« Des réglementations plus strictes s’avèrent nécessaires à chaque niveau de la chaîne de données, du stockage à la suppression. Il est souvent difficile pour les entreprises de considérer tous les paramètres », déclare Rainer Fahs, expert en sécurité informatique à l’OTAN et président de l’EICAR. Depuis 1991, l’EICAR s’occupe de questions générales liées à la sécurité informatique au niveau européen. « Les prestataires qui stockent de manière permanente des données à caractère privé ou professionnel dans le cadre d’un service doivent s’assurer de leur suppression en cas de besoin. Il est utile pour de tels prestataires d’intégrer des tiers au processus. Ces partenaires peuvent émettre un certificat en vérifiant que les données ont bien été supprimées conformément aux réglementations ».
Les fournisseurs de systèmes de stockage estiment possible de relever ce défi. « Nous avons mis en place des services professionnels dédiés qui assurent une suppression effective et irrévocable des données. Il est impossible de les récupérer d’une quelconque manière », explique Franck Didi, directeur des Services chez le fournisseur de systèmes de stockage Hitachi Data Systems en France. « Ces services professionnels garantissent la suppression complète des données, point crucial dans des secteurs comme la santé ou la finance. » Dans le secteur de la santé, il faut stocker les données pendant environ 30 ans. Après cette période, les hôpitaux et les médecins sont obligés de supprimer les données. Tout manquement sera considéré comme une violation des droits des patients, encourant de graves sanctions.Hitachi Data Systems recommande de suivre ces règles, pour assurer une suppression fiable et définitive des données :
1. Les données doivent être complètement supprimées de tous les réseaux et systèmes de stockage afin de respecter les directives de conformité et de sécurité. Le personnel informatique doit veiller à éliminer ces données à tous les niveaux du cycle de sauvegarde afin que des doublons ne continuent pas à circuler au sein de l’organisation.
2. Il faut supprimer complètement les données quel que soit le fabricant du support de stockage. Ceci concerne en particulier les infrastructures de stockage hétérogènes, lorsque le service informatique utilise différents environnements de stockage. Le recours à des technologies comme la virtualisation, qui comprend une couche de gestion complète, peut s’avérer utile pour éviter ces problèmes.
3. Les entreprises doivent pouvoir poursuivre leur activité une fois les données supprimées : il est donc important de s’assurer que cette suppression n’a aucune incidence sur d’autres systèmes.
4. Des processus vérifiables et des workflows, notamment en matière de reporting, facilitent la suppression complète. Les services informatiques doivent donc mettre en place des procédures basées sur les meilleures pratiques afin de pouvoir suivre et analyser les processus de traitement des données.
5. Il faut gérer les informations internes sensibles en toute sécurité et il est important que les services informatiques maintiennent une séparation stricte entre les systèmes contenant des données clients et des données internes.
