A l’occasion de la semaine du World Cleanup Day, le Club Experts Cybersécurité s’est réuni pour une table ronde sur le sujet "Comment concilier recyclabilité et protection des données ?".
Objectif : déconstruire les idées reçues, identifier les bonnes pratiques et explorer comment les experts cyber peuvent intégrer ces équipements en toute sécurité.
Dépasser les idées reçues sur le reconditionné
Le numérique responsable n’est plus une option. À l’heure où l’impact
environnemental des équipements IT devient un enjeu clé, comment concilier
recyclabilité et cybersécurité ?
Dans l’imaginaire collectif, le matériel reconditionné est encore perçu comme
un choix par défaut, voire un risque pour la sécurité des systèmes
d’information. Backdoors, données résiduelles, absence de traçabilité… autant
de préjugés qui freinent son adoption.
Ambroise RAYMOND
Directeur, ECODAIR Lyon
Hervé PENE
Responsable d'équipe, ECODAIR Lyon
Alexandre JEAN
Co-fondateur, IDEEE
Immersion au cœur du reconditionnement
Avant la table ronde, les membres ont eu l’opportunité de découvrir ECODAIR Lyon, une structure spécialisée dans le reconditionnement sécurisé d’équipements informatiques.
Points clés observés lors de la visite :
✅ Effacement
sécurisé des données : processus certifiés garantissant la suppression totale
des informations.
✅ Tests de
conformité et de performance : chaque équipement passe par un audit rigoureux
avant d’être remis en circulation.
✅ Traçabilité du
matériel : chaque appareil reconditionné est identifié et suivi tout au long de
son cycle de vie.
✅ Impact social :
ECODAIR permet l’insertion professionnelle de personnes en situation de
handicap.
Après cette visite, un constat s’imposait : le véritable risque ne vient
pas du reconditionné en soi, mais du manque de rigueur dans la gestion des
équipements en amont.
Ce point a permis de lancer la table ronde, en remettant en question certains
préjugés sur la cybersécurité et le reconditionné.
Matériel reconditionné et cybersécurité : mythe ou réalité ?
La table ronde a permis de confronter les perceptions et la réalité du terrain autour du matériel reconditionné. Idées reçues, enjeux réels et bonnes pratiques...voici ce qu’il faut en retenir.
Les 3 risques majeurs identifiés :
⚠️ La persistance des
données résiduelles.
⚠️ 20% des
équipements d’occasion contiennent encore des données sensibles (Source :
Kaspersky).
⚠️ Les entreprises
cèdent du matériel sans l’effacer correctement, laissant accessibles des
informations confidentielles.
Bonne pratique :
✅ Exiger un
effacement certifié conforme aux normes existantes.
✅ Effectuer un audit
des équipements récupérés avant leur remise en circulation.
✅ Flasher les BIOS
et réinstaller des firmwares propres avant toute réutilisation.
✅Utiliser des outils
de diagnostic avancés pour vérifier qu’aucun programme malveillant n’est actif
sur l’équipement.
✅Acheter du reconditionné sous
garantie et avec un suivi clair de son cycle de vie pour ainsi garantir sa
conformité.
✅ Privilégier des
fournisseurs certifiés ISO 27001 et engagés dans une politique de transparence.
✅Mettre en place un
cahier des charges interne pour le choix des équipements reconditionnés
acceptables.
Réalités qui ont marqué les débats
✅ Un équipement
reconditionné bien audité est plus fiable qu’un matériel neuf → Il passe par
des tests rigoureux et des protocoles d’effacement de données systématiques.
✅ Les entreprises
doivent structurer leurs propres politiques d’achat responsable → La qualité et
la sécurité d’un équipement dépendent avant tout du circuit d’approvisionnement.
✅ Les experts cyber
ont un rôle clé à jouer → Ils doivent accompagner les entreprises dans
l’intégration sécurisée de ces équipements.
Pistes à explorer pour sécuriser l’adoption du reconditionné
✅ Développer un
"label cybersécurité" pour le matériel reconditionné. Aujourd’hui, il
n’existe pas de norme unifiée garantissant la cybersécurité des équipements
reconditionnés. Un label spécifique permettrait aux entreprises de faire des
choix éclairés.
✅ Renforcer la
sensibilisation des DSI et RSSI. Beaucoup d’entreprises refusent le
reconditionné par peur et méconnaissance. Former les équipes IT permettrait
d’intégrer ces équipements en toute confiance.
✅Créer un réseau
d’acteurs de confiance. S’appuyer sur un écosystème d’entreprises locales
spécialisées dans le reconditionnement sécurisé renforcerait la fiabilité des
équipements et leur traçabilité.
Bonnes pratiques pour les experts cybersécurité
✅Toujours exiger un
certificat d’effacement de données pour chaque appareil.
✅Réinitialiser
systématiquement les firmwares et BIOS avant l’intégration.
✅Réaliser un audit
matériel avant d’ajouter un équipement au parc IT.
✅Ne jamais acheter
du reconditionné sans traçabilité claire de son cycle de vie.
✅Privilégier des
fournisseurs labellisés et engagés dans une démarche de cybersécurité.
Structurer une filière locale et fiable : un enjeu collectif
Comment garantir un reconditionnement sécurisé en entreprise ?
Sylvain IAFRATE (Métropole de Lyon) : "Nous avons structuré un réseau local de reconditionneurs, garantissant un circuit court sécurisé et traçable. Ce type d’initiative est essentiel pour donner confiance aux entreprises."
Pourquoi structurer une filière de confiance ?
✅ Pour garantir une
traçabilité claire des équipements.
✅ Pour assurer des
pratiques uniformisées et conformes aux exigences cybersécurité.
✅ Pour renforcer
l’impact économique local en soutenant des acteurs spécialisés.
Conclusion
Pourquoi les experts cybersécurité ne peuvent plus ignorer le reconditionné ?
Ambroise RAYMOND (ECODAIR) : "Les experts cybersécurité doivent comprendre qu’ils ne doivent pas seulement réagir aux menaces… mais aussi être des acteurs proactifs dans la sécurisation des nouvelles pratiques IT."
Les clés pour un reconditionné sécurisé et accepté en entreprise :
🚀 Sensibiliser les
DSI et RSSI aux bonnes pratiques de gestion du matériel IT.
🚀 Encourager la mise
en place de certifications pour garantir la fiabilité des équipements.
🚀 Former les experts
cyber à auditer et sécuriser ces équipements.
Le reconditionné ne doit plus être vu comme un risque, mais comme une opportunité. Avec des pratiques rigoureuses et une filière bien structurée, il peut devenir un levier clé pour un numérique plus sécurisé et responsable.
Ressources
Guide ANSSI : Recommandations relatives au reconditionnement des ordinateurs de bureau ou portables (lien).
Contacts :
Ambroise RAYMOND / ECODAIR / Directeur / araymond@ecodair.org
Matthieu GOSSET / ECODAIR / Responsable commercial / mgosset@ecodair.org
Alexandre JEAN / IDEEE / Co-fondateur / a.jean@ideee.fr
En savoir plus sur le Club Experts Cybersécurité :
Laurent PAITA / DIGITAL LEAGUE / l.paita@digital-league.org
En savoir plus sur le programme reconditionnement de Digital League
revalorisez facilement votre parc