Comment choisir un prestataire recyclage de ressources IT

Article écrit par Laura Cooper de chez EOL IT Services.

Que vous soyez en train de déménager, de mettre à jour votre domaine informatique ou de vous orienter vers le cloud, vous allez sûrement vous débarrasser de matériel informatiques et, par conséquent, vous devrez vous assurer que les données qu’ils contiennent sont effacées de manière efficace.

Lorsque vous choisissez de faire confiance à un nouveau prestataire pour gérer vos actifs informatiques et vos données confidentielles, vous pouvez souvent faire face à un dilemme. Comment savez-vous que vous faites le bon choix ? À quels critères ou mesures de performance vous fiez ?

Disposer des conseils appropriés

Vous devez vous assurer lors du choix de votre prestataire ITAD (IT Asset Disposal) qu'il vous fournit des informations complètes, quant à la localisation de votre matériel en temps réel et quant à sa destination finale, c'est-à-dire si l'équipement est revendu, réutilisé ou recyclé.

Il existe quatre méthodes pour effacer des données de manière sécurisée, et, dans certains cas, une combinaison de ces méthodes peut être nécessaire pour obtenir le résultat attendu. Cela dépend de vos propres politiques internes ainsi que du type de support dont vous disposez.

• Nettoyage / Ecrasement de données : C'est la méthode d'effacement de données la plus populaire, car elle permet la revente / réutilisation des périphériques tout en assurant l’effacement sécurisée des données. Il existe de nombreux logiciels d'effacement de données sur le marché qui permettent une suppression complète des données et produisent un rapport afin de prouver qu’elles ont été correctement effacées. Vous devriez veiller à ce que tout processus d'effacement ou d'écrasement des données soit effectué conformément aux normes NCSC (antérieurement CESG). Vous devriez également demander à votre fournisseur ce qui arrivera à tous les lecteurs qui ne peuvent pas être effacés à l'aide d'un logiciel - est-ce qu'ils seront physiquement détruits? Qu'en est-il des lecteurs statiques ou hybrides - comment votre fournisseur prend-il en charge ces technologies ?

• Degausser : C’est un dispositif qui produit un champ électromagnétique puissant qui détruit toutes les données enregistrées magnétiquement, laissant les domaines sur les disques durs et les disquettes dans des modèles aléatoires, sans aucune préférence d’orientation, rendant ainsi les données non récupérables. Lors du choix d'un Degausser, vous devez également vous assurer qu'il a été approuvé par NCSC, car cela garantit qu'il est testé et vérifié de manière indépendante,

• Déchiquetage : C’est le processus mécanique qui consiste à écraser les périphériques et les déchiqueter en petits morceaux. La taille du matériau déchiqueté est habituellement de 6 à 25 mm. Ce matériau fragmenté est ensuite envoyé aux partenaires qui poursuivront le processus de raffinage. Quel rapport des éléments déchiqueté recevrez-vous? Quels certificats de destruction sont inclus dans vos propres dossiers d'audit interne ?

• Granulation : C'est l'action d'extraire et de détruire des données à partir d'un support tel qu’un lecteur ou autre, en les découpant en granulés de 6 mm ou moins.

Il faut également considérer la nécessité de disposer de vos données sur place ou hors site dans les installations de votre fournisseur. Quelles sont les capacités de votre fournisseur ITAD ?

Implications d'une mauvaise hygiène

Les implications commerciales lors d’une fuite de vos données sont très importantes. Non seulement cela pourrait nuire à la réputation de votre entreprise si les informations sur vos clients sont diffusées par infraction, mais si la propriété intellectuelle de votre entreprise est accessible, volée ou partagée avec le public, votre entreprise risque de perdre son avantage concurrentiel.

D'un point de vue juridique, si les données contenant des informations confidentielles sur des clients ou des employés sont accessibles, la société pourrait également enfreindre la Loi sur la protection des données (DPA), ce qui entraînerait une amende de l'OIC, qui peut aller jusqu’à plus de 500 000 €. L'année prochaine, lorsque le nouveau Règlement général sur la protection des données (GDPR) de l'UE entrera en vigueur, les entreprises devront informer les parties concernées et l'OIC dans les 72 heures suivant une infraction et pourront se voir attribuer des amendes allant jusqu'à 20 millions d'euros ou 4% des recettes mondiales de l’entreprise.

