Une destruction sécurisée des actifs it est essentielle pour empêcher les violations de données et préserver votre réputation

Les entreprises ne parvenant pas à faire le suivi et à éliminer correctement leurs actifs informatiques s'exposent à un certain nombre de risques importants : violations de données, amendes ou d'éventuels dommages réputationnels. Un programme de destruction sécurisée des actifs IT permet de réduire le risque de violation de données.

Lisez ce livre blanc et découvrez :

• 3 raisons pour lesquelles une destruction sécurisée des actifs informatiques est importante
• Comment mettre en place une stratégie de destruction de bout en bout
• Les raisons pour lesquelles vous devriez investir dans un programme bien pensé et conçu

Les entreprises ne parvenant pas à faire le suivi et à éliminer correctement leurs actifs informatiquess’exposent à un certain nombre de risques importants : violations de données, amendes ou d’éventuelsdommages réputationnels.

Un programme de destruction sécurisée des actifs IT permet de réduire les risques de violation dedonnées. Bob Johnson, CEO de i-Sigma et Brooks Hoffman, Responsable des services de destruction desactifs IT (SITAD) chez Iron Mountain, ont récemment abordé les problèmes de conception des programmesde destruction sécurisée des actifs : les réelles priorités des entreprises, l’évolution du paysage de ladestruction sécurisée des actifs IT ainsi que la façon dont votre entreprise doit se positionner pouratténuer ces types de risque pouvant affecter la sécurité de vos données.

3 raisons pour lesquelles la destructionsécurisée des actifs IT est importante :

(1) Respect de la réglementation

(2) Protection contre les dommages réputationnels

(3) Protection de la propriété intellectuelle

Disposant de 40 années d’expérience en matière deprotection des données et de conformité, le CEO D’I-SIGMA,association professionnelle à but non lucratif représentantplus de 1700 membres en charge de la sécurité desdonnées et de la gestion de l’information, a constaté ledéploiement de nombreux scénarios en la matière.

Où qu’elles se situent, les entreprises doivent donner lapriorité à la destruction des actifs informatiques pourgarantir leur conformité à un ensemble d’exigencesréglementaires en matière de protection des données.« Sur le plan légal, vous devez protéger les informationspersonnelles de vos employés et des clients avec lesquelsvous travaillez. », déclare M. Johnson.

Grâce au Règlement général sur la protection des données(RGPD), les individus peuvent obtenir les données queles entreprises ont collectées sur eux mais égalementdemander à ces dernières de supprimer toute informationles concernant. En Afrique du Sud, la Loi sur la protectiondes informations personnelles (POPIA) entrée en vigueurle 1er juillet 2021 s’inspire de règles similaires. Aux États-Unis, les entreprises sont soumises à la fois aux lois desétats et à celles du gouvernement fédéral qui protègentles données personnelles des résidents.

L’autre raison pour laquelle il est important de privilégierla destruction des actifs informatiques est le coût trèsélevé en matière de dommages réputationnels pour uneentreprise qui ne protégerait pas les données de ses employés et de ses clients. L’an dernier, une grande banque d’investissement internationale qui ignorait comment ses actifs informatiques avaient été détruits quatre ans plus tôt, a dû avertir des centaines de milliers de clients que leurs informations personnelles avaient été mises en danger.

« Elle a dû notifier la violation tout simplement parce qu’ily avait eu un risque d’exposition des actifs », déclare BobJohnson. Cette entreprise a été contrainte de s’acquitterd’une amende de 60 millions de dollars. « Les notificationsde violation sont très coûteuses. »

Selon M. Johnson, “tout actif informatique qui disparaîtdes radars est une bombe à retardement potentielle. Il n’ya pas de limites en matière de notification de violation. Iln’est pas possible de se passer de la destruction des actifsIT. Je dirais même que si cette activité est ignorée, il y auraforcément un problème à un moment ou un autre. »

La troisième raison pour accorder une priorité stratégiqueà la destruction sécurisée des actifs IT est la protectionde la propriété intellectuelle. Les entreprises qui seconcentrent uniquement sur les informations personnellesque la Loi les oblige à protéger ignorent souvent qu’unedestruction incorrecte expose la protection de leurpropriété intellectuelle

Si les entreprises ne sont pas en mesure de prouverqu’elles protégeaient bien leurs informations propriétairestelles que des secrets commerciaux, elles peuvent perdreleur droit d’accès à ces informations. « Elles peuventlittéralement perdre le droit de les protéger » déclareBob Johnson. « En effet, elles doivent démontrer qu’ellestiennent compte de cette sécurité de bout en bout. »

« IL N’EST PAS POSSIBLE DE PASSER OUTRE LA DESTRUCTION DES ACTIFS IT. »

BOB JOHNSON, CEO DE I-SIGMA

Les priorités de votre programme SITAD

Même si certaines entreprises sont conscientes de cesrisques, nombre d’entre elles hiérarchisent les méthodesde destruction des données plutôt que de créer un cadrede destruction sécurisée des actifs IT exhaustif et intégrantdes politiques cohérentes.

« Les entreprises se concentrent parfois sur l’arbre quicache la forêt, » déclare Brooks Hoffman. « Elles sefocalisent à tort sur les méthodes de destruction desdonnées et sur les exigences spécifiques, alors qu’ellesdevraient créer un cadre global pour leur programmede destruction des actifs IT comprenant un ensemble depolitiques et procédures bien renseignées. »

Certaines entreprises accordent trop d’importance à desméthodes de destruction telles que le nettoyage logiciel sursite ou hors site, la destruction de certains types de supportsou encore leur démagnétisation.

