La suppression classique ne détruit pas les données mais masque leur emplacement. L'ISO 27002 mesure 7.14 recommande cinq niveaux de sécurisation :

• Compréhension du risque : fichiers "supprimés" restent physiquement sur disque et sont récupérables avec outils basiques (Recuva, PhotoRec, TestDisk) tant que non écrasés
• Méthodes d'effacement sécurisé : écrasement multiple avec patterns aléatoires (wiping logiciel), commandes ATA Secure Erase pour SSD/HDD, effacement cryptographique si chiffrement full-disk
• Destruction physique : broyage, perforation, incinération, dégausser pour supports magnétiques si effacement logiciel impossible ou données ultra-sensibles
• Spécificités par type de support : HDD (effacement magnétique classique fonctionne), SSD (wear leveling et cellules réservées compliquent effacement, Secure Erase obligatoire), supports optiques (destruction physique uniquement), bandes magnétiques (dégausseur)
• Traçabilité et certification : documentation de chaque destruction (numéro série matériel, méthode utilisée, date, opérateur), certificats de destruction pour conformité (RGPD, secteurs réglementés)

Ces niveaux garantissent que les données sensibles ne survivent jamais au matériel.

Suppression standard (corbeille)

Ce qui se passe réellement : fichier déplacé dans Recycle Bin / Trash, métadonnées conservées (nom, emplacement), données physiques intactes sur disque, récupération triviale (restaurer depuis corbeille).

Fausse sécurité : vider corbeille ne détruit toujours pas les données.

Suppression définitive (Shift+Suppr)

Amélioration mineure : pas de passage par corbeille, MAIS : pointeur vers données supprimé dans table de fichiers (MFT Windows, inode Linux), données physiques toujours présentes sur disque, marquées comme "espace libre réutilisable", restent intactes jusqu'à écrasement par nouveaux fichiers.

Récupération facile : Recuva, PhotoRec, Autopsy récupèrent fichiers en scannant espace libre.

Formatage rapide

Illusion de sécurité : réinitialise table de fichiers (MFT/inode), données physiques 100% intactes, formatage rapide = quelques secondes car ne touche pas aux données, récupération triviale avec outils forensic.

Formatage complet

Légèrement mieux mais insuffisant : écrit zéros sur tout le disque (Windows 7+), MAIS un seul passage = possibilité récupération avec équipement spécialisé (théorie), secteurs défectueux réalloués non effacés, insuffisant pour données sensibles.

Méthodes d'écrasement

Patterns de destruction : 3 passages DoD 5220.22-M (RECOMMANDÉ) : passage 1 = caractère aléatoire, passage 2 = complément, passage 3 = vérification aléatoire, standard militaire US largement utilisé, 1 passage zéros : écriture 0x00 sur tout disque, techniquement suffisant selon NIST SP 800-88 (2014) pour HDD modernes mais moins rassurant, 7 passages : écrasements multiples patterns variés, overkill pour HDD modernes, 35 passages Gutmann : méthode historique 1996, totalement inutile aujourd'hui (densités disques modernes), gaspillage temps.

Recommandation professionnelle : 3 passages DoD comme standard (prudence + conformité certifications). Note : NIST indique que techniquement 1 passe suffit pour HDD haute densité moderne, mais 3 passes reste la pratique recommandée pour assurance complète.

Outils effacement HDD

Solutions logicielles : DBAN (Darik's Boot and Nuke) : ISO bootable gratuite, efface disques avant démarrage OS, méthodes multiples (DoD 3 passes, Gutmann, aléatoire), shred (Linux) : commande intégrée, `shred -vfz -n 3 /dev/sda` (3 passages DoD recommandé + zéros finaux), dd (Unix/Linux) : `dd if=/dev/zero of=/dev/sda bs=1M status=progress`, simple 1 passage (acceptable mais 3 passes préférable), Blancco Drive Eraser : solution professionnelle payante, certificats destruction conformité, support tous types supports, KillDisk : version gratuite (1 passage) ou pro (certifications 3+ passes).

Recommandation : 3 passes DoD comme standard professionnel, 1 passage acceptable si contraintes temps et matériel destiné destruction physique ensuite.

ATA Secure Erase

Commande matérielle native : fonctionnement : commande ATA intégrée firmware disque, efface toutes données y compris secteurs réalloués (bad blocks), rapide (quelques heures max selon taille), avantages : atteint zones inaccessibles OS (secteurs défectueux remappés), certifié par fabricant disque, commande Linux : `hdparm --user-master u --security-set-pass p /dev/sda`, `hdparm --user-master u --security-erase p /dev/sda`, Windows : Parted Magic (distribution Linux bootable avec GUI Secure Erase).

