L’Asset Lifecycle Management (ALM) : un pilier fondamental pour la sécurité des données

0
134

Chaque cyberattaque, médiatisée ou non, a un coût pour l’entreprise qui la subit et rappelle aux dirigeants à quel point leur entreprise est vulnérable : même les meilleures défenses sont susceptibles d’être prises en défaut.

Tribune de Laurent Richardeau, directeur de la BU Digitale chez Iron Mountain – La sécurité de l’information n’a jamais été aussi importante. De plus en plus, les managers sont tenus de garantir la sécurité de leurs données, en particulier parce que les contraintes réglementaires se sont renforcées avec à la clé des amendes importantes. Mais, alors que la cybersécurité est au cœur des préoccupations, de nombreuses organisations présentent encore une lacune importante dans leur dispositif : la gestion de leurs actifs informatiques physiques à chaque étape de leur cycle de vie. Il s’agit pourtant de la base d’une politique de sécurité des données efficace, car même le meilleur système de défense cyber est inopérant si l’équipement technique de l’entreprise n’est pas correctement intégré, entretenu et, surtout, n’est pas remplacé dans des conditions optimales de sécurité.

Garder un œil sur ses actifs

Pour minimiser l’exposition aux risques, vous devez avoir une visibilité et un contrôle sur l’ensemble de vos actifs, tant virtuels que physiques. Avec l’essor du télétravail, il est devenu plus difficile de faire le suivi des appareils qui entrent et sortent de l’entreprise. Il est plus que jamais essentiel de suivre certaines bonnes pratiques indispensables en matière de gestion des actifs informatiques : surveillance, maintenance et maîtrise des risques.

Pour commencer, il est nécessaire de disposer d’un registre des actifs qui documente chaque matériel introduit dans l’entreprise, sa finalité et la personne qui en a la responsabilité. Ce registre doit également permettre de contrôler les performances, l’état et l’intégrité de la protection du matériel, en s’assurant que les applications de sécurité sont fonctionnelles et à jour.

Tous les actifs physiques doivent être protégés par un mot de passe (de préférence au moyen d’une politique de renouvellement forcé du mot de passe) et, lorsque le logiciel d’un appareil n’est plus pris en charge par le fabricant, il doit impérativement être mis à niveau.

L’utilisation d’un programme de gestion des correctifs est essentielle : ce dernier analysera régulièrement les failles de sécurité potentielles de l’ensemble du matériel, et installera toutes les mises à jour nécessaires au maintien de la conformité réglementaire.

L’étape la plus cruciale est peut-être celle de la fin de vie. Certaines personnes malintentionnées récupèrent de vieux disques durs dans des décharges ou achètent des équipements informatiques recyclés, dans l’intention d’en récupérer les données afin d’en tirer profit. C’est pourquoi il est indispensable de mettre en œuvre un processus de recyclage des actifs qui répertorie la chaîne de responsabilité du matériel et garantit que les données sont effectivement effacées des actifs désaffectés. Cela devrait être la toute première étape de la mise hors service d’un actif. Malheureusement, c’est bien plus complexe qu’on ne le pense généralement.

A quoi ressemble une stratégie ITAD sécurisé

La mise au rebut des biens informatiques (ou ITAD pour IT Asset Disposition) doit suivre un protocole bien défini comprenant une chaîne de contrôle fiable, un effacement complet des données et un démantèlement des composants en vue d’une réutilisation ou d’un recyclage, ou encore une destruction physique complète. On entend souvent que l’effacement des données est aussi simple qu’une suppression de fichiers ou le reformatage d’un disque ; en réalité, ces méthodes ne garantissent absolument pas la suppression complète des données. Il est nécessaire d’utiliser un logiciel spécifiquement dédié au nettoyage des données et, lorsqu’une destruction est nécessaire, le bien doit être physiquement détruit jusqu’à ce qu’il ne soit plus possible d’en extraire une quelconque information.

Il est possible, bien sûr, de faire appel à des sous-traitants pour ce processus de destruction, à condition que le partenaire sélectionné réponde à plusieurs critères essentiels : l’utilisation d’un logiciel certifié conforme à la norme NIST 800-88 ; la capacité à fournir des rapports d’audit attestant l’effacement complet des données ; l’obligation de prouver la destruction physique ou le démantèlement adéquat du matériel. Les méthodes d’effacement des données non conformes laisseront la machine vulnérable à la récupération des données, ce qui est aujourd’hui facilement réalisable à l’aide d’un logiciel spécialisé.

En outre, les tiers chargés de la gestion des biens doivent pouvoir suivre de manière sécurisée et transparente le parcours du matériel, depuis le moment où ils en prennent possession jusqu’à sa destruction complète. Idéalement, cela implique un suivi en temps réel, comprenant une historisation du parcours via un scan du produit à chaque étape. Une fois le bien détruit, un certificat d’effacement doit être délivré, ainsi qu’un certificat de destruction pour chaque bien concerné. Ce processus permet de minimiser le risque de perte du matériel, et de s’assurer que ce dernier a été éliminé conformément aux normes qui régissent la qualité et l’éthique du recyclage, telles que eSteward et R2.

La cybersécurité est aujourd’hui, à juste titre, la principale préoccupation de nombreux conseils d’administration. Cependant, la vigilance dans la gestion des actifs physiques ne doit être négligée en aucun cas. Le système de cybersécurité le plus avancé au monde ne suffira pas à protéger les données de l’entreprise si une machine contenant des informations sensibles se retrouve entre de mauvaises mains. C’est pourquoi l’ALM est au cœur de tout dispositif fiable de sécurisation des données à l’ère numérique. L’ignorer a des conséquences délétères d’un point de vue légal, financier, mais aussi, et surtout, pour la réputation de l’entreprise.