Le paysage numérique actuel voit un nombre croissant de violations de la sécurité des données dirigées par des shockers comme le Starwood-Marriott et Facebook. Mais malgré cela, 64% des personnes ne parviennent toujours pas à identifier la définition correcte de la désinfection des données.
De plus, des études de récupération de données et des rapports sur les médias ont montré à plusieurs reprises à quel point il est facile mais dangereux de récupérer des données, tout cela parce que les appareils stockant les données n’avaient pas été nettoyés avant d’être jetés, recyclés, échangés, réutilisés ou revendus.
Cela peut être troublant pour les entreprises, grandes et petites, car cela prouve à quel point la lutte contre les violations potentielles peut être difficile. Après tout, vos données risquent toujours d’être compromises, même avec des protections telles que des mots de passe forts, des pare-feu et un cryptage des données en place.
Aujourd’hui, nous allons discuter de l’un des moyens les plus efficaces de prévenir toute utilisation abusive de vos données une fois que vous n’en avez plus besoin: la désinfection des données. Continuez à lire pendant que nous explorons le concept plus en détail ci-dessous.
Qu’est-ce que la désinfection des données?
Dans un environnement informatique, les données sont stockées sur différentes formes de supports, tels que des disques durs, des CD-ROM, des lecteurs de bande et des lecteurs flash USB.
Lorsque vous ne voulez aucune donnée sur un support de stockage, vous devez vous assurer que toutes les données sont supprimées en toute sécurité pour empêcher tout accès non autorisé. Cela devient impératif si les données stockées sont sensibles pour se conformer à la réglementation FERPA.
C’est là que la désinfection des données entre en jeu.
La désinfection des données est le processus de destruction délibérée et permanente des données d’un périphérique de stockage pour les rendre non récupérables. Cela permet de garantir que le périphérique de stockage ne contient aucune donnée résiduelle et que personne ne peut récupérer les données, même avec des outils médico-légaux avancés.
Voici un choc: lorsque vous supprimez des données d’un support de stockage, les données ne sont pas réellement effacées. Supprimer simplement vos données n’est PAS suffisant.
De plus, il est toujours possible pour un agent malveillant d’accéder à ces données «supprimées» et de les utiliser à leur avantage. Toute négligence met en péril la sécurité de vos données et compromet la confidentialité des données, deux situations hautement indésirables.
Heureusement, avec la désinfection des données, votre support de stockage sera nettoyé de manière à ce qu’il n’y ait plus de données résiduelles sur l’appareil. Personne ne peut récupérer des données nettoyées.
Pourquoi la désinfection des données est-elle si importante?
En fin de compte, la désinfection des données peut être une excellente technique pour empêcher les informations sensibles de quitter votre organisation. Il protège les données de votre entreprise et atténue tout risque lié à l’élimination des actifs recherchés, tout en garantissant à tout moment la conformité et la sécurité des données.
Expliquons cela à l’aide d’un exemple.
Supposons que vous vous soyez associé à une société de disposition des actifs informatiques. Ce partenariat vous donne l’avantage de revendre votre technologie obsolète pour compenser les coûts supplémentaires. Mais cela signifie également que votre équipement d’occasion ira à un nouvel acheteur, quelqu’un qui ne fait pas partie de votre organisation.
Vous devez vous assurer que l’acheteur seul récupère votre équipement usagé et non vos données.
Comme indiqué ci-dessus, le simple fait de supprimer vos données et de les appeler un jour laisse toujours vos données en danger. Vous devez adopter l’approche de nettoyage des données et rendre les données irrécupérables.
Comment fonctionne la désinfection des données
Pour comprendre le fonctionnement de la désinfection des données, vous devez connaître les quatre méthodes principales pour y parvenir: la destruction physique, l’effacement cryptographique, l’effacement des données et le masquage des données.
Jetons un coup d’œil à ces méthodes.
1. Destruction physique
La destruction physique est peut-être le moyen le plus évident de désinfecter les données en détruisant physiquement le périphérique de stockage lui-même. Par exemple, vous pouvez aller tout He-Man et écraser l’ordinateur portable avec un disque dur intégré ou détruire le disque dur.
