Des milliers d'entreprises détruisent chaque année plusieurs millions de disques durs et d'autres dispositifs de stockage dont ils n'ont plus besoin ou dont la garantie a expiré. Bien que ces disques durs puissent être recyclés, les entreprises, notamment les fournisseurs de services de cloud computing, affirment qu'elles détruisent leurs dispositifs de stockage pour des raisons de sécurité et à cause du fait qu'elles appliquent une politique de zéro risque de fuite de données. L'effacement sécurisé existe et pourrait répondre aux préoccupations des entreprises, mais elles estiment que le risque doit être nul. Cette politique a toutefois un impact négatif sur l'environnement.Pourquoi les entreprises préfèrent-elles détruire des disques durs utilisables ?
Il est connu de tous que les disques durs s'usent trop rapidement et contribuent à l'augmentation rapide des déchets électroniques. Cela dit, un nouveau rapport sur le sujet révèle que des millions de disques durs sont détruits chaque année, alors qu'ils pourraient être réutilisés. En effet, les dispositifs de stockage sont généralement vendus avec une garantie de cinq ans. Cependant, les grands centres de données les mettent au rebut à l'expiration de la garantie. Les disques durs qui stockent des données moins sensibles seraient épargnés, mais l'IDC (International Data Corporation) estime que 90 % des disques durs sont détruits lorsqu'ils sont retirés.
La raison ? « Les fournisseurs de services cloud avec lesquels nous nous sommes entretenus ont parlé de sécurité, mais en réalité, ils parlaient de gestion des risques. Ils ont une politique de risque zéro. Il ne peut pas y avoir une fuite sur un million de disques, un sur 10 millions de disques, un sur 100 millions de disques. Le risque doit être nul », explique Jonmichael Hands, secrétaire et trésorier de la Circular Drive Initiative (CDI). La CDI est un groupe d'entreprises technologiques qui promeut la réutilisation sécurisée du matériel de stockage. Hands travaille également chez Chia Network, une société qui propose une technologie basée sur la blockchain.
Chia Network construit une blockchain basée sur les preuves d'espace et de temps pour créer une cryptomonnaie moins gaspilleuse, plus décentralisée et plus sûre. La société est basée à San Francisco, en Californie. Elle pourrait facilement réutiliser les dispositifs de stockage dont les grands centres de données n'ont plus besoin. Mais cela s'avère compliqué. En 2021, Chia Network a contacté des sociétés de mise au rebut des actifs informatiques (IT Asset Disposition - ITAD), qui se débarrassent des anciennes technologies pour les entreprises qui n'en ont plus besoin. L'entreprise a reçu une réponse : « désolé, nous devons détruire les vieux disques durs ».
« Comment ça, vous les détruisez ? Il suffit d'effacer les données, puis de les revendre. Ils ont dit que les clients ne les laisseraient pas faire. Un fournisseur ITAD a déclaré qu'il détruisait cinq millions de disques pour un seul client », note Hands en racontant l'histoire. Par le passé, il est déjà arrivé que des entreprises revendent des disques durs contenant encore les données des clients. En septembre dernier, Morgan Stanley Smith Barney, une multinationale américaine de services financiers spécialisée dans le courtage, a été condamnée à une amende de 35 millions de dollars pour avoir mis aux enchères en ligne des disques durs non effacés.
Il existe des méthodes permettant de supprimer les données des disques durs
Pour éviter ce type de désagrément, certaines entreprises demandent même parfois aux clients de détruire les disques durs avant de les retourner dans le cadre d'une RMA, par exemple. L'année dernière, dans une communication avec l'un de ses clients, la filiale allemande de Samsung lui a suggéré de détruire le SSD Samsung 980 Pro au nom de la protection des données. L'autorisation de retour de marchandise impliquant ce client incluait un feu vert de Samsung pour percer ou marteler le disque en morceaux. L'entreprise tentait en effet de se mettre à l'abri des problèmes de violation de données qu'une procédure RMA pourrait occasionner.
