Pourquoi l’assainissement des données est-il indispensable à votre organisation ?
Article
Pourquoi l’assainissement des données est-il indispensable à votre organisation ?
2 Octobre, 2023
Dans cet environnement dominé par la technologie et générant une quantité toujours croissante d’informations, les organisations doivent traiter correctement les données, de leur création à leur destruction.
Bien que souvent oubliée, cette dernière étape est cruciale pour assurer la sécurité des données et éviter le pire cauchemar des entreprises : une violation de données ! Cet article explique ce qu’est l’assainissement des données, comment et quand il doit être effectué et les bonnes pratiques associées qui doivent être mises en œuvre.
Qu’est-ce que l’assainissement des données ?
Tout d’abord, quelle est la définition de l’assainissement des données et ses implications potentielles ? Selon l’International Data Sanitization Consortium (IDSC), il s’agit de “supprimer ou détruire de manière délibérée, permanente et irréversible les données stockées sur un dispositif de mémoire afin de les rendre irrécupérables. Un dispositif qui a été assaini ne contient aucune donnée résiduelle utilisable, et même avec l’aide d’outils médico-légaux avancés, les données ne pourront jamais être récupérées”. Une double approche doit être adoptée : l’assainissement des données doit être envisagé tout au long des processus de gestion du cycle de vie des actifs et de gestion du cycle de vie des informations. En résumé, il faut s’occuper à la fois de l’appareil et des données qu’il contient pour parvenir à un assainissement complet des données.
Mais attention ! Il est fréquent de penser que les données sont supprimées d’un appareil alors qu’en réalité, certaines parties des données peuvent être facilement récupérées. Il peut en résulter une mauvaise utilisation des données, des pertes, et/ou un piratage, ce qui peut avoir de graves conséquences pour les personnes concernées et pour l’entreprise ou l’organisation responsable.
Quelles sont les méthodes appropriées ?
Une analyse au cas par cas doit être effectuée en tenant compte de la confidentialité des informations et du type de support afin de déterminer la ou les méthodes appropriées pour assainir les données. À cet égard, les Guidelines for Media Sanitization du National Institute of Standards and Technology (NIST) fournissent un organigramme décisionnel ainsi que des exigences spécifiques pour aider les organisations à assainir correctement différents types de supports ou d’appareils. Le NIST a identifié trois catégories d’assainissement, mais différents aspects doivent être examinés pour choisir celle qui convient le mieux :
Quand faut-il procéder à l’assainissement des données ?
Plusieurs situations peuvent nécessiter un nettoyage de données :
- Lors de l’intégration ou du départ des employés ;
- À la demande du client ;
- Dans le cadre de la migration des données et de la gestion ou de la sortie du cloud ;
- Lorsque les données atteignent la fin de leur durée de vie ou la fin de la période de conservation.
- Lorsque l’équipement atteint la fin de sa durée de vie ;
Quelles sont les bonnes pratiques que votre organisation devrait mettre en oeuvre ?
Plusieurs pratiques clés peuvent contribuer à ouvrir la voie à un assainissement efficace des données. Tout d’abord, il est important d’organiser efficacement ce processus dans votre organisation : planifiez-le dès le départ, ayez une procédure standardisée et appliquez-la à tous les dispositifs de stockage de données tout au long du cycle de vie des données. Ensuite, il convient d’accorder une attention particulière à l’étape de vérification, non seulement après chaque opération d’assainissement, mais aussi sur un échantillon représentatif du support assaini stocké, conservé pour un usage ultérieur. Enfin, toutes les opérations effectuées doivent être correctement documentées, avec des pistes d’audit complètes et un certificat à l’appui. Ainsi, l’entreprise sera en mesure de garantir la sécurité de l’effacement des données.
Le bilan
Des procédures adéquates de nettoyage des données sont indispensables pour toutes les organisations. Cela est nécessaire pour se conformer aux législations actuelles en matière de protection des données, y compris l’article 17 du RGPD qui donne aux personnes concernées le droit à l’effacement. La réputation de l’organisation est en jeu car, en l’absence d’un cadre rigoureux, elle s’expose à des attaques et à des manquements en matière de conformité. En outre, la destruction correcte des données stockées réduira les coûts informatiques ainsi que les risques de violation des données !