Préférence professionnelle : Secure Erase > wiping logiciel (plus complet).

Problématique SSD

Différences critiques avec HDD : wear leveling : SSD répartit écritures sur cellules pour uniformiser usure, cellule logique X peut être cellule physique Y, Z, ou W, wiping logique n'efface pas forcément toutes cellules physiques, over-provisioning : 7-28% capacité SSD réservée invisible OS, cellules réservées contiennent données anciennes inaccessibles OS, TRIM : commande effacement asynchrone, OS signale blocs libres, SSD efface "quand il veut", délai variable.

Conséquence : wiping logiciel traditionnel (dd, shred) fonctionne assez bien pour données normales (récupération outils standards impossible), MAIS non garanti 100% pour données sensibles (fragments théoriquement récupérables forensic avancé via accès contrôleur).

ATA Secure Erase pour SSD

Méthode garantie 100% : commande firmware efface toutes cellules (visibles + réservées), reset complet contrôleur, durée rapide (secondes à minutes), identique HDD : `hdparm --security-erase`, vérifier support : `hdparm -I /dev/sda | grep frozen` (si "frozen" → reboot sans BIOS freeze).

Quand obligatoire : données sensibles (clients, RH, finance, santé), conformité réglementaire stricte (ISO 27001, HDS), revente matériel à tiers inconnu.

Quand dd acceptable : poste standard sans données sensibles, SSD avec TRIM actif (vérifier `fstrim -v /`), réutilisation interne (pas revente externe), temps contraint et destruction physique ensuite prévue.

Effacement cryptographique

Alternative si chiffrement full-disk : principe : SSD chiffré en usine (self-encrypting drive - SED) ou via BitLocker/LUKS, données physiques chiffrées avec clé maître, crypto erase : détruire uniquement clé de chiffrement, données restent mais inutilisables (chiffrées avec clé perdue), instantané : millisecondes vs heures wiping, condition : chiffrement activé DÈS LE DÉBUT (pas après coup).

Commandes : SED `hdparm --security-erase-enhanced` (crypto erase), BitLocker suppression clé (mais données restent physiquement), recommandation : préférer Secure Erase standard (plus sûr).

Destruction physique SSD - quand nécessaire ?

Cas nécessitant broyage : SSD défaillant (Secure Erase impossible car panne), données ultra-sensibles défense/santé/finance critiques (garantie absolue), doute sur efficacité effacement (très ancien SSD, comportement anormal, contrôleur inconnu), conformité réglementaire ultra-stricte (secrets défense, données classifiées).

Sinon : Secure Erase suffit largement pour la majorité des cas (revente, recyclage, réutilisation).

Broyeur industriel

Réduction particules fines : fonctionnement: disques/équipements broyés en particules <2mm (norme DIN 66399 P-5 à P-7), certifications : DIN 66399 (européenne), NSA/CSS EPL (US, niveaux 1-3), prestataires : entreprises spécialisées DEEE (Paprec, Ecologic, Veolia), certificat destruction fourni.

Avantages : irrécupérabilité garantie, conforme RGPD, certificat traçabilité.

Dégausseur (démagnétiseur)

Effacement magnétique : principe : champ magnétique puissant (>10 000 gauss) désorganise structure magnétique, efficace : HDD, bandes magnétiques, disquettes, INEFFICACE : SSD (mémoire flash non magnétique), CD/DVD, destruction : disque inutilisable après (firmware corrompu), équipement : dégausseur professionnel, usage : organismes gouvernementaux, militaire, données classifiées.

Perforateur / Broyeur manuel

Solutions PME accessibles : perforateur : poinçon détruit plateaux HDD (10-20 trous), rend données irrécupérables,, broyeur manuel : pince hydraulique écrase/plie disques, destruction visible physique, limites : fastidieux si volumes importants, vérifier destruction complète (quelques fragments lisibles = risque).

Incinération

Destruction totale : utilisée installations industrielles DEEE, température >1000°C, réduction cendres, avantages : destruction complète garantie, inconvénients : coût élevé, impact environnemental, nécessite prestataire spécialisé.

Smartphones et tablettes

Mobiles contiennent données sensibles : effacement : réinitialisation usine (Settings → Factory Reset), Android : chiffrement + reset (Android 6+ chiffré par défaut), iOS : "Effacer contenu et réglages" (chiffrement matériel), vérification : impossible reconnecter compte après reset, si écran cassé : destruction physique obligatoire.

Clés USB et cartes SD

Mémoire flash comme SSD : effacement : Secure Erase si supporté (rare), sinon formatage complet + remplissage fichiers aléatoires puis suppression, ou : destruction physique (broyage, incinération), coût faible : destruction souvent préférée vs effacement.

