacer entièrement les données et de sa capacité à fournir des rapports d'audit pour vérifier que les données ont été entièrement supprimées et des certificats de recyclage ou la preuve de la destruction et de l'élimination appropriée de chaque équipement confié à ses soins.
Comment fonctionne une chaîne de contrôle sécurisée et traçable ?
Un prestataire se démarque lorsqu’il dispose d’une chaîne de contrôle sécurisée et totalement transparente, dès l’instant où il prend en charge l’actif jusqu'à son élimination complète. Le suivi en temps réel des actifs, qui indique à tout moment l'emplacement et l'état de l'équipement, est optimal dans ce genre de situation. Il permet non seulement de s'assurer qu'aucun équipement n'est égaré au cours du processus, mais aussi de garantir qu'aucune interférence de tiers n'est possible.Idéalement, le matériel est enregistré dès son entrée et se voit attribué un code d'identification unique. Il est ensuite scanné chaque fois qu'il quitte ou arrive dans une nouvelle installation, jusqu'à ce que la destruction complète des données ou, le cas échéant, la réutilisation réussie du matériel ait été enregistrée. En outre, il est également important de s'assurer que les installations de traitement par lesquelles passent les biens sont dotées de systèmes adéquats de protection contre les incendies, d'alimentation électrique, de chauffage, de ventilation et de climatisation et de communication, mais également de systèmes de sécurité physiques tels que des vigiles, des accès sécurisés avec badge ou encore de la vidéosurveillance.
Par Laurent Richardeau, Directeur B.U. Digitale (GDS) & Directeur Commercial chez Iron Mountain
