Non, ce n'est pas anodin de réemployer des ordinateurs précédemment utilisés ou d'en céder, rappelle l'Agence nationale de la sécurité des systèmes d'information (Anssi) dans un guide qui s'adresse aux administrations. Celles-ci sont tenues par la loi du 10 février 2020 relative à la lutte contre le gaspillage et à l'économie circulaire d'acquérir des biens issus du réemploi, de la réutilisation de matériel ou comportant des matières recyclées. Les proportions d'ordinateurs portables et fixes doivent ainsi être réemployés à 20%.
Une exception liée à la sécurité nationale
La loi prévoit une exception à ces obligations "en cas de contrainte opérationnelle liée à la défense nationale". En effet, le recours au reconditionné ne doit pas avoir pour effet d'affaiblir le niveau de sécurité du système d'information de l'administration. Par ailleurs, l'utilisation de matériels reconditionnés pour traiter des données classifiées de défense "secret, très secret" est interdite.
Le gendarme français rappelle la nécessité d'être particulièrement attentif car "l'historique des possesseurs ou des éventuelles compromissions passées de ces différents matériels ne sont pas connus". Il ajoute "qu'il est important de garder à l'esprit que certaines techniques d'attaques avancées permettent à des implants de persister sur les machines après la réinstallation du système d'exploitation". Or, le processus de reconditionnement classique ne permet pas de détecter l'ensemble des attaques possibles.
Le reconditionné pour les usages les moins risqués
Ainsi, il est recommandé aux administrations d'utiliser les ordinateurs reconditionnés pour "les cas d'usage les moins risqués", par exemple les projets de moindre sensibilité, les usages dédiés à la formation ainsi que le matériel de prêt. En pratique, le guide recommande aux administrations de mener une analyse des risques pour élaborer une "stratégie de l'entité sur l'acquisition et le déploiement d'ordinateurs reconditionnés". Il invite également à réduire le nombre de modèles différents déployés dans le parc informatique ; l'hétérogénéité étant une source de risques. "Des machines ayant le même rôle et les mêmes exigences de configuration devraient être du même modèle", écrit-il.
Avant d'être intégré dans le parc, l'entité doit exiger de la part du reconditionneur que le matériel soit sous garantie, qu'il soit compatible aux versions à jour des firmwares et des systèmes d'exploitation. Le matériel doit être scrupuleusement inspecté : les supports de type carte SIM ou mémoire externe doivent être retirés. Une fois reçus, les disques durs ou SSD des ordinateurs doivent être formatés ainsi que le chiffrement de l'intégralité des disques dès l'installation du système d'exploitation.
Les dangers de la cession de matériel utilisé
Le guide aborde aussi les risques liés à la cession de matériel par les agents de l'Etat : la fuite d'information, la compromission par un tiers ainsi que la diffusion de code malveillant. Pour réduire ces risques, le guide conseille de rendre les données inaccessibles en chiffrant les disques en amont, ce qui permet d'effectuer "un effacement cryptographique dit 'par perte de clé'". Aussi, les administrations devront s'assurer de la traçabilité des ordinateurs destinés à être cédés et révoquer leurs droits sur les systèmes d'information. Par ailleurs, les autocollants, QR codes, codes barre, et autres signes distinctifs présents sur l’ordinateur et ses accessoires doivent être retirés.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