La démagnétisation est une procédure qui implique de soumettredes supports magnétiques à un champ magnétique très fort dansle but de les débarrasser des données qu’ils contiennent. De plus,certaines entreprises, créent des politiques détaillées portant, àtitre d’exemple, sur la taille des documents à détruire, estimantqu’un broyage le plus fin possible est la meilleure solution pourempêcher la récupération des données sur un support.

« Mais ce n’est pas vraiment le problème, » déclare BobHoffman. Les responsables devraient plutôt se donner lesmoyens de suivre le statut des actifs contenant des donnéestout au long de leur cycle de vie. De l’approvisionnementjusqu’à la destruction finale en passant par toute leur duréede service. »

C’est cette approche « de bout en bout » ou holistique qui estcritique lors de la création d’un programme de destructiondes actifs IT, » déclarent Messieurs Hoffman et Johnson.

Quelle est la solution ?

Les cadres supérieurs ne sont peut-être pasdirectement impliqués dans les décisions concernant ladestruction des actifs informatiques, mais ils peuventnéanmoins s’investir pour comprendre et réduire lesrisques liés à cette activité. Ils peuvent contribuerà la mise en place d’une approche holistique et à lacréation d’un programme de destruction des actifsIT cohérent. Une destruction des actifs IT adaptéedoit être envisagée comme un investissement entermes de sécurité des données et de responsabilitéenvironnementale plutôt que perçue comme uneopération de destruction forcément coûteuse.

1. Identifiez les données sensibles

Accordez la priorité aux systèmes et veillez à Identifier et à localiser les actifs de l’entreprisequi contiennent des données sensibles. Les actifs identifiés comme hébergeant des donnéessont généralement les ordinateurs portables, les PC ainsi que les serveurs, même si d’autreséquipements indispensables sont également concernés.

« Des données résident sur beaucoup d’autres équipements qui ne nous viennent pas spontanément à l’esprit, »déclare Bob Hoffman, notamment les équipements de diagnostic médical et les copieurs. Vous devez absolumentdisposer de bons systèmes pour savoir où se trouvent les actifs et quelles données sensibles ils hébergent. »

2. Définissez des politiques et des procédures cohérentes

Les responsables informatiques et commerciaux peuvent aussi s’investir pour veiller àl’application de politiques et de procédures cohérentes à travers toute l’entreprise, ce qui leurpermet de superviser la conformité. Ce n’est pas parce qu’une entreprise dispose d’un classeurrempli de politiques et de procédures que tous les employés en ont forcément connaissance et lesrespectent, tout particulièrement dans des entreprises de plus grande taille et décentralisées.La formation du personnel est essentielle.

« Il est important que chaque employé de votre entreprise comprenne bien vos politiques et procédures, »déclare Bob Hoffman. Il doit aussi y avoir des conséquences en cas de non-conformité ainsi qu’un moyen devérifier si, dans les faits, vos collaborateurs s’y conforment. « Parce que là encore, s’il n’y a pas de sanctions,les personnes ne suivront généralement pas la procédure, si bien qu’à la fin vous aurez un système chaotiqueet décentralisé. »

3. Concentrez-vous sur une chaîne de traçabilité sécurisée

Il est préférable d’accorder la priorité à une chaîne de traçabilité sécurisée et à la nature des donnéesplutôt qu’à une stratégie globale concernant les processus et les méthodes de nettoyage des données.

4. Choisissez bien vos fournisseurs

Enfin, pour éviter de mauvaises surprises, les responsables doivent veiller à ce que leurentreprise fasse preuve de vigilance en matière de sélection des fournisseurs et rechercherdes partenaires stratégiques plutôt que de simple fournisseur. Pour vous débarrasser de vosactifs, il est important de vous mettre en quête de partenaires qui se conforment à toutes lesréglementations et bonnes pratiques du marché et de choisir des partenaires fiables.

Des partenaires tiers disposant de certifications de confiance pour la destruction des données, comme cellesd’I-Sigma, constituent une première étape importante. Les normes R2 qui s’appliquent à la destruction desactifs IT sont d’autres exemples de certifications appropriées. Les responsables doivent également faire preuvede la plus grande vigilance personnelle lorsqu’ils sélectionnent un fournisseur.

Dans le cadre d’une obligation de vigilance, il peut êtreutile de se rendre sur le site de futurs partenaires, pourcontrôler leurs politiques et procédures et aussi pourconsulter leurs références clients.

En conclusion

Globalement, les responsables jouent un rôle à partentière dans la définition d’une stratégie globale etsécurisée de destruction des actifs IT appartenant à leurentreprise. En investissant dans un programme réfléchiet bien conçu, ces mêmes responsables contribuerontà protéger leur entreprise et eux-mêmes contre desrisques de violation de données, d’amendes ou dedommages réputationnels coûteux.

« Connaître la nature des données et leur niveau desensibilité, savoir où elles se trouvent et vous conformerde bout en bout et de manière cohérente à vos politiqueset procédures sont des critères indispensables à laréussite de votre programme, » déclare M. Hoffman

Et Bob Johnson d’ajouter que « De nos jours, ajouteM. Johnson, si la question de la sécurité des actifsinformatiques n’est pas abordée, elle finira par se poser.Ce n’est qu’une question de temps. »