Skip to main content
NewsNon classifié(e)

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

Article

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

2 Octobre, 2023

Dans cet environnement dominé par la technologie et générant une quantité toujours croissante d’informations, les organisations doivent traiter correctement les données, de leur création à leur destruction.

Bien que souvent oubliée, cette dernière étape est cruciale pour assurer la sécurité des données et éviter le pire cauchemar des entreprises : une violation de données ! Cet article explique ce qu’est l’assainissement des données, comment et quand il doit être effectué et les bonnes pratiques associées qui doivent être mises en œuvre.

Qu’est-ce que l’assainissement des données ?

Tout d’abord, quelle est la définition de l’assainissement des données et ses implications potentielles ? Selon l’International Data Sanitization Consortium (IDSC), il s’agit de “supprimer ou détruire de manière délibérée, permanente et irréversible les données stockées sur un dispositif de mémoire afin de les rendre irrécupérables. Un dispositif qui a été assaini ne contient aucune donnée résiduelle utilisable, et même avec l’aide d’outils médico-légaux avancés, les données ne pourront jamais être récupérées”. Une double approche doit être adoptée : l’assainissement des données doit être envisagé tout au long des processus de gestion du cycle de vie des actifs et de gestion du cycle de vie des informations. En résumé, il faut s’occuper à la fois de l’appareil et des données qu’il contient pour parvenir à un assainissement complet des données.

Mais attention ! Il est fréquent de penser que les données sont supprimées d’un appareil alors qu’en réalité, certaines parties des données peuvent être facilement récupérées. Il peut en résulter une mauvaise utilisation des données, des pertes, et/ou un piratage, ce qui peut avoir de graves conséquences pour les personnes concernées et pour l’entreprise ou l’organisation responsable.

Quelles sont les méthodes appropriées ?

Une analyse au cas par cas doit être effectuée en tenant compte de la confidentialité des informations et du type de support afin de déterminer la ou les méthodes appropriées pour assainir les données. À cet égard, les Guidelines for Media Sanitization du National Institute of Standards and Technology (NIST) fournissent un organigramme décisionnel ainsi que des exigences spécifiques pour aider les organisations à assainir correctement différents types de supports ou d’appareils. Le NIST a identifié trois catégories d’assainissement, mais différents aspects doivent être examinés pour choisir celle qui convient le mieux :

1

Effacer

Ce processus fait appel à des techniques logiques qui rendent les données irrécupérables dans tous les emplacements de stockage adressables par l'utilisateur, soit par écrasement, soit par réinitialisation de l'appareil à l'état de fabrication. Cette méthode étant destinée à protéger contre les techniques simples et non invasives de récupération des données, elle ne doit pas être utilisée pour les données sensibles.
2

Purger

Techniques physiques ou logiques qui utilisent des procédures de laboratoire de pointe pour rendre impossible la récupération des données, telles que l'effacement cryptographique (nettoyage des clés cryptographiques utilisées pour crypter les données, empêchant l'accès en lecture) et la démagnétisation (utilisation de démagnétiseurs pour démagnétiser ou neutraliser le champ magnétique utilisé pour le stockage des données). En fonction du coût du dispositif, de sa réutilisation potentielle ou des difficultés à détruire physiquement certains types de supports, la purge peut être une approche plus appropriée que la destruction. Toutefois, elle ne peut être appliquée que s'il a été vérifié que le dispositif ne contenait pas de données sensibles avant le chiffrement.
3

Détruire

La destruction des supports (par exemple, le déchiquetage, la désintégration, la pulvérisation et l'incinération) empêche la récupération des données et l'utilisation ultérieure du support pour le stockage des données. Cette méthode est coûteuse et nocive pour l'environnement car elle réduit la durée de vie de l'appareil. Par conséquent, elle ne devrait être adoptée que lorsque le dispositif est irréparable ou obsolète et qu'il a été utilisé pour stocker des informations très sensibles ou lorsqu'il n'est pas possible de supprimer les données par des moyens numériques.

Quand faut-il procéder à l’assainissement des données ?

 

Plusieurs situations peuvent nécessiter un nettoyage de données :

 

  • Lors de l’intégration ou du départ des employés ;
  • À la demande du client ;
  • Dans le cadre de la migration des données et de la gestion ou de la sortie du cloud ;
  • Lorsque les données atteignent la fin de leur durée de vie ou la fin de la période de conservation.
  • Lorsque l’équipement atteint la fin de sa durée de vie ;

Quelles sont les bonnes pratiques que votre organisation devrait mettre en oeuvre ?

Plusieurs pratiques clés peuvent contribuer à ouvrir la voie à un assainissement efficace des données. Tout d’abord, il est important d’organiser efficacement ce processus dans votre organisation : planifiez-le dès le départ, ayez une procédure standardisée et appliquez-la à tous les dispositifs de stockage de données tout au long du cycle de vie des données. Ensuite, il convient d’accorder une attention particulière à l’étape de vérification, non seulement après chaque opération d’assainissement, mais aussi sur un échantillon représentatif du support assaini stocké, conservé pour un usage ultérieur. Enfin, toutes les opérations effectuées doivent être correctement documentées, avec des pistes d’audit complètes et un certificat à l’appui. Ainsi, l’entreprise sera en mesure de garantir la sécurité de l’effacement des données.

Le bilan

Des procédures adéquates de nettoyage des données sont indispensables pour toutes les organisations. Cela est nécessaire pour se conformer aux législations actuelles en matière de protection des données, y compris l’article 17 du RGPD qui donne aux personnes concernées le droit à l’effacement. La réputation de l’organisation est en jeu car, en l’absence d’un cadre rigoureux, elle s’expose à des attaques et à des manquements en matière de conformité. En outre, la destruction correcte des données stockées réduira les coûts informatiques ainsi que les risques de violation des données !

Marilyn Cloquette

Data Protection Manager Associate

Graham Southgate

DPO and Service Quality & Improvement Lead

Nous soutenons nos clients dans ce processus d’assainissement. Si vous êtes intéressé, n’hésitez pas à contacter notre équipe pour obtenir de l’aide.

Contactez-nous