Le laptop avec deux SSD et zero certificat

Voici une conversation amusante à avoir avec votre équipe compliance à 9h un lundi :

"Combien de certificats d'effacement générons-nous par appareil ?"

"Un par appareil. Évidemment."

"Et combien de supports de stockage contient un Dell Latitude 5430 ?"

"Un. C'est un laptop. Il a un disque."

"Vérifie la fiche technique."

"...Deux. Il a deux slots NVMe. Et notre configuration utilise les deux."

"Donc combien de certificats d'effacement devrions-nous avoir pour 340 unités ?"

Silence. Le genre de silence qui coûte de l'argent.

La fausse évidence du par-appareil

La plupart des systèmes ITAD suivent l'effacement au niveau de l'appareil. "Laptop RV-003412 : effacé." Un appareil, un statut, une case cochée. Simple. Propre. Dangereusement incomplet.

Un Dell Latitude moderne peut avoir deux SSD NVMe. Un HP EliteBook 850 a parfois un NVMe plus un disque SATA. Un Dell PowerEdge peut avoir douze disques. Une baie de stockage ? Ne demandez même pas.

Quand votre système dit "appareil effacé", cela signifie : quelque chose a été effacé. Probablement le disque principal. Peut-être les deux. Peut-être. Vous l'espérez. Le système ne le sait pas, parce qu'il suit les appareils, pas les supports de stockage.

Votre auditeur ADISA, lui, suit les supports de stockage. Parce qu'ADISA comprend que les données ne vivent pas sur les laptops. Elles vivent sur les disques. Et un laptop avec deux disques mais un seul certificat d'effacement a un trou. Un trou qui ressemble, pour un auditeur compliance, à une responsabilité. Parce que c'en est une.

Le tracking d'effacement par appareil, c'est comme faire l'appel en comptant les bureaux au lieu des personnes. Le nombre peut correspondre. Mais probablement pas. Et quand il ne correspond pas, personne ne peut dire qui manque.

680 certificats, pas 340

Faisons le calcul sur un scénario réel. Une société de leasing retourne 340 Dell Latitude 5430. Chacun a deux disques NVMe. Cela fait 680 supports de stockage individuels à effacer, vérifier et certifier séparément.

Votre système génère 340 certificats. Un par laptop. L'auditeur en demande 680. Vous pouvez en produire 340. Où sont les 340 autres ?

"Nous avons un process."

"Est-il documenté ?"

"...Nous avons un spreadsheet."

Le spreadsheet, inévitablement, contient 280 lignes au lieu de 340 parce que quelqu'un a oublié de logger les deux derniers jours de travail. L'auditeur écrit une finding. La finding devient une action. L'action devient un projet. Le projet devient une ligne budgétaire. Tout cela parce que le système a compté des laptops au lieu de compter des disques.

La situation empire avec le matériel moderne

Le laptop à deux SSD n'est que le début. Le hardware moderne devient plus complexe, pas moins.

Les modules Intel Optane côtoient les disques NVMe et cachent des données indépendamment. Certains laptops professionnels ont du stockage eMMC pour l'OS plus du NVMe pour les données utilisateur. Les workstations peuvent avoir trois ou quatre disques dans diverses configurations. Et les serveurs — les serveurs sont un autre univers, avec des contrôleurs RAID qui transforment les disques physiques en volumes logiques qui correspondent ou non aux médias réels à assainir.

La mise à jour 2025 de NIST 800-88 traite explicitement cette complexité. IEEE 2883-2022 va plus loin, avec des recommandations de sanitization spécifiques aux SSD, disques NVMe et stockages embarqués. Les deux standards insistent sur la vérification par média. Pas par appareil. Par média.

Si votre système ne peut pas suivre ce niveau de détail, ce n'est pas seulement qu'il est vieux. C'est qu'il a été construit pour un monde où les laptops avaient un disque dur et les serveurs deux. Ce monde s'est terminé il y a environ cinq ans. Les standards compliance ont rattrapé leur retard. Votre système aussi ?

La chaîne de certificats

Un enregistrement d'effacement correct pour ce Dell Latitude 5430 devrait ressembler à ceci :

Device: Dell Latitude 5430 — RV-000003412
Storage Device A: WD SN740 512GB — SN: WD-2026-44821
Erasure method: NIST 800-88 Purge
Completed: 2026-03-03 at 14:22:07 CET
Verified: Pass
Certificate: BLC-2026-44821

Storage Device B: WD SN740 256GB — SN: WD-2026-44822
Erasure method: NIST 800-88 Purge
Completed: 2026-03-03 at 14:24:31 CET
Verified: Pass
Certificate: BLC-2026-44822

Deux disques. Deux événements d'effacement. Deux vérifications. Deux certificats. Liés à un appareil. Liés à une inbound order. Liés à un client. C'est la chaîne. Et chaque maillon compte, parce que l'auditeur peut tirer sur n'importe quel maillon et s'attendre à ce que le reste suive.

Le laptop à deux SSD n'est pas un cas limite. C'est la nouvelle normalité. Et l'écart entre tracking par appareil et tracking par disque n'est pas un risque compliance théorique. C'est un risque pratique — celui qui apparaît en audit, crée des findings et coûte de l'argent.

Votre auditeur sait compter. La question est de savoir si votre système compte de la même façon.