Lorsqu'il s'agit de protéger vos informations électroniques les plus sensibles, la création d'une politique claire d'effacement des données est tout aussi importante que d'avoir un plan de conservation des données robuste. Les entreprises produisant autant de données, il est plus important que jamais que des politiques sécurisées d'effacement des données soient en place.
Mais, avec autant de types de supports différents disponibles, comment savez-vous quel type de méthode d'effacement des données convient à vos besoins?
Effacement de disques durs
Beaucoup de gens pensent que causer des dommages physiques à un disque dur signifie qu'il n'y aura aucune chance de récupérer les données qui y résident ; ce n'est pas le cas. Ce n'est pas parce qu'un disque dur est endommagé physiquement que les données qui y résident sont irrécupérables.
Lorsque vous supprimez un fichier d'un disque dur, le lecteur marque le fichier comme « supprimé ». Cependant, jusqu'à ce qu'un utilisateur efface ce fichier, sa récupération est toujours possible, par exemple avec un logiciel de récupération de données réputé.
Votre meilleur pari pour assurer la destruction sécurisée du disque dur est d'utiliser un logiciel d'effacement des données ou un démagnétiseur. Votre choix peut dépendre du nombre de disques durs que vous devez effacerf et de la nécessité ou non de rapports et certificats d'effacement complets et inviolables pour se conformer aux exigences d'audit légal - que le logiciel d'effacement des données peut fournir.
Découvrez plus d'informations sur les logiciels d'effacement de données et les démagnétiseurs.
Effacement de disques SSD
De nombreux professionnels de l'informatique estiment que l'effacement des disques SSD est simple et direct ; cependant, il a ses complications. Des recherches récentes ont montré que les méthodes classiques d'effacement ne suppriment pas systématiquement toutes les traces de données des SSD. En raison de l'architecture technique unique d'un SSD, chaque opération d'écriture stocke les données dans un emplacement physique différent. Il est donc possible que même après plusieurs réécritures, des traces des données d'origine puissent rester dans des cellules de mémoire spécifiques. Pour les entreprises qui ont des exigences de sécurité élevées, les méthodes classiques d'effacement des disques SSD peuvent ne pas convenir.
Pour assurer un effacement sécurisé total, un destructeur accrédité pour SSD est un choix optimal. En savoir plus sur les destructeurs certifiés pour disques SSD.
Effacement de bandes magnétiques
Les bandes sont une solution idéale pour l'archivage des données à long terme. Lorsque vous stockez des bandes sur une période de 10/20/30 ans, il peut y avoir un risque de dommages, ce qui les rend inaccessibles et nécessite la migration des données vers de nouvelles bandes. Les données archivées ont également une période de conservation ; une fois dépassée, l'effacement des données sur les bandes est une obligation légale. Dans ces deux situations, une entreprise doit prendre des mesures pour détruire en toute sécurité les données sur les bandes. Dans le cas des bandes, la meilleure méthode d'effacement des données est un démagnétiseur. L'utilisation d'un démagnétiseur vous permettra d'éliminer en toute sécurité ces bandes endommagées et de les réutiliser en bon état.
Effacement de smartphones
Si vous êtes un particulier, lorsqu'il s'agit de détruire définitivement les données d'un smartphone, une réinitialisation d'usine convient pour garantir qu'aucune donnée n'est récupérable. Cependant, en ce qui concerne les entreprises, la plupart exigent une preuve de la suppression des données à des fins d'audit. Un logiciel de d’effacement de données fonctionnera mieux dans ces cas, car il fournira des rapports et des certificats d'effacement complets et inviolables.
Catégorisation des informations
Les organisations produisent quotidiennement de grandes quantités d'informations. Pour garantir la protection de ces informations, les organisations devraient les classer en fonction de leur confidentialité afin de garantir qu'elles soient traitées correctement lorsqu'elles ne sont plus nécessaires.