La valeur des données fait de chaque entreprise, et individu, une cible potentielle de cybercriminalité. Les organisations doivent donc prendre toutes les mesures possibles pour minimiser les risques de piratage, et comprendre les exigences législatives. Par exemple, une organisation qui gère les renseignements personnels sur les individus a l'obligation de protéger ces informations en vertu de la DPA et les autorités publiques ont l'obligation légale de rendre disponible l'information officielle en vertu de la Freedom of Information Act. En vertu de la législation GDPR à venir, les organisations devront également demander l'autorisation des personnes pour collecter des informations, les informer de la manière dont ces informations seront utilisées et s'assurer qu'elles seront effacées en toute sécurité après une date définie.

Matthew Prince, un spécialiste de l'effacement des données chez Ontrack nous prévient:

"Les organisations devraient autant faire attention à l’élimination des données et des périphériques, qu’à la protection de ceux-ci. Il est impératif de comprendre tout le cycle de vie de vos données et de vos ressources informatiques, en veillant à ce que les failles dans le processus soient traitées. Avec la législation imminente du RGPD, les organisations devraient revoir leurs méthodes de transfert, de conservation et d'effacement des données en s'assurant qu'elles disposent d'un catalogue de fichiers précis. Elles devraient également s'assurer que les fournisseurs tiers assurent leur conformité. "

Pistes d'audit et accréditations

Lorsque vous cherchez à sécuriser un fournisseur pour traiter les données, vous devez vous assurer de leur capacité à vous fournir une piste d'audit complète afin de pouvoir situer est votre équipement à n’importe quel moment. Quelle preuve de l'effacement ou de la destruction des données fournira-t-il? Il vaut la peine de savoir si elles utilisent un logiciel approuvé par le NCSC pour l'effacement des données et si vous avez demandé une destruction physique par déchiquetage, leur délivrera-t-il des certificats de destruction ?

Assurez-vous que vos fournisseurs ont de l’expérience au sein de l’industrie. Renseignez-vous sur leurs accréditations, sur les normes et la réglementation auxquelles ils adhèrent. En règle générale, tout partenaire ITAD que vous choisissez devrait être conforme au Règlement de l'UE sur les déchets pour les équipements électriques et électroniques (DEEE) et devrait détenir une licence de transport de déchets. Ils pourraient également avoir le titre d’installation de traitement autorisée approuvée (AATF).

Les questions clés concernant leur politique environnementale devraient aussi être prises en considération. Par exemple, respectent-ils les normes environnementales, c'est-à-dire ISO 14001? Quel pourcentage des équipements qu'ils collectent est réutilisé, revendu ou raffiné ?

Une autre norme ISO qui sert d'indicateur sérieux est l'ISO 27001, qui démontre, entre autres, qu'ils disposent de systèmes pour l'élimination sécurisée des équipements informatiques et la destruction sécurisée de toutes les données confidentielles.

Adhérer à des normes spécifiques de l'industrie, comme être membre de l'ADISA, est également important. L’ADISA (Asset Elimination and Information Security Alliance) est une organisation qui recommande des normes pour éliminer les équipements informatiques en toute sécurité, tout en minimisant le risque d'exposition et de mauvaise utilisation des données sensibles stockées sur cet équipement. Le processus d'audit ADISA est multi-couches et comprend des audits complets, des audits opérationnels non annoncés et des vérifications judiciaires. Cela garantit que les sociétés certifiées ADISA sont constamment vérifiées par rapport à cette norme spécifique à l'industrie.

Savoir où sont vos données et qui y accède

Quelles sont les garanties offertes par votre fournisseur lorsque l'équipement contenant des données est en transit ? S'ils utilisent des fournisseurs tiers dans leur chaîne d'approvisionnement, quelles assurances avez-vous concernant le traitement de votre équipement? Par exemple, vous devez vous assurer que tout véhicule utilisé dans le processus dispose d'un suivi GPS activé.

Vous devriez également poser des questions sur le personnel, en particulier s’ils utilisent des tiers ou des membres temporaires. Sachez si leurs employés ont été examinés de manière pertinente, en prenant note de la date à laquelle ces contrôles ont été effectués.

En posant ces questions, vous devriez être à même de choisir un ITAD qui peut fournir le plus haut niveau de sécurité et de conformité. Si vos données se retrouvent entre de mauvaises mains, cela pourrait être un désastre pour votre organisation, assurez-vous donc que le fournisseur que vous choisissez ait été évalué à l'avance.