L’assainissement des matériels et des données reste une pratique peu usitée dans les entreprises et chez les particuliers. Pourtant, les organisations devraient intégrer la démarche dans leur processus de cyber-résilience.
Si l’antivirus est devenu un outil de protection couramment utilisé, l’assainissement des matériels et des données en fin de vie reste une pratique encore peu généralisée chez les entreprises et les particuliers.
« Les données redondantes ou en fin de vie encore présentes dans des machines virtuelles, des unités de stockage de datacenters, sur un serveur, un PC, ou un smartphone constituent autant de brèches de sécurité IT, » prévient Yves Gheeraert, Director Benelux France & Southern Europe chez Blancco Technology Group.
« Que ces appareils soient opérationnels dans un environnement encore actif, reconditionnés ou voués au rebut, les données ne doivent plus être récupérables. »
Toutefois, la simple réinitialisation d’appareils ou le formatage d’un disque dur ne protègeront pas suffisamment les entreprises.
La première solution ne fera pas disparaître les éventuelles traces laissées par les données et par les applications, même supprimées, tandis qu’une remise à zéro du disque dur ne détectera pas complètement les partitions cachées et les fichiers endommagés de celui-ci.
Pour un assainissement intégral
La préconisation est donc à l’assainissement complet des données. Gartner définit l’opération comme « un processus discipliné de suppression ou de destruction délibérée, permanente et irréversible des données stockées sur un dispositif de mémoire pour les rendre irrécupérables ».
L’ effacement des données doit faire partie d’une approche holistique et intégrale de sécurité informatique.
Concrètement, le disque dur est complètement réécrit avec des algorithmes. Une vérification s’assure ensuite de l’effacement logique et complet de la mémoire des machines. Un rapport chiffré attestant de l’intégralité de l’opération effectuée est alors émis, précisant les lieu, date, heure et nature de cette dernière, ainsi que les algorithmes utilisés pour la disparition intégrale des données.
En outre, quand la surface du disque dur n’est pas complètement effacée et que des partitions du constructeur restent par exemple inaccessibles, l’erreur est mentionnée dans le rapport d’effacement.
Si enfin la suppression des données ne suffit pas, le matériel est alors détruit : « La destruction physique est le complément de l’effacement sécurisé. Car si le support est endommagé on ne peut pas effacer » précise Yves Gheeraert. « L’entreprise doit donc intégrer ce processus dans sa démarche de cyber-résilience, afin de réduire sa surface d’attaque ».
La certification, gage de qualité et de tranquillité
Outre la sécurisation des actifs de la société, l’assainissement total obéit aussi aux principes du Règlement général sur la protection des données (RGPD), notamment celui du droit à l’oubli en matière de données personnelles.
« Grâce à un certificat attestant la bonne fin de vie du matériel et/ou des données personnelles –notamment des fournisseurs, des clients et des candidats et anciens employés –, l’entreprise sera conforme avec la réglementation en vigueur, » note Yves Gheeraert.
« L’ANSSI ne certifie les solutions que s’il existe une demande du secteur public. S’il y a un besoin, c’est qu’un danger existe. Une certification sensibilisera la société et ses clients sur les dangers du non-effacement des données, tout en lui fournissant la preuve de sa conformité aux exigences RGPD, en cas d’audit de la CNIL ».
Car, l’organisme ne certifie pas que les dernières versions des logiciels d’effacement : il challenge aussi toute la chaîne du processus d’assainissement, comme les clés de chiffrement du rapport final, poussant ainsi les développeurs à l’amélioration continue de leurs solutions et fonctionnalités.
« Aujourd’hui la nécessité d’un antivirus est reconnue par tous. L’effacement des données revêt la même importance en matière de sécurité des données, » conclut M. Gheeraert. « Il doit donc faire partie d’une approche holistique et intégrale de sécurité informatique ».
InCyber - 18 novembre 2021
Recent Comments