L’élimination des déchets électroniques, une responsabilité partagée

Les Nations unies ont récemment publié des statistiques intéressantes sur les déchets électroniques :

• En 2022, un record de 62 millions de tonnes de déchets électroniques a été atteint, soit une augmentation de 82 % par rapport à 2010.
• Ce chiffre est en passe d’augmenter encore de 32 %, pour atteindre 82 millions de tonnes d’ici à 2030.
• Des ressources stratégiques valant des milliards de dollars ont été gaspillées et simplement jetées à la poubelle.
• À peine 1 % de la demande en éléments de terres rares est couverte par le recyclage des déchets électroniques.

La statistique la plus alarmante est peut-être la suivante : en 2022, moins d’un quart (22,3 %) des déchets électroniques de l’année ont été officiellement collectés et recyclés de manière appropriée.

L’absence de traitement adéquat de ces équipements nuit non seulement à l’environnement, mais aussi à la cybersécurité. 

Pourquoi les MSP doivent gérer correctement les déchets électroniques

En tant que fournisseur de services gérés (MSP), vous êtes souvent responsable des équipements de vos clients, de leur acquisition jusqu’à leur mise hors service. Ce qui était autrefois une collection de tablettes enviable peut vite paraître totalement dépassé. Cependant, lorsque votre collection de tablettes ou d’IoT devient obsolète, vous ne pouvez pas simplement la jeter à la poubelle. Si rien ne vous empêche de le faire, les experts mettent en garde contre une telle pratique. Se débarrasser des déchets électroniques de cette manière nuit à l’environnement et témoigne d’une mauvaise hygiène numérique.

« Vous seriez surpris de constater à quel point les entreprises ignorent l’un des plus grands risques pour leur sécurité : les anciens équipements informatiques, souvent laissés en stockage… ou pire, simplement jetés à la poubelle », explique Russell Lawson, expert en élimination appropriée des déchets électroniques et fondateur de la solution Compliance Companion. Russell Lawson travaille avec les entreprises sur la conformité ISO 27001 et la sécurité de l’information. « J’ai constaté que des ordinateurs, des disques durs et même des imprimantes réseau obsolètes peuvent rapidement devenir de véritables risques s’ils ne sont pas correctement pris en charge », déclare-t-il. Il ajoute que de nombreuses personnes pensent qu’il suffit d’effacer ce qui se trouve sur un appareil ou de le réinitialiser aux paramètres d’usine, mais ce n’est pas le cas.

Ce sont des mots que les MSP doivent garder à l’esprit lorsqu’ils aident un client à se débarrasser d’appareils obsolètes.

Restes de données et risques matériels

« Les données persistent. Même si vous pensez qu’elles ont disparu, il en reste des vestiges. Un cybercriminel déterminé peut récupérer une quantité impressionnante d’informations sur un disque dur mis au rebut », explique Russell Lawson. Il raconte avoir vu des cas où des entreprises pensaient avoir tout effacé, pour ensuite découvrir que des dossiers clients, des documents internes, voire des identifiants de connexion restaient accessibles. « C’est une catastrophe annoncée. »

L’expert soulève également le problème de la réactivation du matériel. « Un ordinateur portable mis au rebut peut sembler inutile, mais s’il n’a pas été correctement mis hors service, il peut encore contenir des identifiants mis en cache ou des configurations réseau stockées. Entre de mauvaises mains, cet ancien appareil pourrait devenir un point d’entrée dans vos systèmes. Ce n’est pas un risque théorique, mais bel et bien réel. J’en ai été témoin », ajoute-t-il.

Comment les entreprises peuvent-elles se débarrasser en toute sécurité de leur matériel informatique obsolète ?

Maintenant que vous saisissez la gravité de la situation, que pouvez-vous faire ?

« Tout d’abord, il faut obligatoirement procéder à un effacement sécurisé. Il existe des outils appropriés pour cela (Blancco, DBAN, etc.) qui répondent aux normes de sécurité », explique Russell Lawson. Il note que pour les disques durs, une bonne pratique consiste à écraser les données plusieurs fois. Et pour les données très sensibles ? « Je recommande toujours la destruction physique. Déchiquetage, démagnétisation, ou simplement une solide perceuse à colonne, tout ce qui peut garantir qu’il n’y aura aucune chance de récupération. »

Il peut être judicieux pour les MSP de garder une vraie boîte à outils dans leur arsenal. « Il est également indispensable de travailler avec des fournisseurs d’élimination des actifs informatiques certifiés. Je conseille toujours aux organisations de faire appel à des fournisseurs qui proposent des certificats de destruction pour prouver leur conformité aux réglementations en matière de sécurité et d’environnement », suggère Russell Lawson, en précisant que les fournisseurs certifiés ISO 27001 ou les entreprises de destruction certifiées NAID AAA sont de bonnes options parce qu’elles suivent des procédures de manipulation et d’élimination strictes.

Les MSP doivent être à l’avant-garde de l’élimination responsable des actifs informatiques

L’aspect environnemental est également crucial. « Il ne suffit pas de se débarrasser des vieux ordinateurs en les déposant à la décharge : non seulement c’est néfaste pour l’environnement, mais cela peut aussi être illégal, selon votre lieu d’activité », explique le spécialiste. Les programmes de remise à neuf sécurisés sont une excellente option, à condition que les appareils subissent d’abord un nettoyage approprié des données. Lawson souligne que c’est là que les MSP doivent être particulièrement impliqués.

« Les MSP doivent proposer activement le management du cycle de vie des actifs informatiques dans le cadre de leurs services, aidant ainsi les entreprises à suivre, nettoyer et éliminer en toute sécurité leurs équipements », déclare-t-il. Il invite les responsables de la sécurité informatique à mettre en œuvre des politiques d’élimination des actifs informatiques plutôt que de se contenter de les documenter.

« Les audits sont également utiles. Ce qui paraît sécurisé en théorie ne l’est pas toujours dans la réalité », fait remarquer Russell Lawson, qui ajoute qu’il ne compte plus le nombre d’entreprises qui n’ont pas pris au sérieux l’élimination des déchets informatiques, jusqu’à ce qu’elles découvrent que des données sensibles de clients se trouvaient sur un disque dur qui a fini entre les mains d’un tiers. « Mais à ce moment-là, il est déjà trop tard. Une stratégie d’élimination des déchets informatiques solide et axée sur la sécurité n’est pas seulement une question de conformité. Elle permet aussi de prévenir des incidents qui peuvent être évités. »

L’élimination appropriée du matériel informatique obsolète est l’une des principales responsabilités des MSP. Il ne s’agit pas seulement de respecter les réglementations, mais aussi de protéger les données de vos clients et l’environnement. En adoptant une approche proactive avec l’effacement sécurisé des données, en travaillant avec des partenaires de services d’élimination certifiés et en gérant le cycle de vie complet des actifs, les MSP peuvent prévenir les problèmes de sécurité et réduire leur impact sur l’environnement.

Remarque : cet article a été initialement publié sur SmarterMSP.com.