Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

Article

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

2 Octobre, 2023

Dans cet environnement dominé par la technologie et générant une quantité toujours croissante d’informations, les organisations doivent traiter correctement les données, de leur création à leur destruction.

Bien que souvent oubliée, cette dernière étape est cruciale pour assurer la sécurité des données et éviter le pire cauchemar des entreprises : une violation de données ! Cet article explique ce qu’est l’assainissement des données, comment et quand il doit être effectué et les bonnes pratiques associées qui doivent être mises en œuvre.

Qu’est-ce que l’assainissement des données ?

Tout d’abord, quelle est la définition de l’assainissement des données et ses implications potentielles ? Selon l’International Data Sanitization Consortium (IDSC), il s’agit de “supprimer ou détruire de manière délibérée, permanente et irréversible les données stockées sur un dispositif de mémoire afin de les rendre irrécupérables. Un dispositif qui a été assaini ne contient aucune donnée résiduelle utilisable, et même avec l’aide d’outils médico-légaux avancés, les données ne pourront jamais être récupérées”. Une double approche doit être adoptée : l’assainissement des données doit être envisagé tout au long des processus de gestion du cycle de vie des actifs et de gestion du cycle de vie des informations. En résumé, il faut s’occuper à la fois de l’appareil et des données qu’il contient pour parvenir à un assainissement complet des données.

Mais attention ! Il est fréquent de penser que les données sont supprimées d’un appareil alors qu’en réalité, certaines parties des données peuvent être facilement récupérées. Il peut en résulter une mauvaise utilisation des données, des pertes, et/ou un piratage, ce qui peut avoir de graves conséquences pour les personnes concernées et pour l’entreprise ou l’organisation responsable.

Quelles sont les méthodes appropriées ?

Une analyse au cas par cas doit être effectuée en tenant compte de la confidentialité des informations et du type de support afin de déterminer la ou les méthodes appropriées pour assainir les données. À cet égard, les Guidelines for Media Sanitization du National Institute of Standards and Technology (NIST) fournissent un organigramme décisionnel ainsi que des exigences spécifiques pour aider les organisations à assainir correctement différents types de supports ou d’appareils. Le NIST a identifié trois catégories d’assainissement, mais différents aspects doivent être examinés pour choisir celle qui convient le mieux :

Effacer

Ce processus fait appel à des techniques logiques qui rendent les données irrécupérables dans tous les emplacements de stockage adressables par l'utilisateur, soit par écrasement, soit par réinitialisation de l'appareil à l'état de fabrication. Cette méthode étant destinée à protéger contre les techniques simples et non invasives de récupération des données, elle ne doit pas être utilisée pour les données sensibles.

Purger

Techniques physiques ou logiques qui utilisent des procédures de laboratoire de pointe pour rendre impossible la récupération des données, telles que l'effacement cryptographique (nettoyage des clés cryptographiques utilisées pour crypter les données, empêchant l'accès en lecture) et la démagnétisation (utilisation de démagnétiseurs pour démagnétiser ou neutraliser le champ magnétique utilisé pour le stockage des données). En fonction du coût du dispositif, de sa réutilisation potentielle ou des difficultés à détruire physiquement certains types de supports, la purge peut être une approche plus appropriée que la destruction. Toutefois, elle ne peut être appliquée que s'il a été vérifié que le dispositif ne contenait pas de données sensibles avant le chiffrement.

Détruire

La destruction des supports (par exemple, le déchiquetage, la désintégration, la pulvérisation et l'incinération) empêche la récupération des données et l'utilisation ultérieure du support pour le stockage des données. Cette méthode est coûteuse et nocive pour l'environnement car elle réduit la durée de vie de l'appareil. Par conséquent, elle ne devrait être adoptée que lorsque le dispositif est irréparable ou obsolète et qu'il a été utilisé pour stocker des informations très sensibles ou lorsqu'il n'est pas possible de supprimer les données par des moyens numériques.

Quand faut-il procéder à l’assainissement des données ?

Plusieurs situations peuvent nécessiter un nettoyage de données :

Lors de l’intégration ou du départ des employés ;
À la demande du client ;
Dans le cadre de la migration des données et de la gestion ou de la sortie du cloud ;
Lorsque les données atteignent la fin de leur durée de vie ou la fin de la période de conservation.
Lorsque l’équipement atteint la fin de sa durée de vie ;

Quelles sont les bonnes pratiques que votre organisation devrait mettre en oeuvre ?

