Les grandes organisations doivent régulièrement se séparer de nombreux terminaux en fin de vie, dont beaucoup contiennent des données potentiellement sensibles. Réalisée avec Coleman Parkes, l'étude « Un faux sentiment de sécurité », publiée par Blancco Technology Group, a examiné les pratiques des grandes organisations en matière d'effacement de données sur ces équipements.

Les répondants interrogés occupent tous des postes de décision dans leur entreprise, dans des fonctions traditionnellement sensibilisées aux risques sur les données : DAF, DSI, RSSI, responsables de la conformité... La plupart sont conscients des risques de sécurité et de conformité associés à la gestion de ces équipements. Ainsi, 68% reconnaissent que de grandes quantités de périphériques arrivant en fin de vie rendent leur organisation vulnérable à des fuites de données. Néanmoins, seuls 61% se disent vraiment préoccupés par ces risques.

Des méthodes sans vraies garanties

Parmi les 251 entreprises interrogées en France, une sur deux témoigne d'un manque de rigueur dans les processus de nettoyage des données sur ces équipements, dont la plupart sont voués à être détruits, revendus, recyclés ou reconditionnés par des prestataires de services. Les défaillances évoquées concernent notamment le recours à des méthodes de suppression de données inappropriées. 47% des sondés utilisent ainsi le formatage, l'écrasement à l'aide d'outils logiciels non certifiés, ou encore la destruction physique (démagnétisation et broyage) sans piste d'audit. 8% des sondés avouent même ne pas nettoyer les données du tout, ce qui laisse leur organisation particulièrement vulnérable.

Pratiquement neuf entreprises françaises sur dix (87%) conservent également des stocks de matériel hors service sur leurs sites (contre 80% au niveau international). Une faille potentielle en termes de sécurité, d'autant plus que seuls 2% effacent immédiatement les données de ces équipements. Pour 75% des sondés, ce délai est au mieux de 2 semaines, un laps de temps exploitable par des individus malintentionnés, d'autant que dans 20% des cas, le stockage des appareils ne fait l'objet d'aucune mesure de sécurité spécifique.

La destruction de disques pas toujours tracée

Enfin, près d'un tiers (28%) des entreprises françaises ne disposent pas de pistes d'audit pour suivre le processus de destruction physique, notamment quand les matériels sont envoyés à un centre de destruction externe. Par ailleurs, 36% ne consignent pas le numéro de série des disques concernés. Une petite partie (14%) de ces organisations optent pour des techniques de destruction comme le broyage ou la démagnétisation physique des disques. Cependant, le broyage n'offre pas toujours une piste d'audit certifiée, englobant le cycle de vie complet de la chaîne de responsabilité. Enfin, une entreprise française sur cinq (20%) n'a pas mis en place de processus différencié pour les lecteurs SSD et HDD.