Imprimantes multifonctions

Disques durs internes oubliés : risque : copieurs/imprimantes pro ont HDD stockant copies documents scannés/imprimés, avant mise au rebut : effacement disque interne (menu admin ou retrait + wiping), ou destruction physique disque, location : négocier effacement sécurisé avant retour.

Supports optiques (CD/DVD)

Destruction physique uniquement : effacement impossible (gravure permanente), méthodes : broyeur disques optiques, ciseaux (découpe petits morceaux <5mm), micro-ondes (10 secondes détruit couche réfléchissante, ATTENTION feu possible).

Obligation effacement sécurisé

RGPD impose destruction définitive : Article 17 : droit à l'effacement ("droit à l'oubli"), Article 32 : mesures techniques garantir sécurité, Art. 5.1.e : conservation limitée dans le temps.

Conséquence : données personnelles doivent être irrécupérables après durée conservation légale.

Traçabilité destruction

Documentation obligatoire : registre destructions (matériel détruit, numéro série, date, méthode, opérateur), certificats prestataires (si destruction externe), conservation preuves 3-5 ans (démontrer conformité lors audit).

Sanctions non-conformité

Amendes RGPD potentielles : jusqu'à 20M€ ou 4% CA mondial, exemples réels : disques revendus avec données clients → amendes + poursuites, fuite données via matériel jeté → notification CNIL obligatoire.

Avant mise au rebut

Checklist systématique : inventaire : lister tout matériel contenant stockage (serveurs, PCs, laptops, smartphones, imprimantes, NAS, switches managés avec config), classification : niveau sensibilité données (public, interne, confidentiel, secret), méthode : déterminer effacement ou destruction selon sensibilité, validation : responsable IT/RSSI approuve la méthode.

Exécution

Réalisation destruction : interne : effacement par équipe IT avec outils validés, vérification post-effacement (tentative récupération), externe : prestataire certifié sur site ou enlèvement sécurisé, présence témoin si données ultra-sensibles, documentation : photos avant/après, logs outils effacement, certificats.

Traçabilité

Enregistrement systématique : identifiant actif (numéro série, tag inventaire), type matériel et capacité, date destruction, méthode utilisée, opérateur ou prestataire, certificat joint si applicable, validation responsable.

• Formatage rapide = sécurité : formatage même "complet" insuffisant pour données sensibles. Wiping 3 passes DoD ou Secure Erase obligatoire.
• DD sur SSD données sensibles : dd acceptable pour données normales, mais ATA Secure Erase recommandé pour données sensibles (garantit effacement zones réservées over-provisioning).
• Revente sans effacement : vendre matériel "formaté" expose à fuites. Secure Erase certifié + vérification obligatoire.
• Destruction sans certificat : détruire sans traçabilité empêche prouver la conformité RGPD. Certificat obligatoire si audit.

La suppression simple (corbeille, Shift+Suppr) ne détruit pas les données physiquement, les fichiers restent récupérables avec outils gratuits (Recuva, PhotoRec). Le formatage rapide réinitialise uniquement la table de fichiers, les données sont 100% intactes et récupérables. Pour les HDD magnétiques, l'ATA Secure Erase (commande hdparm) efface toutes zones incluant secteurs réalloués en 2-6h, ou wiping 3 passes DoD recommandé avec DBAN/shred/Blancco (4-12h) si Secure Erase impossible. NIST indique que techniquement 1 passe suffit pour HDD moderne, mais 3 passes reste le standard professionnel par prudence.

Pour les SSD, le wiping logiciel (dd, shred) fonctionne assez bien pour données normales avec TRIM actif (récupération outils standards impossible), mais n'est pas garanti 100% pour données sensibles à cause du wear leveling et over-provisioning (7-28% capacité invisible OS). L'ATA Secure Erase (<1h) efface toutes cellules incluant zones réservées et reste la méthode recommandée pour données sensibles, revente externe, ou conformité stricte. Le crypto erase (suppression clé chiffrement si SED) est instantané. Pour données ultra-sensibles défense/santé ou SSD défaillants, la destruction physique (broyeur industriel <2mm DIN 66399 P-5+, dégausseur inefficace sur SSD) est obligatoire avec certificat de destruction.

Le RGPD impose l'irrécupérabilité des données personnelles après conservation légale avec traçabilité (registre destructions, certificats prestataires, conservation 3-5 ans). Les solutions professionnelles (Blancco, Certus, WhiteCanyon) fournissent certificats conformité ISO 27001/NIST. Le recyclage DEEE doit passer par prestataires certifiés (ISO 14001, R2, e-Stewards) avec destruction données garantie avant revalorisation.