3 min

L’effacement de données : un processus résilient

Si l’antivirus est devenu un outil de protection couramment utilisé, l’assainissement des matériels et des données en fin de vie n’est pas encore une pratique généralisée chez les entreprises et les particuliers. Pourtant, les organisations devraient intégrer la démarche dans leur processus de cyber-résilience car « les données partiellement supprimées voire « oubliées » dans les appareils informatiques et de télécommunication constituent autant de surfaces d’attaques en cas d’intrusion informatique ». Tel est le constat d’Yves Gheeraert, Director Benelux France & Southern Europe chez Blancco Technology Group[1].

Marc Auxenfants

Journaliste indépendant basé au Luxembourg, Marc couvre depuis 2003 l’actualité économique et financière, des nouvelles technologies et des startups, pour des médias internationaux. Titulaire d’un Master en sociologie économique, d’un Master 2 en journalisme et d’un Master 2 en économie et droit européens, il a débuté sa carrière comme sociologue, puis dans la finance et la communication, avant d’entrer dans le journalisme par la petite porte.

Voir tous les articles

« Les données redondantes ou en fin de vie encore présentes dans des machines virtuelles, des unités de stockage de datacenters, sur un serveur, un PC, ou un smartphone constituent autant de brèches de sécurité IT, » (…) « Que ces appareils soient opérationnels dans un environnement encore actif, reconditionnés ou voués au rebut, les données ne doivent plus être récupérables. »

Toutefois, la simple réinitialisation d’appareils ou le formatage d’un disque dur ne protègeront pas suffisamment les entreprises. La première solution ne fera pas disparaître les éventuelles traces laissées par les données et par les applications, même supprimées, tandis qu’une remise à zéro du disque dur ne détectera pas complètement les partitions cachées et les fichiers endommagés de celui-ci.

Pour un assainissement intégral

La préconisation est donc à l’assainissement complet des données. Gartner[2] définit l’opération comme « un processus discipliné de suppression ou de destruction délibérée, permanente et irréversible des données stockées sur un dispositif de mémoire pour les rendre irrécupérables ».

Concrètement, le disque dur est complètement réécrit avec des algorithmes. Une vérification s’assure ensuite de l’effacement logique et complet de la mémoire des machines. Un rapport chiffré attestant de l’intégralité de l’opération effectuée est alors émis, précisant les lieu, date, heure et nature de cette dernière, ainsi que les algorithmes utilisés pour la disparition intégrale des données.

En outre, quand la surface du disque dur n’est pas complètement effacée et que des partitions du constructeur restent par exemple inaccessibles, l’erreur est mentionnée dans le rapport d’effacement.

Si enfin la suppression des données ne suffit pas, le matériel est alors détruit : « La destruction physique est le complément de l’effacement sécurisé. Car si le support est endommagé on ne peut pas effacer » précise Yves Gheeraert. « L’entreprise doit donc intégrer ce processus dans sa démarche de cyber-résilience, afin de réduire sa surface d’attaque ».

La certification, gage de qualité et de tranquillité

Outre la sécurisation des actifs de la société, l’assainissement total obéit aussi aux principes du Règlement général sur la protection des données (RGPD), notamment celui du droit à l’oubli en matière de données personnelles.

« Grâce à un certificat attestant la bonne fin de vie du matériel et/ou des données personnelles –notamment des fournisseurs, des clients et des candidats et anciens employés –, l’entreprise sera conforme avec la réglementation en vigueur, » note Yves Gheeraert.

« L’ANSSI ne certifie les solutions que s’il existe une demande du secteur public. S’il y a un besoin, c’est qu’un danger existe. Une certification sensibilisera la société et ses clients sur les dangers du non-effacement des données, tout en lui fournissant la preuve de sa conformité aux exigences RGPD, en cas d’audit de la CNIL ».

Car, l’organisme ne certifie pas que les dernières versions des logiciels d’effacement : il challenge aussi toute la chaîne du processus d’assainissement, comme les clés de chiffrement du rapport final, poussant ainsi les développeurs à l’amélioration continue de leurs solutions et fonctionnalités.

« Aujourd’hui la nécessité d’un antivirus est reconnue par tous. L’effacement des données revêt la même importance en matière de sécurité des données, » conclut M. Gheeraert. « Il doit donc faire partie d’une approche holistique et intégrale de sécurité informatique ».

[1] Blancco une société spécialisée dans l’effacement des données

[2] https://www.datasanitization.org/data-sanitization-as-defined-by-gartner/

Partager cet article avec un ami