Vous pouvez effectuer la destruction physique des supports de stockage de deux manières:
- Utilisation d’un démagnétiseur, qui exposera l’appareil à un champ magnétique puissant pour effacer de manière irréversible les données des disques durs (HDD) et de la plupart des types de bandes.
- Utilisation de déchiqueteuses industrielles pour couper les appareils en morceaux.
Mais il y a un inconvénient à ces techniques.
Premièrement, ils endommagent finalement le support de stockage, il est donc hors de question de revendre ou de donner l’appareil. Deuxièmement, ils sont complexes et coûteux à réaliser et peuvent également nuire à l’environnement.
2. Effacement cryptographique
Cette technique de nettoyage des données utilise la cryptographie à clé publique avec une clé forte d’au moins 128 bits pour crypter toutes les données sur le périphérique de stockage.
Sans cette clé, personne ne pourra décrypter les données, ce qui les rend pratiquement irrécupérables. Par conséquent, si vous supprimez la clé privée, personne ne pourra accéder aux données stockées.
Beaucoup considèrent le chiffrement comme l’un des moyens les plus rapides et les plus efficaces de désinfecter les périphériques de stockage. Nous vous recommandons d’utiliser cette technique pour les périphériques de stockage amovibles ou mobiles ou les périphériques contenant des informations hautement sensibles.
Cette méthode a cependant sa juste part de défis. Il repose sur les fonctionnalités de cryptage fournies avec l’équipement de stockage. Il est donc possible que l’équipement ne soit pas adapté. Il peut également échouer en raison d’erreurs utilisateur, de négligence dans la gestion des clés ou de l’intervention d’acteurs malveillants lorsqu’ils parviennent à obtenir la clé avant qu’elle ne soit éliminée.
De plus, l’effacement cryptographique ne répond pas aux normes réglementaires de désinfection des données car les données ne sont que cryptées – ou en d’autres termes, les données restent sur l’appareil.
3. Effacement des données
L’effacement des données utilise un logiciel pour écrire des chiffres aléatoires (0 et 1) sur chaque secteur de l’équipement de stockage afin qu’aucune donnée précédente ne soit conservée.
Plusieurs organisations considèrent que l’effacement des données est une forme de désinfection très fiable, car il valide le remplacement de toutes les données, même au niveau des octets. De plus, vous n’avez pas à vous soucier de la destruction de votre appareil et pouvez le vendre ou le réutiliser.
Cela dit, l’effacement des données est un processus très long qui nécessite que chaque appareil mis hors service passe par un processus de désinfection strict. C’est également une méthode difficile à mettre en œuvre pendant la durée de vie de l’appareil.
4. Masquage des données
Le masquage des données est la dernière méthode de nettoyage des données largement utilisée dans les stratégies de conformité, avec quelques normes l’exigeant explicitement.
Avec le masquage des données, vous créez de fausses versions des données réelles, où la version bidon conserve les propriétés structurelles des données d’origine. Par exemple, vous pouvez remplacer les adresses des clients réels par des adresses sélectionnées au hasard.
Certaines des techniques de masquage de données les plus courantes incluent le mélange de caractères, le remplacement de mots et la randomisation. Pour les trois méthodes, la version masquée des données ne peut pas être rétro-ingénierie pour obtenir les valeurs de données d’origine, c’est pourquoi le masquage des données est si efficace pour le nettoyage.
En outre, cette technique peut nettoyer les données sur le périphérique de stockage même lorsqu’il est encore utilisé.
Comment démarrer avec la désinfection des données
Se lancer dans la désinfection des données, malgré la croyance populaire, est un processus très simple. Vous trouverez ci-dessous une liste d’étapes pour vous aider à mieux comprendre et mettre en œuvre le nettoyage des données.
Étape 1: Hiérarchisez et étendez vos données
Votre organisation doit identifier les risques associés au manque de contrôle des informations et à la nécessité d’une approche du cycle de l’information qui implique des processus de nettoyage des données appropriés à chaque étape.
