Cloud
Les entreprises françaises insuffisamment organisées en matière d’effacement de données
Par Laurent Delattre, publié le 14 février 2020
Les entreprises françaises progressent dans la gestion du nettoyage des données notamment des appareils en fin de vie. Mais leurs politiques sont encore méconnues de leurs collaborateurs et peu appliquées en l’absence de responsables clairement identifiés.
Bien que 96 % des 251 entreprises françaises aient mis en place une politique de nettoyage de données, 51 % ne l’ont pas encore communiquée en interne ! C’est ce qui ressort de la dernière enquête menée par Coleman Parkes pour Blancco Technology, l’un des spécialistes de l’effacement de données et du diagnostic des appareils mobiles.
À quoi sert d’avoir des processus si l’on ne communique pas dessus en interne ? Il y a peu de chance qu’ils soient un jour appliqués. Ce manque de communication s’explique en partie par le fait que les politiques en matière d’effacement des données ne sont pas encore complètement définies pour 21% des entreprises interrogées et par le fait que pour trois entreprises sur quatre (75%) il n’existe pas de véritable politique récurrente et systématique en matière de nettoyage des données.
L’étude montre clairement un manque de maturité des entreprises qui pèchent par défaut de direction, d’organisation et de culture.
Ainsi, 23% des employés pensent que la responsabilité du nettoyage incombe à leur supérieur hiérarchique alors que pour 15% des entreprises interrogées la responsabilité incombe directement aux employés lorsqu’ils quittent l’entreprise. Dans la plupart des entreprises françaises, les collaborateurs ne savent pas clairement identifiés qui est le responsable du nettoyage des données. Et d’après l’étude, seuls 4% des RSSI auraient cette responsabilité en France soit le plus faible taux de tous les pays observés !
Des chiffres qui démontrent une absence de responsable bien défini pour une tâche pourtant essentielle afin de limiter les risques de fuites de données liées à la réutilisation de matériels non préalablement correctement effacés.
Ce manque de direction se traduit à d’autres niveaux : 39 % des responsables interrogés estiment que les employés sous contrat temporaire sont les moins susceptibles de respecter les politiques de nettoyage de données, tandis que 43 % jugent que les sous-traitants ou les indépendants ont le moins de chance de comprendre ou de se conformer à la politique de nettoyage de données.
En l’absence de responsable, les équipements restent le plus souvent stockés pour ne pas dire abandonnés à long terme dans des armoires ou des entrepôts. 98 % des entreprises françaises admettent ne pas nettoyer immédiatement leurs actifs en fin de vie, tandis que 29 % indiquent tarder plus d’un mois avant de procéder à cette opération. Cela est vrai des disques de serveurs décommissionnés et des anciens PC remplacés mais aussi des disques externes, des smartphones et des tablettes qui sont autant de supports d’informations sensibles.
Le recours à l’effacement hors site par un tiers pour traiter l’effacement de leurs appareils en fin de vie n’est pratiqué que par 45% des entreprises françaises. Et encore, cette pratique n’est pas toujours systématique (par manque d’organisation, d’application des process et de responsable dédié). Et parmi ces entreprises, rares sont celles qui audit leurs partenaires et réclament des garanties de traitement adéquat des matériels confiés.
Selon les rapporteurs de l’étude, l’absence de responsable identifié de la mise en application des politiques de nettoyage de données est le reflet d’un manque de responsabilisation des grandes entreprises françaises en matière de mise en conformité. Les responsabilités sont réparties entre différents postes et, curieusement, le responsable des opérations est en charge dans 27 % des cas, suivi par le responsable juridique (24 %), le responsable de la conformité (15 %), le responsable des opérations informatiques (14 %) et le responsable de la protection des données (10 %).
Une situation floue particulièrement inquiétante, car propice aux non-conformités… et, depuis la mise en place du RGPD, aux amendes.
Source :
Étude « Data Sanitization : Policy vs Reality »