Informatique désaffectée : comment empêcher que les actifs obsolètes ne deviennent des preuves contre l'entreprise

Comprendre le risque des actifs informatiques désaffectés

Les actifs de technologie de l'information (TI) désaffectés, lorsqu'ils ne sont pas correctement gérés, peuvent devenir des éléments critiques de risque, générant des preuves compromettant l'intégrité organisationnelle. Des informations confidentielles stockées sur des dispositifs obsolètes peuvent être récupérées par des agents externes, exposant des données stratégiques, contractuelles ou personnelles.

Législation applicable et obligations légales

Selon la Loi Générale de Protection des Données Personnelles (Loi n° 13.853/2019), il est obligatoire d'adopter des mesures efficaces pour la protection et la destruction sécurisée des données stockées sur les actifs TI qui ne seront plus utilisés. Le non-respect peut entraîner des sanctions administratives et judiciaires.

Procédures pour la mitigation des risques

Le processus de sanitisation sécurisée des supports électroniques doit faire partie intégrante de la désaffectation, garantissant que les informations résiduelles ne puissent pas être récupérées. Cette procédure inclut des techniques homologuées telles que la démagnétisation, la réécriture multiple des données et la destruction physique contrôlée. Une référence fiable pour ce processus est l'orientation de la NIST Special Publication 800-88, qui établit des normes pour la sanitisation et l’élimination des supports.

Pour les procédures impliquant la destruction sécurisée des disques durs (HD) et des supports électroniques, il est recommandé d'utiliser des services spécialisés enregistrés, comme détaillé à l'adresse suivante : sanitisation de HD - prise de rendez-vous.

Mise en œuvre de politiques internes et contrôles TI

Il convient de formaliser des politiques internes pour contrôler le cycle de vie des actifs technologiques, y compris la classification de sécurité, un inventaire rigoureux et une destination définitive. Documenter chaque étape du processus aide lors des audits et démontre la conformité aux exigences réglementaires.

Responsabilité et formation technique

Il est indispensable que les équipes TI et de gouvernance reçoivent une formation continue sur les meilleures pratiques en gestion des actifs et en sécurité de l'information, en se concentrant sur la garantie de la neutralisation complète des données avant tout élimination ou réutilisation.

Destination environnementale correcte des équipements

Outre la sécurité de l'information, il faut assurer l'élimination écologiquement appropriée des équipements électroniques, réduisant les passifs environnementaux et respectant les obligations de la Politique Nationale des Résidus Solides (Loi n° 12.305/2010). Pour la gestion des déchets électroniques, il est recommandé de recourir à des services spécialisés via le lien suivant : collecte de déchets électroniques - prise de rendez-vous.