L’étude de Blancco, Un faux sentiment de sécurité, élaborée conjointement avec Coleman Parkes, décrit pourquoi la confiance exagérée des grandes entreprises françaises fait courir à ces dernières des risques de piratage de données à une époque où la gestion des données adaptée et plus sûre devrait être en tête de leurs priorités.

Deux tiers (68 %) des personnes interrogées admettent que de grandes quantités de périphériques arrivant en fin de vie rend leur entreprise vulnérable à un potentiel piratage de données, tandis que 61 % d’entre elles indiquent être très préoccupées par les risques de piratage de données liés aux équipements en fin de vie.

Cette étude menée auprès de 1 850 hauts dirigeants des principales entreprises internationales dans la région APAC, en Europe et en Amérique du Nord, notamment 251 en France, révèle que près de la moitié des sociétés françaises prennent des risques considérables lors de l’assainissement des données en fin de vie.

Ces risques comprennent :

• L’emploi de méthodes de suppression de données inappropriées : 47 % des répondants ont indiqué utiliser des méthodes de suppression de données telles que le formatage, l’écrasement à l’aide d’outils logiciels gratuits ou payants non certifiés, ou la destruction physique (démagnétisation et broyage) sans piste d’audit. Ces méthodes ne sont pas entièrement sécurisées et peuvent laisser la porte ouverte à de potentiels problèmes de sécurité et de conformité. Chiffre le plus alarmant, 8 % de ces sociétés n’assainissent pas du tout les données et sont donc entièrement vulnérables aux attaques.

• Accumuler des réserves de matériel hors service sur site et ne pas les gérer en temps opportun. 87 % des grandes entreprises françaises admettent disposer d’un stock de matériel hors service, chiffre le plus élevé parmi les pays de l’étude. Seules 2 % des entreprises indiquent effacer immédiatement les données des équipements en fin de vie, contre 75 % au mieux sous deux semaines, ce qui accroît les risques potentiels de perte et de piratage de données internes.

• Faute de maintenir une chaîne de responsabilité claire comprenant une piste d’audit pour les actifs en fin de vie, y compris lors de leur acheminement à un centre de destruction hors site, près d’un tiers (28 %) des grandes entreprises françaises affirment ne pas disposer de piste d’audit du processus de destruction physique, tandis que 36 % admettent ne pas consigner le numéro de série des disques concernés. L’absence de contrôle de la chaîne de responsabilité fait courir à ces sociétés des risques de piratage de données et de non-conformité.

L’étude révèle par ailleurs que 14 % des grandes entreprises françaises recourent au broyage ou à la démagnétisation physique des appareils en fin de vie, bien que le broyage n’offre pas toujours une réelle piste d’audit certifiée englobant le cycle de vie complet de la chaîne de responsabilité.

« Les grandes entreprises françaises se préoccupent clairement des données lorsque leurs appareils arrivent en fin de vie. Toutefois, bien qu’elles soient conscientes des risques encourus, nombre d’entre elles décident tout de même d’adopter une approche de protection inadéquate », explique Fredrik Forslund, vice-président des solutions d’effacement pour grandes entreprises et cloud de Blancco. « Ceci fait ressortir les énormes lacunes inquiétantes de ce secteur et parmi les hauts dirigeants français quant aux répercussions de sécurité et de conformité de la destruction physique et du stockage d’équipement en fin de vie ».

L’étude a débouché sur d’autres constatations concernant la France :

• Sur 100 grandes entreprises françaises, 20 n’ont pas mis en place de processus différencié pour les lecteurs SSD et HDD, et courent donc le risque de ne pas supprimer convenablement toutes leurs données et de ne pas être conformes aux normes en vigueur.

• Les grandes entreprises interrogées ont également signalé que 20 % de leurs appareils sont stockés au sein de leurs locaux sans faire l’objet de mesures spécifiques. Cette situation met en lumière un énorme problème de sécurité auquel elles doivent immédiatement remédier.

Sur le plan international, l’étude émet d’autres conclusions :

• De nombreuses multinationales ont également affirmé employer différentes méthodes de suppression de données. Sur 100, 17 recourent à la destruction physique (démagnétisation et broyage), 13 emploient un effacement ou un chiffrement cryptographique, 12 pratiquent un écrasement à l’aide d’outils logiciels gratuits, et 7 utilisent des outils logiciels payants non certifiés pour écraser les données. Il est particulièrement inquiétant de constater que 4 % des entreprises n’emploient aucune méthode d’assainissement de données.

• Fait inquiétant, 80 % des multinationales avouent stocker du matériel informatique hors service. Par ailleurs, les grandes entreprises laissent des appareils inutilisés pendant de longues périodes. Seules 13 % des entreprises indiquent effacer immédiatement leurs équipements en fin de vie, contre 57 % au mieux sous deux semaines, ce qui les expose à des risques de sécurité ou de conformité.

• Interrogées quant à leurs préoccupations de sécurité liées à l’équipement en fin de vie, trois quarts d’entre elles (73 %) conviennent que la pléthore de modèles en fin de vie les rend vulnérables aux piratages de données, tandis que 68 % s’inquiètent fortement des risques de piratage de données liés aux équipements en fin de vie.

Méthodologie :
L’étude principale a été commandée par Blancco Technology Group et menée par Coleman Parkes en août 2019. L’échantillon se compose de 1 850 décisionnaires (responsables de la conformité, directeurs financiers, responsables des actifs informatiques, RSSI, DSI, responsables de la protection des données et responsables des opérations) de 1 850 entreprises comptant plus de 5 000 employés. L’échantillon se répartit entre le Royaume-Uni, les États-Unis, le Canada, l’Allemagne, la France, le Japon, l’Inde, Singapour et l’Australie, et englobe différents marchés verticaux : Santé, secteur public, secteur pharmaceutique, services financiers, technologie, défense, secteur juridique, fabrication, énergie, transport et conseil.