Le rôle de la destruction des données dans la cybersécurité

Qu’arrive-t-il aux informations lorsqu’elles ne sont plus nécessaires ? Lorsque les appareils électroniques et les systèmes de stockage arrivent en fin de vie, les entreprises doivent s’en débarrasser. Bien qu'ils puissent simplement supprimer le contenu d'un appareil et le jeter, cela les expose aux cybermenaces. La destruction des données est-elle plus sécurisée ?

Qu’est-ce que la destruction de données ?

La destruction des données est un processus qui rend le contenu stocké dans des fichiers, des disques physiques ou des systèmes virtuels illisible et irrécupérable. Le but est de rendre le système de stockage irréparable ou l'information indéchiffrable, donc irrécupérable. De cette façon, les mauvais acteurs ne peuvent pas le voir, le falsifier, le voler ou le vendre.

Les entreprises utilisent souvent cette méthode destructrice lorsqu’elles n’ont plus besoin d’un périphérique de stockage ou de son contenu. Selon la Cybersecurity and Infrastructure Security Agency, les entités qui s’estiment courent un risque élevé d’être la cible d’acteurs menaçants. ne devrait pas vendre ou recycler leurs appareils électroniques.

Bien que la suppression puisse sembler la meilleure option car elle est plus rapide et plus rentable, ce n'est en aucun cas suffisant parce que ce n'est pas sécurisé. Bien que la suppression des informations les supprime du système de fichiers, elles existent toujours sur le périphérique de stockage. En d’autres termes, les mauvais acteurs dotés de compétences intermédiaires peuvent rapidement le récupérer. La destruction est le seul moyen de garantir qu’il devienne irrécupérable.

Techniques courantes de destruction de données

Il existe trois principales techniques de destruction de données.

Physique

La destruction physique implique l'incinération, la pulvérisation, le broyage, le déchiquetage, la désintégration ou la fusion pour garantir que personne ne puisse lire ou récupérer ses données. Les marques peuvent ainsi détruire physiquement les disques durs ou les documents papier. C'est l'un des plus courants méthodes de destruction car elle est très efficace et fonctionne quel que soit le support de stockage.

Écrasement

L'écrasement – également connu sous le nom d'effacement des données – utilise un logiciel pour remplacer le contenu par des zéros et des uns, le transformant ainsi en un désordre illisible. Contrairement au cryptage, il est aléatoire et ne peut être annulé avec une clé volée. Puisqu’il fonctionne au niveau des octets, il est très efficace.

Démagnétisation

La démagnétisation élimine le champ magnétique d'un appareil, effaçant ainsi les données qu'il contient sans les endommager physiquement. Il fonctionne sur les systèmes de stockage tels que les disques durs (HDD) qui utilisent le magnétisme pour stocker des informations. Ce processus rend les informations totalement irrécupérables, ne laissant aucun résidu. Il peut détruire les informations d'un disque dur dans quelques minutes au plus.

Pourquoi la suppression ne suffit pas

Les données perdent toute valeur lorsque le temps, les changements dans la relation client ou les fluctuations du marché les rendent inutiles. Si une entreprise continue de stocker des informations sensibles ou personnellement identifiables (PII) alors qu'elle n'en a pas besoin, elle gaspille de l'espace de stockage et augmente son risque de violation. Cependant, la suppression seule laisse derrière elle des traces des détails d’origine, que les pirates peuvent récupérer.

Il est dangereux de simplement jeter un appareil électronique ou un système de stockage après avoir supprimé les informations sensibles qu'il contient, car il n'existe aucun moyen de garantir qu'il sera recyclé ou irréparable. Des recherches suggèrent que les États-Unis exportent jusqu'à 40% de ses déchets électroniques pour le recyclage ou le démontage, ce qui signifie qu'ils finissent souvent dans des décharges où il existe un marché pour les appareils électroniques d'occasion. Là, il est récupéré et revendu.

