NIST 800-88 a été mis a jour et personne ne vous l’a dit

Si vous lisez ceci, il y a de bonnes chances que votre processus de sanitisation des données soit basé sur une version de NIST 800-88 écrite à l'époque où la plupart des laptops avaient encore des disques durs mécaniques. Ce n'est pas une insulte — c'est une remarque sur la vitesse à laquelle la technologie de stockage évolue et la lenteur avec laquelle les processus de conformité se mettent à jour.

La révision 2025 de NIST SP 800-88 (Guidelines for Media Sanitization) n'a pas changé le cadre fondamental. Clear, Purge et Destroy restent les trois catégories. La hiérarchie est la même. La logique est la même. Ce qui a changé, c'est le détail — et en conformité, le détail est l'endroit où l'on réussit ou échoue.

Ce qui a vraiment changé

Guidance pour les supports modernes : La norme originale était écrite pour les HDD. La révision reconnaît que les SSD, les disques NVMe, le stockage embarqué et les architectures pilotées par contrôleur ne réagissent pas aux mêmes méthodes de sanitisation. Un SSD "écrasé" avec des techniques HDD peut encore conserver des données dans des cellules over-provisioned. La révision le traite explicitement.

Exigences de vérification : "Nous l'avons effacé" ne suffit pas. La révision renforce l'attente que la sanitisation soit vérifiée — qu'après l'opération de purge ou de clear, une étape de vérification confirme que les données ont réellement disparu. Cela semble évident. En pratique, beaucoup d'opérations sautent la vérification parce que le logiciel d'effacement indique "complete" et que tout le monde suppose que cela signifie "verified". Ce n'est pas le cas. Completion et vérification sont deux étapes différentes.

Documentation par média : L'accent mis sur la documentation par appareil est affiné en documentation par média. Un appareil avec deux supports de stockage nécessite deux enregistrements de sanitisation. Cela s'aligne avec IEEE 2883-2022 et répond au problème du "laptop avec deux SSD" que beaucoup d'opérations n'ont pas encore résolu (voir : article précédent, silences gênés).

Exigences d'audit trail : La révision insiste davantage sur l'auditabilité. Logs vérifiables, automatisation, contrôles documentés. L'attente est de démontrer non seulement que la sanitisation a eu lieu, mais qu'elle a eu lieu selon votre processus défini, par une personne autorisée, avec une méthode approuvée et des résultats vérifiés.

La révision NIST 2025 ne change pas ce que vous devriez faire. Elle change ce que vous devez prouver que vous faites. Et pour beaucoup d'opérations, c'est un changement plus important qu'il n'y paraît.

IEEE 2883-2022 : la norme dont personne ne parle

Pendant que tout le monde regarde NIST 800-88, une norme complémentaire mérite de l'attention : IEEE 2883-2022 (Standard for Sanitizing Storage). Cette norme affine et étend le modèle NIST spécifiquement pour les dispositifs de stockage modernes.

Ce qu'IEEE 2883 ajoute :

Méthodes spécifiques à la technologie. NIST donne des catégories (Clear, Purge, Destroy). IEEE 2883 donne des méthodes précises pour des types de médias précis. Les disques NVMe ont leurs propres commandes de sanitisation. Les SSD SATA aussi. Le stockage embarqué est traité séparément. L'époque du "une méthode pour tout" est terminée.

Commandes supportées par le fabricant. La norme met l'accent sur l'utilisation des commandes de sanitisation propres au dispositif de stockage plutôt que sur des méthodes d'écrasement logiciel. Pour les disques NVMe, cela signifie utiliser Format NVM ou Sanitize plutôt que d'écrire des zéros. C'est important parce que les méthodes logicielles peuvent manquer des zones over-provisioned que le firmware du disque connaît mais que le système hôte ne voit pas.

Résultats durables. IEEE 2883 encourage explicitement le réemploi et le recyclage quand ils sont compatibles avec les exigences de sécurité. Destroy est le dernier recours, pas le défaut. Cela s'aligne avec la poussée de l'économie circulaire dans l'ITAD et signifie que des appareils correctement purgés peuvent revenir sur le marché en confiance.

Ce que cela signifie pour votre processus

Si votre processus de sanitisation ressemble à "lancer le logiciel d'effacement, cocher la case, passer à la suite", vous avez des écarts. Pas forcément énormes. Mais du genre qui apparaissent en audit et coûtent du temps à corriger.

Commencez par les bases. Pouvez-vous répondre à ces questions pour chaque appareil contenant des données que vous traitez ?

Quelle méthode de sanitisation a été utilisée ? Était-elle adaptée au type de média ? Le résultat a-t-il été vérifié indépendamment ? Cette vérification est-elle documentée ? Pouvez-vous la tracer par support de stockage, pas seulement par machine ? Le processus est-il documenté et auditable ? La personne qui l'a exécuté est-elle formée et autorisée ?

Si vous avez répondu "oui" à toutes avec confiance, vous êtes en avance. Si vous avez répondu "probablement" ou "je pense" à l'une d'elles, la révision 2025 vient de placer la barre exactement là où votre processus actuel présente des fissures.

NIST 800-88 a été mis à jour. IEEE 2883 existe. Les normes rattrapent la technologie. La question est de savoir si votre processus rattrape les normes. Parce que votre auditeur lit certainement la nouvelle révision. Probablement depuis sa publication. Et il a des questions.