Mais d'après les experts, l'ironie de la chose, c'est qu'il est relativement risqué de détruire des appareils aujourd'hui. Les disques les plus récents contiennent 500 000 pistes de données par pouce carré. Selon Hands, un récupérateur de données sophistiqué pourrait prendre un morceau d'une taille de 3 mm et en lire les données. En 2022, l'IEEE Standards Association a approuvé sa norme d'effacement des dispositifs de stockage. Elle décrit trois méthodes pour supprimer les données des appareils, un processus connu sous le nom d'assainissement. La méthode la moins sûre est la méthode "effacer". C'est la méthode à laquelle le grand public est habitué.
Toutes les données sont supprimées, mais elles peuvent être récupérées à l'aide d'outils spécialisés. Elle est suffisante si vous souhaitez réutiliser le disque au sein de votre entreprise. La méthode extrême consiste à détruire les disques en les faisant fondre ou en les incinérant. Les données ne pourront jamais être récupérées, pas plus que le disque ou ses matériaux. Entre les deux, il existe une option sûre pour la réutilisation : la purge. Selon les experts, lorsque le disque dur subit une purge, la récupération des données est impossible. Il existe plusieurs façons de purger un disque dur afin de le revendre en toute sécurité à nouveau client.
Par exemple, les données stockées sur le disque dur peuvent être écrasées par de nouveaux modèles de données. Les disques durs peuvent ensuite être vérifiés pour s'assurer que les données d'origine ont disparu. Cela peut prendre un jour ou deux. En comparaison, un effacement cryptographique ne prend que quelques secondes. De nombreux disques durs modernes seraient dotés d'un système de chiffrement intégré, de sorte que les données qu'ils contiennent ne peuvent être lues que si l'on dispose de la clé de déchiffrement. Si cette clé est supprimée, toutes les données sont brouillées. Les données sont toujours là, mais il est impossible de les lire.
Il existe des programmes de recyclage et de réutilisations des disques durs
Seagate est l'un des principaux fournisseurs de solutions de stockage de données et l'un des membres fondateurs de l'IDC. « Si nous pouvons universellement, parmi tous nos clients, faire confiance à l'effacement sécurisé, alors les disques pourront être remis en service. C'est ce qui se passe, mais à très petite échelle », a déclaré Amy Zuckerman, directrice du développement durable et de la transformation chez Seagate. Au cours de son exercice 2022, Seagate aurait remis à neuf et revendu environ 1,16 million de disques durs et de disque statique à semi-conducteurs (SSD), évitant ainsi la production de plus de 540 tonnes de déchets électroniques.
Cela comprend les disques qui ont été retournés dans le cadre de leur garantie et les disques qui ont été rachetés aux clients. De plus, un programme pilote de reprise à Taïwan aurait permis de récupérer trois tonnes de déchets électroniques. Selon Zuckerman, le défi consiste désormais à étendre le programme. Les disques remis à neuf sont testés, recertifiés et vendus avec une garantie de 5 ou 7 ans. « Nous voyons de petits centres de données et des opérations de minage de cryptomonnaies les adopter. Nos succès ont été obtenus à plus petite échelle, et je pense que c'est probablement le cas pour d'autres personnes engagées dans ce travail », dit-elle.
Il n'y a pas de prévisions quant au nombre de fois où chaque disque dur peut être remis à neuf et réutilisé. « Pour l'instant, nous nous contentons d'envisager cette double utilisation », précise Zuckerman. Le potentiel de ces programmes est énorme. Une grande partie des 375 millions de disques durs vendus par l'ensemble des entreprises en 2018 arrivent en fin de garantie. Pour les disques qui ne peuvent pas être réutilisés, Seagate envisage d'abord l'extraction des pièces, puis le recyclage des matériaux. Dans le programme pilote de Taïwan, environ 57 % des matériaux des disques durs, composés d'aimants et d'aluminium, auraient été recyclés.