Si la personne qui achète l'appareil sait comment restaurer les données ou dispose d'un logiciel de récupération qui le fait à sa place, elle peut facilement visualiser, partager ou vendre ce qu'elle trouve. Bien qu'il existe peu de recherches sur ce sujet, des preuves anecdotiques suggèrent que de mauvais acteurs s'attardent autour des décharges et des marchés d'occasion parce qu'ils savent que leurs chances de trouver du contenu récupérable sont élevées.

PricewaterhouseCoopers, une entreprise multinationale de services professionnels, a mené des expériences pour déterminer l'ampleur et la gravité des déchets électroniques en tant que menace pour la sécurité des données. En mars 2023, elle a acheté un téléphone mobile et une tablette dans le Territoire de la capitale australienne pour moins de 50 dollars. En utilisant uniquement des techniques de récupération et d'analyse de base, ils récupéré 65 morceaux de PII sur le premier appareil et pourrait accéder jusqu'à 20 millions d'enregistrements sensibles sur le second.

Le rôle de la destruction des données dans la cybersécurité

Le rôle de la destruction des données dans la cybersécurité concerne la confidentialité et la sécurité. Étant donné que la principale priorité des acteurs malveillants est souvent le vol d'informations – c'est ce que le dark web négocie – il est crucial de détruire les systèmes de stockage de données au lieu de les jeter ou de les laisser ramasser la poussière. De cette façon, les entreprises peuvent prévenir les cybermenaces.

En fonction de l'utilisation d'un appareil, les pirates peuvent accéder aux numéros de carte de crédit, aux informations de connexion, aux adresses personnelles, aux analyses client ou aux documents sensibles lors de la récupération. Le fait qu'ils puissent utiliser ces informations pour lancer une cyberattaque, violer un réseau ou voler l'identité d'une personne fait de la destruction des données une partie intégrante d'une stratégie de cybersécurité moderne.

De plus, de nombreux régulateurs et agences de cybersécurité de premier plan considèrent la destruction des données comme fondamentale pour les appareils en fin de vie. Par exemple, selon NIST SP 800-88 — directives du National Institute of Standards and Technology — les supports détruits avec un déchiqueteur ou un désintégrateur doivent être réduits à 1 millimètre x 5 millimètres particules.

Comment intégrer la destruction des données

À mesure que la numérisation facilite la génération et la collecte d’informations, la quantité de données stockées dans les systèmes de stockage va augmenter considérablement, ce qui signifie que le nombre d’appareils en fin de vie va augmenter. Les États-Unis seuls générera environ 50 millions d’unités de ceux-ci chaque année d’ici 2025, soulignant la nécessité de garantir la faisabilité des méthodes de destruction, quelle que soit la taille de l’entreprise.

Le type de support de stockage est un autre facteur que les décideurs doivent prendre en compte lorsqu’ils intègrent la destruction des données dans leur stratégie de cybersécurité, car certaines méthodes ne fonctionnent que sur des appareils spécifiques. Par exemple, les disques SSD sont insensibles à la démagnétisation car ils stockent les informations avec des circuits intégrés plutôt que magnétiquement.

De plus, de nombreuses entreprises utilisent des technologies obsolètes pour détruire les périphériques de stockage modernes. Par exemple, beaucoup utilisent des broyeurs plus anciens conçu exclusivement pour les disques durs. Ces machines ne peuvent pas détruire efficacement les disques SSD car elles ne sont pas conçues pour le stockage flash haute densité. En d’autres termes, leur taille de déchiquetage est beaucoup trop grande, de sorte que les mauvais acteurs peuvent en récupérer les données.

La dernière considération majeure concerne la destruction par un tiers ou sur site. Les chefs d’entreprise doivent décider s’ils peuvent gérer eux-mêmes les autres facteurs du processus. Sinon, ils doivent sous-traiter à un fournisseur de confiance. Un contrôle approprié est essentiel dans ces cas pour garantir qu'ils ne transmettent pas d'informations sensibles à un prestataire de service irréputable.

La destruction est l’option sécurisée

Chaque entreprise devrait intégrer un processus de destruction des données dans sa stratégie actuelle de cybersécurité afin de garantir que ses informations ne tombent pas entre de mauvaises mains. Bien que jeter ou recycler les appareils électroniques soit plus rapide, ils ne sont pas aussi sûrs.