mardi 25 septembre 2012

Sanitisation des données : la SP800-88 Rev. 1 du NIST

Le NIST vient de mettre à disposition du public pour commentaires (1) la mise à jour majeure de la SP800-88 Rev. 1, une directive concernant la sanitisation des media (et des données). J'emploie le néologisme sanitisation à dessein car il existe plusieurs traductions possibles (2) et aucune ne me parait donner vraiment satisfaction : assainissement, stérilisation voire destruction.

Comme à son habitude, le NIST met à disposition un document qui fait autorité en la matière : pédagogique, progressif et parfaitement clair. Précisons que la première version de ce document datait de 2004 et que cette Revision 1 tient compte des évolutions technologiques importantes de ces dernières années, en particulier en ce qui concerne la révolution cloud en cours. Du côté pragmatisme, notons que l'annexe C concernant les "outils et ressources" invite autant à aller consulter la liste des outils NSA approved que l'outil Open source hdparm !

Se trouvent également dans l'annexe A un ensemble de recommandations minimum. Les media embarquant des composants cryptographiques, pour l'authentification forte par exemple, sont également pris en compte. Enfin, la méthode (efficace !) retenue pour détruire définitivement un media est la suivante : désintégrer, pulvériser, faire fondre et incinérer ! Nul doute qu'à l'issue de ce traitement il sera excessivement difficile de pouvoir récupérer une donnée quelle qu'elle soit ! ;)


(1) Jusqu'au 30 novembre 2012
(2) Celle du NIST précise qu'il s'agit d'un "processus visant à rendre infaisable l'accès à des données cibles sur les médias pour un niveau donné d'effort. Effacer, purger, endommager et détruire sont des actions qui peuvent être prises pour assainir les médias".

Aucun commentaire: