Pour bien prendre conscience du risque lié aux imprimantes et à leurs failles de sécurité, il est nécessaire d’identifier les intrusions possibles et leur impact. Une imprimante non ou mal sécurisée permet par exemple à un pirate d’atteindre le réseau même de l’entreprise. En face, l’entreprise doit regarder les solutions possibles. Et aller vers des fonctions de sécurité intégrées. Mais, elle n’a pas dans ses gènes l’habitude de sécuriser son parc d’imprimantes.

Toujours selon l’enquête de Spiceworks, les trois quarts des personnes interrogée (sur trois cents), utilisent une sécurité réseau. Elles ne sont que 41% à utiliser une sécurité sur leurs imprimantes. C’est 83% pour la sécurité du réseau (gestion et contrôle des accès, protection des données, sécurité des points d’accès) sur les ordinateurs de bureau et 55% sur les terminaux mobiles.  L’écart le plus édifiant concerne un point particulier celui de la sécurité des accès. Les certificats de sécurité sont déployés à 79% sur les points d’accès des ordinateurs de bureau, c’est 54% pour les ordinateurs portables, on tombe à 28% pour les imprimantes. 

Le parent pauvre

Dans le détail, l’étude constate des pratiques de sécurité des imprimantes, très hétérogènes. L’authentification des utilisateurs est pratiquée par 41% des entreprises, l’utilisation d’un mot de passe administratif (pour la configuration de l’interface web) par 39% d’entre elles, la restriction de fonctions de l’imprimante par 35%. Les mots de passe administratifs pour SNMP sont utilisés par 34% des responsables d’entreprise interrogés. Clou de l’étude, la gestion des politiques de sécurité n’est pratiquée pour les imprimantes que par 32% des membres du panel !

Comme toute question de sécurité, celle des imprimantes demande une vision claire pour les responsables du parc de l’entreprise. Or, toujours selon l’étude de Spiceworks, 90% des organisations (entreprises privées ou publiques et administrations) ont une stratégie de sécurité des informations (inquiétant pour les 10% restants) mais elle ne s’étend pas aux imprimantes. Sur un point particulier, celui des logiciels malveillants, 57% des responsables interrogés ont une protection adaptée pour les ordinateurs de bureau, mais 17% seulement pour les imprimantes.

Pire que le routeur

Cet écart est vraiment le fil rouge de l’étude. Et l’ignorance des imprimantes dans la gestion de la sécurité des entreprises devient un fléau. « Le routeur n’est plus le pire périphérique sur Internet. C’est désormais l’imprimante », martèle Bogdan Botezatu, analyste chez Bitdefender. Une seule imprimante non sécurisée peut rendre l’ensemble des appareils connectés en réseau de l’entreprise, pas seulement le parc d’imprimantes, vulnérables. A l’évidence, les imprimantes multifonctions s’avèrent encore plus vulnérables.

La solution réside dans les fonctions de sécurité intégrées des imprimantes. Tout achat d’imprimantes doit prendre ce critère en compte… et impliquer lors de l’installation l’activation de ces fonctionnalités particulières. Elles se composent principalement de cinq parties : la détection automatique des attaques, le suivi de l’utilisation (et donc des utilisations non autorisées), les options d’identification simples (codes PIN ou cartes à puce), la présence d’un lecteur de cartes pour l’authentification (à partir du panneau de l’imprimante), l’impression cryptée et sécurisée pour les documents les plus sensibles.