Selon Zuckerman, l'industrie doit faire preuve d'innovation pour récupérer une plus grande partie des 61 éléments chimiques utilisés dans les disques durs. Le principe de désinfection et de réutilisation du matériel s'applique également à d'autres appareils, notamment les routeurs. « Ce n'est pas parce qu'une entreprise a pour politique de remplacer un appareil au bout de trois ans qu'elle le rend inutilisable pour le monde entier », explique Tony Anscombe, évangéliste en chef de la sécurité chez ESET, une société spécialisée dans la sécurité des technologies de l'information. Selon lui, un matériel défectueux pour une entreprise peut être utile pour une autre.
Les fuites de données constituent la principale cause de cet état de choses
Dans le cas des routeurs rachetés par ESET, la société affirme qu'il est important de mettre en place un processus de mise hors service qui sécurise les appareils. ESET dit avoir acheté des routeurs d'occasion, du type de ceux utilisés dans les réseaux d'entreprise. Seuls cinq routeurs sur 18 avaient été correctement effacés. Les autres contenaient des informations sur le réseau, les applications ou les clients qui pourraient être utiles aux pirates. Tous les routeurs contenaient suffisamment de données pour permettre l'identification de leurs propriétaires d'origine. L'un des routeurs avait été envoyé à une entreprise de traitement des déchets électroniques.
Cette dernière a revendu le routeur sans avoir supprimé les données. ESET a contacté le propriétaire initial. « Il a été très choqué. Les entreprises devraient désinfecter elles-mêmes leurs appareils du mieux qu'elles peuvent, même si elles font appel à un prestataire de désinfection et de traitement des déchets électroniques », déclare Anscombe. Il recommande de tester le processus d'assainissement des appareils pendant qu'ils sont encore sous assistance. Et si une chose n'est pas claire, le fabricant peut apporter son aide. Il suggère également de conserver toute la documentation nécessaire au processus au cas où le fabricant la retirerait de son site Web.
Avant de procéder à la désinfection, Anscombe conseille aux entreprises de créer et de conserver une copie de sauvegarde de l'appareil. En cas de fuite de données, il est plus facile de comprendre ce qui a été perdu. Enfin, les entreprises devraient faire en sorte que les gens puissent facilement signaler les fuites. Anscombe explique qu'il était difficile d'informer les entreprises de ce qu'elles avaient trouvé sur leurs anciens routeurs. Comment les entreprises peuvent-elles être sûres que les données ont disparu d'un appareil ? « Confiez-le à un chercheur en sécurité et demandez-lui ce qu'il peut trouver », explique Anscombe.
« Beaucoup d'équipes de cybersécurité ont quelqu'un qui sait comment enlever le couvercle et voir si l'appareil a été entièrement nettoyé, a ajouté Anscombe. Pour Hands de CDI, il n'est pas nécessaire d'avoir un diplôme d'ingénieur pour comprendre que la destruction des disques durs par les entreprises est une mauvaise chose pour l'environnement. D'après Zuckerman de Seagate, en sachant comment nettoyer les données des appareils, les entreprises peuvent les envoyer pour réutilisation ou recyclage en toute confiance. « L'époque de l'économie linéaire "extraire, fabriquer, consommer, jeter" doit être révolue », a déclaré Anscombe.
Source : BBC
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la destruction des disques durs utilisables par les entreprises ? Pensez-vous que les avantages de cette politique l'emportent sur ses inconvénients ? Que pensez-vous des méthodes proposées ci-dessus ? Les entreprises peuvent-elles s'y fier ? Quelle est la politique en vigueur dans votre entreprise ? Partagez votre expérience. Que pensez-vous des programmes de recyclages proposés ci-dessus ? Pourraient-ils fonctionner à grande échelle ?Voir aussi
Samsung demande à un client de détruire le SSD 980 Pro avec une perceuse avant de le renvoyer dans le cadre d'une RMA, afin d'assurer la confidentialité des données du client Une amende de 35 millions de dollars pour Morgan Stanley après la mise aux enchères en ligne des disques durs non effacés, contenant des données d'environ 15 millions de clients Une étude portant sur 17 155 disques durs défectueux révèle que les disques durs tombent généralement en panne en moins de 3 ans, les disques durs de faible capacité durent plus longtemps 
Envoyé par calvaire
