La fin de vie des matériels peut compromettre la sécurité des entreprises et ces dernières n’y attachent pas suffisamment d’importance. C’est ce qui ressort de la dernière étude Coleman Parkes et Blancco Technology Group.

Qu’arrive-t-il aux données stockées sur les appareils en fin de vie ? Les serveurs, PC, disques durs et autres smartphones mis au rebut contiennent pléthore d’informations qui peuvent être exploitées pour dérober des données confidentielles, récupérer des identifiants, voler des informations personnelles…

La gestion de fin de vie de ces matériels est souvent mal comprise et mal gérée par bien des entreprises et leurs responsables IT. En cause, des fausses idées, des mauvaises pratiques et un faux sentiment de sécurité. C’est ce qui ressort d’une étude originale menée par Blancco Technology Group et Coleman Parkes.

Des entreprises concernées

Pourtant l’étude montre que 96% des grandes entreprises ont mis en place une politique de nettoyage des données. En France, 37% des entreprises effacent les données pour une réutilisation ultérieure des matériels et 49% effacent les données pour une revente ultérieure des matériels. 12% des responsables IT français ont mis en œuvre un effacement préalable des données avant la destruction pure et simple des appareils. Seuls 2% des entreprises ont opté pour une simple destruction sans effacement préalable.

Gestion des équipements en fin de vie par pays

La spécificité des SSD n’est pas prise en compte

Le premier problème soulevé par l’étude, c’est que 22% des entreprises n’ont pas défini d’approches différentes pour gérer les disques durs et les SSD se contentant de garder leurs anciennes pratiques conçues à l’époque des bandes et des disques. Pour effacer les données, la plupart des responsables passent par une phase de démagnétisation puis une phase de destruction. Malheureusement, les phases de démagnétisation n’ont aucun effet sur les disques SSD. Et les destructeurs de disque dur ne détruisent généralement pas efficacement les SSD laissant la possibilité de récupérer d’éventuelles données.

Pourcentage entreprises préférant la destruction physique ou la démagnétisation

Des process trop lents

Autre souci, 87 % des grandes entreprises françaises admettent accumuler dans un stock le matériel hors service (chiffre le plus élevé parmi les pays étudiés). Seuls 2 % des entreprises indiquent effacer immédiatement les données des équipements en fin de vie, contre 21%  au mieux sous deux semaines, et 46% sous un mois. 29% des entreprises mettent plus d’un mois avant de procéder aux effacements nécessaires. Or l’accumulation des réserves de matériels hors service sur site accroît les risques internes potentiels de fuite et de vol de données. D’autant que les grandes entreprises interrogées ont également signalé que 20 % de leurs appareils en fin de vie sont stockés au sein de leurs locaux sans faire l’objet de mesures spécifiques. Cette situation met en lumière un énorme problème de sécurité auquel elles doivent immédiatement remédier.
Pourtant deux tiers (68 %) des responsables interrogés admettent que de grandes quantités de périphériques arrivant en fin de vie rendent leur entreprise vulnérable à un potentiel piratage de données, tandis que 61 % d’entre elles indiquent être très préoccupées par les risques de piratage de données liés aux stocks d’équipements en fin de vie.

Temps perdu avant la destruction des informations des appareils en fin de vie, par pays

Des fausses idées

L’étude met aussi en exergue quelques idées préconçues et erronées. Ainsi 54% des responsables pensent que la destruction physique est plus efficace que d’autres méthodes de nettoyage des données. Pourtant, notamment dans le cadre des SSD, la destruction n’apporte pas une garantie à 100% même si la destruction physique reste la meilleure approche dans le cadre de matériels en panne. De même 46% des responsables considèrent que la destruction physique est l’approche la plus économique. Selon Blancco, l’effacement automatisé est pourtant plus économique et plus écologique. L’étude avance d’ailleurs que la destruction des appareils coûte à chaque grande entreprise américaine plus de 1,7 million de dollars par an (sans compter le coût d’acquisition des appareils détruits).

Classement des meilleures solutions de nettoyage pour éviter les fuites de données

Ces fausses idées vont de pair avec un manque notable de suivi et d’audit en la matière. 28 % des grandes entreprises françaises affirment ne pas disposer d’audit du processus de destruction physique, tandis que 36 % admettent ne pas consigner le numéro de série des disques concernés. Pour Blancco, l’absence de contrôle de la chaîne de responsabilité fait courir à ces sociétés des risques de piratage de données et de non-conformité.

Bref, si les grandes entreprises françaises ont globalement conscience des risques posés par les matériels en fin de vie, elles affichent une trop grande confiance sur des processus parfois mis en place depuis très longtemps qui manquent de suivi, ne sont pas économiquement les plus rentables et ne prennent pas en compte les évolutions technologiques et des risques. Un sujet qui devrait donc être plus souvent remis à plat. Voilà les responsables avertis…

Source :
Rapport « A False Sense of Security »