En général, la suppression des actifs ne fait pas partie des sujets auxquels les RSSI accordent le plus d’attention. Pourtant, chaque responsable de la sécurité du SI doit être en mesure d’apporter des réponses à ce problème d'élimination des actifs informatiques (Information technology asset disposal, ITAD). Sans un tel programme, les chances que les données soient exposées au moment du recyclage de l'équipement sont élevées. Et la mise en place d’un programme montre au moins que l'on se préoccupe de la protection des données. Certes, aucun RSSI ne souhaite se trouver dans la première situation. Mais la simple existence d’un programme est insuffisante s’il n'inclut pas une chaîne de conservation/destruction des données vérifiable. Le RSSI ou l'équipe en charge de l'ITAD peuvent-ils expliquer comment est tracé chaque appareil fourni et émis au sein de l'entreprise, comment sont recensées les données présentes sur l'appareil, et à quel moment et comment cet appareil est retiré de l'écosystème de l'entreprise, pour assurer la protection des données de l'entreprise et de ses clients ?
L'ITAD, un vecteur de menace identifié
Les récentes orientations fournies par l’agence fédérale américaine Cybersecurity and Infrastructure Security Agency (CISA) du département de la Sécurité intérieure ont inclus l'ITAD comme vecteur de menace identifié dans ses recommandations sur la défense contre les attaques de la chaîne d'approvisionnement logicielle. Chaque entité a besoin d'un programme ITAD, et ce programme doit garantir que les appareils ont été débarrassés de leurs données quand ils ne sont plus sous le contrôle de l'entreprise. La dure réalité, c’est que beaucoup d’entreprises ne le font pas, et parmi celles qui le font, nombreuses sont celles qui s'appuient sur des certificats de destruction et non sur une chaîne de possession vérifiable et visuelle des données et des dispositifs. Les certificats de destruction reposent sur la confiance, alors que la chaine de possession repose sur la vérification.
Le journal en ligne australien National Cybersecurity News s’est récemment intéressé à l’activité de l’entreprise WV Technologies. Celle-ci achète aux enchères des lots de vieux équipements pour le gouvernement, et même si les appareils sont censés être nettoyés de leurs données, on y trouve souvent des données opérationnelles, des configurations VOIP, des cartes SD, des supports de stockage SSD remplis de données. Fin mai 2021, WV Technologies, qui se charge de la destruction des données, a constaté que ses ventes d’appareils « remis à neuf » s'étaient complètement taries. Auparavant, l'entreprise vendait « au moins un conteneur de matériel par mois » à des acheteurs étrangers ». Selon elle, cette baisse d'intérêt pour ces produits résulte de l’adoption de nouvelles méthodes de destruction des données.
Attention aux anciens terminaux
L'Office for Civil Rights (OCR) du département américain de la Santé et des Services sociaux (HHS) a infligé une amende à Filefax, une entreprise qui avait fermé ses portes, au motif qu’elle avait mal géré des données de santé protégées (PHI). Filefax avait pris des dispositions pour faire détruire des dossiers médicaux par un sous-traitant, les avait transportés jusqu'à l'installation et les avait laissés sans surveillance pendant la nuit dans un camion non verrouillé. Sauf que toutes ces bonnes intentions n’ont pas été suivies d’une exécution exemplaire. L’entreprise ShopRite s'est également vue infliger une amende pour « ne pas avoir supprimé correctement les appareils électroniques utilisés pour recueillir les signatures et les informations relatives aux achats des clients de ses pharmacies ». Le procureur général du New Jersey a précisé que l'entreprise avait jeté les appareils dans une benne sans les débarrasser de leurs données sensibles.
Miranda Yan, fondatrice de VinPit, a expliqué comment des contrôles en interne pouvaient garantir la conformité réglementaire ou légale d'une entreprise. Quant à Ted Barassi, expert en confidentialité des données et en gouvernance de l'information chez FTI Technology, il a raconté dans quelles circonstances l'Office of the Comptroller of the Currency (OCC) avait infligé une amende à une grande banque centrale parce qu'un fournisseur n'avait pas détruit les disques contenant des données clients dans le cadre du démantèlement d'un datacenter. (Morgan Stanley a été condamnée à une amende de 60 millions de dollars par l'OCC en octobre 2020 pour cet incident survenu en 2016). Il ajoute qu'il est important que les actifs mis au rebut soient identifiés de manière unique et suivis dans le cadre d'un processus documenté et que la mise au rebut soit certifiée par le fournisseur qui effectue le travail.
Élimination interne ou externe ?
Même si la certification est importante, Kyle Marks, expert en traçabilité des actifs ITAD et CEO de Retire-IT, a expliqué pour sa part qu’un seul actif non sécurisé pouvait exposer une entreprise à un ransomware ou à d'autres menaces pour la sécurité des données. Il a conseillé de ne pas se contenter d’un « certificat de destruction » : « Ce n'est rien de plus qu'une médaille de participation ». Ces certificats sont trop faciles à imprimé, d’où la nécessité de mettre en place une vérification et une chaîne de possession intégrales.
La question que doivent se poser les RSSI n'est pas de savoir s’ils ont besoin d'un programme d'élimination des actifs informatiques. Ce programme est indispensable. Non seulement ils ont besoin d'un programme ITAD, mais celui-ci doit couvrir la totalité des appareils appartenant à l'entreprise, mais aussi tous ceux qui appartiennent aux employés ou aux sous-traitants (BYOD) et sur lesquels résident des données de l'entreprise ou des clients. La décision d'élaborer un programme d'élimination des actifs informatiques en interne ou de faire appel à une expertise extérieure relève de chaque entreprise. Mais, quelle que soit la solution choisie, elle doit être assortie de contrôles et de contrepoids pour garantir l'intégrité vérifiable du processus et empêcher qu'un appareil quitte l'écosystème avec des données.
Commentaire