Le « NIST 800-88 » publié par le National Institute for Standards and Technology, est un document du gouvernement américain qui fournit des conseils méthodiques en ce qui concerne l'effacement des données des supports de stockage électroniques. Les directives visent à garantir que les organisations assainissent efficacement les médias afin que les données soient irrécupérables une fois que les données ou le périphérique de stockage de données arrivent en fin de vie.
Selon le NIST 800-88, chaque organisation «devrait étiqueter ses supports avec un niveau de confidentialité de fonctionnement interne et associer un type d’effacement.» Les principes s'appliquent aux technologies de stockage magnétique, flash et autres. Il couvre également les appareils mobiles, les disques UBS, les serveurs et même les technologies qui restent à développer.
Le NIST 800-88 est l'une des normes de désinfection des données les plus utilisées demandées ou exigées par le gouvernement fédéral américain, et son adoption s'est étendue à de nombreuses entreprises et organisations privées.
Les catégories d’effacement selon NIST 800-88 sont les suivantes :
- L’effacement applique des techniques logiques pour effacer les données dans tous les emplacements de stockage adressables par l'utilisateur pour une protection contre les techniques de récupération de données non invasives simples; généralement appliqué via les commandes de lecture et d'écriture standard au périphérique de stockage, par exemple en réécrivant avec une nouvelle valeur ou en utilisant une option de menu pour réinitialiser le périphérique à l'état d'usine (où la réécriture n'est pas prise en charge),
- La purge applique des techniques physiques ou logiques qui rendent impossible la récupération des données cibles à l'aide de techniques de laboratoire de pointe,
- La destruction rend la récupération des données cibles irréalisable à l'aide de techniques de laboratoire de pointe et entraîne l'incapacité ultérieure d'utiliser les supports pour le stockage des données.
Faites correspondre la méthode aux médias - et vérifiez, vérifiez, vérifiez
Un autre élément essentiel du NIST 800-88 est la recommandation de vérifier toute méthode de d’effacement des données.
"La vérification du processus d’effacement et d'élimination des informations est une étape essentielle du maintien de la confidentialité. Deux types de vérifications devraient être envisagées. La première est une vérification à chaque effacement… La seconde est une vérification d'échantillonnage représentative, appliquée à un sous-ensemble sélectionné des médias. Si possible, l'échantillonnage doit être effectué par du personnel qui ne faisait pas partie de l'action d’effacement initiale." - NIST SP 800-88, Rév.1, « effacement de l'information et prise de décision ».
Le NIST donne des spécifications pour les méthodes de vérification en fonction du type de support et des tailles d'échantillonnage. Les directives proposent deux options de vérification :
- Vérification que l’effacement a été appliqué à tous les supports en question (ne s'applique pas à la destruction),
- Vérification d'un échantillon du support pour montrer qu'aucune donnée n'est récupérable.
La vérification de l'effacement des données est un élément essentiel du processus d’effacement des données. Sans cela, les organisations pourraient utiliser des méthodes d’effacement inadéquates, laissant leurs données vulnérables et exposées. Par conséquent, la désinfection des données via l’effacement, Purge ou la destruction ne satisfait pas à elle seule aux normes d’effacement à l'épreuve des audits.
Pour les organisations des secteurs fortement réglementés, prouver l'efficacité de la méthode de d’effacement des données est essentiel pour prouver la conformité aux réglementations et directives en matière de sécurité des données. La preuve de l’effacement NIST 800-88 se présente sous la forme d'un certificat détaillé. Disponible sous forme matérielle ou logicielle, le certificat valide le rendu des données qui le rend irrécupérable sur le support. Le certificat répertorie généralement les éléments suivants:
- Périphérique de stockage par numéro de série,
- Type d’effacement utilisé (Clear, Purge, Destroy),
- Méthode utilisée (démagnétisation, logiciel, écrasement).
Sans certificat prouvant la vérification de l'effacement, la méthode d’effacement des données n'est ni complète ni garantie. Découvrez comment Ontrack peut vous aider avec vos besoins de vérification d'effacement. Et n'oubliez pas que supprimer "ne signifie pas" effacer ".
Pour plus d'informations, rendez-vous sur
Solutions d'effacement de données
Services d'effacement de données