Essayez d’identifier les magasins d’informations et les applications, et de consacrer des ressources à la désinfection des données au fur et à mesure de sa mise en œuvre.
Après avoir identifié les risques, vous devez créer une liste de contrôle qui présente les différents types d’informations à prendre en compte. Considérez cela comme un audit de données qui comprendra toutes sortes de données collectées, stockées, traitées, archivées et, bien sûr, éliminées.
Voici une liste de choses que les informations peuvent inclure:
- Dossiers des employés des clients
- Enregistrement des transactions ou des ventes d’informations personnellement identifiables (PII)
- Courriel et autres communications d’entreprise
- Documentation du support client
- Documents légaux
- Matériel de marketing
Pendant que vous y êtes, décomposez toutes les applications qui stockent ces enregistrements. Cela peut inclure des bases de données, des systèmes CRM, des applications Microsoft comme Excel ou Word, des terminaux / ordinateurs portables d’employés, etc.
Étape 2: Observer et analyser les risques d’exposition aux données
Après avoir déterminé la portée de votre programme de désinfection des données, concentrez-vous sur la détermination des exigences réglementaires et des risques globaux d’exposition des données. Vous devrez détecter les menaces et les vulnérabilités du stockage de données, des systèmes et des actifs utilisés pour traiter les données.
L’objectif principal est de comprendre que les données sont soumises aux exigences réglementaires et à l’exposition au risque des données des différents types de catégories et applications / systèmes. Vous devez également hiérarchiser l’exposition au risque en fonction du type de données et d’un périphérique de stockage sur une échelle de 1 à 10, 1 étant l’exposition au risque le plus élevé et 10 étant l’exposition au risque la plus faible.
Étape 3: Réaliser une évaluation des risques
La réalisation d’une évaluation des risques vous permettra d’identifier le risque de mesures réglementaires, y compris les oublis et les amendes, imposés par les régulateurs en fonction de l’état actuel de la protection des données dans votre organisation.
Une fois cela fait, essayez de quantifier les risques potentiels pour votre organisation d’une mauvaise élimination de vos données. Cela peut inclure la perte de propriété intellectuelle, l’impact sur la satisfaction de la marque et des clients et les coûts de notification des violations.
Étape 4: créer un profil cible
Après avoir créé votre liste prioritaire de processus métier, y compris les types de données et de périphériques de stockage présentant le plus grand impact de risque, vous devez définir des objectifs de gestion de la désinfection des données.
Vous devez créer un profil cible, qui sera l’état final souhaité. Il s’agira d’un programme de désinfection des données entièrement mis en œuvre, dans lequel vous définissez la période de rétention et la méthode de désinfection appropriée pour chaque processus métier et classe d’informations priorisés.
Assurez-vous de cartographier l’état futur de l’endroit, du moment et de la manière dont le nettoyage des données aura lieu pour chaque processus.
Étape 5: Déterminez et hiérarchisez les écarts
Dans cette étape, vous devez décider des technologies, processus et personnes dont vous auriez besoin pour passer de votre état actuel au profil cible que vous avez créé à l’étape quatre.
Imaginez un scénario dans lequel vous souhaitez retourner les actifs de votre centre de données au fabricant pour une garantie. Cependant, vous oubliez que vos informations sont toujours conservées sur eux.
Il s’agit d’une lacune de nettoyage des données très courante. Pour éviter cette erreur, votre équipe doit déployer un processus d’effacement complet du disque avant de renvoyer les lecteurs au fabricant.
Étape 6: Mettre en œuvre un plan d’action
Vous devez améliorer en permanence les pratiques de désinfection des données dans toute votre entreprise, dans le but de la rendre meilleure et encore plus efficace. Mais pour combler les lacunes, vous aurez d’abord besoin d’un plan d’action solide.
Nous vous recommandons de créer des jalons mesurables et de revoir votre stratégie de désinfection des données chaque année pour rester au top.