Plusieurs pratiques clés peuvent contribuer à ouvrir la voie à un assainissement efficace des données. Tout d’abord, il est important d’organiser efficacement ce processus dans votre organisation : planifiez-le dès le départ, ayez une procédure standardisée et appliquez-la à tous les dispositifs de stockage de données tout au long du cycle de vie des données. Ensuite, il convient d’accorder une attention particulière à l’étape de vérification, non seulement après chaque opération d’assainissement, mais aussi sur un échantillon représentatif du support assaini stocké, conservé pour un usage ultérieur. Enfin, toutes les opérations effectuées doivent être correctement documentées, avec des pistes d’audit complètes et un certificat à l’appui. Ainsi, l’entreprise sera en mesure de garantir la sécurité de l’effacement des données.

Le bilan

Des procédures adéquates de nettoyage des données sont indispensables pour toutes les organisations. Cela est nécessaire pour se conformer aux législations actuelles en matière de protection des données, y compris l’article 17 du RGPD qui donne aux personnes concernées le droit à l’effacement. La réputation de l’organisation est en jeu car, en l’absence d’un cadre rigoureux, elle s’expose à des attaques et à des manquements en matière de conformité. En outre, la destruction correcte des données stockées réduira les coûts informatiques ainsi que les risques de violation des données !

Marilyn Cloquette

Data Protection Manager Associate

Graham Southgate

DPO and Service Quality & Improvement Lead

Nous soutenons nos clients dans ce processus d’assainissement. Si vous êtes intéressé, n’hésitez pas à contacter notre équipe pour obtenir de l’aide.

Contactez-nous

> Back to all news

Cookie	Description
cookielawinfo-checkbox-necessary	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Nécessaire".
cookielawinfo-checkbox-non-necessary	Ce cookie est défini par le plugin GDPR Cookie Consent. Les cookies sont utilisés pour stocker le consentement de l'utilisateur pour les cookies de la catégorie "Non nécessaire".
CookieLawInfoConsent	Pour permettre l'affichage d'une pop-up Il ne stocke pas de données personnelles
wp-wpml_current_language	Aucune description

Cookie	Description
APISID	Défini par YouTube sur les pages contenant une vidéo YouTube intégrée
CONSENTEMENT	Pour stocker les préférences de consentement aux cookies
HSID	Défini par YouTube sur les pages contenant une vidéo YouTube intégrée
hustle_module_show_count-embedded-3	Pour permettre l'affichage d'une pop-up
LOGIN_INFO	Défini par YouTube sur les pages contenant une vidéo YouTube intégrée
PREF	Défini par YouTube pour stocker votre bande passante mesurée ; il ne recueille pas d'informations permettant d'identifier un visiteur.
SAPISID	Défini par YouTube pour stocker votre bande passante mesurée ; il ne recueille pas d'informations permettant d'identifier un visiteur.
SID	Défini par YouTube pour stocker votre bande passante mesurée ; il ne recueille pas d'informations permettant d'identifier un visiteur.
SIDCC	Défini par YouTube pour stocker votre bande passante mesurée ; il ne recueille pas d'informations permettant d'identifier un visiteur.
SSID	Défini par YouTube pour stocker votre bande passante mesurée ; il ne recueille pas d'informations permettant d'identifier un visiteur.
VISITOR_INFO1_LIVE	Ce cookie est placé par Youtube. Utilisé pour suivre les informations des vidéos YouTube intégrées sur un site web.

Cookie	Description
_gat_gtag_UA_135556958_1	Google utilise ce cookie pour distinguer les utilisateurs.
_gat_gtag_UA_135556958_2	Google utilise ce cookie pour distinguer les utilisateurs.
_gat_gtag_UA_68692479_2	Aucune description
_gid	Ce cookie est installé par Google Analytics. Le cookie est utilisé pour stocker des informations sur la façon dont les visiteurs utilisent un site web et permet de créer un rapport d'analyse sur l'activité du site web. Les données collectées comprennent le nombre de visiteurs, la source d'où ils viennent et les pages visitées sous une forme anonyme.

Cookie	Description
hustle_module_show_count-embedded-3
inc_optin_popup_long_hidden-1

Cookie	Description
__Secure-3PAPISID	Établir un profil des intérêts des visiteurs du site Web afin de diffuser des publicités pertinentes et personnalisées grâce au reciblage.
__Secure-3PSID	Établir un profil des intérêts des visiteurs du site Web afin de diffuser des publicités pertinentes et personnalisées grâce au reciblage.
__Secure-3PSIDCC	Établir un profil des intérêts des visiteurs du site Web afin de diffuser des publicités pertinentes et personnalisées grâce au reciblage.
DSID	Servir des publicités ciblées et pertinentes sur le web.
IDE	Servir des publicités ciblées et pertinentes sur le web.
RUL	Utilisé pour déterminer si la publicité du site Web a été correctement affichée.
YSC	Défini par YouTube sur les pages contenant une vidéo YouTube intégrée

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?

Pourquoi l’assainissement des données est-il indispensable à votre organisation ?