Et les imprimantes ? C’est la question que ne doivent plus oublier de se poser les responsables de la sécurité informatique des entreprises. Alors que les fuites de donnée coûtent en moyenne 4,72M€ par an aux entreprises françaises, d’après une étude réalisée par Ponemon, Pedro Da Gloria, responsable du marketing produit pour les solutions d’impression HP Inc, note que les imprimantes restent le parent pauvre de la sécurité informatique. « Si les entreprises pensent depuis longtemps à sécuriser les ordinateurs, les routeurs et les serveurs, c’est moins vrai pour les imprimantes qui ont longtemps été considérées comme des solutions qui ne relevaient pas de l’IT. Aujourd’hui, elles sont pourtant connectées à internet et voient circuler des données plus ou moins critiques, au même titre qu’un autre composant du SI », explique Pedro Da Gloria.
Et les cas de compromission existent comme le montre la mini-série « The Wolf » créée par HP. Bien que romancée, elle n’a pas grand-chose de fictif. Il y a des compromissions anodines et même plutôt drôles comme l’installation du jeu vidéo Doom sur un MFP. Il y a aussi des cas plus graves comme quand, chez un constructeur automobile, des documents concernant un possible plan de réduction des coûts atterrissent sur le matériel d’une personne qui n’était pas censée les lire. Dans une autre entreprise, ce sont toutes les adresses IP qui ont été siphonnées depuis une imprimante non sécurisée. Et que dire des milliers de systèmes d’impression qui servent chaque année de vecteurs pour les attaques DDoS ?
Protéger aussi bien le hardware que le software
« Nous avons aujourd’hui des solutions qui permettent d’éviter ces problèmes », argue Pedro Da Gloria. Les imprimantes HP bénéficient aujourd’hui d’outils de sécurité intégrés qui agissent à plusieurs niveaux. « D’abord, il y a la sécurité du matériel et de son logiciel en lui-même. Toutes nos machines sont équipées de la solution SureStart qui est aussi utilisée sur les PC », déclare le dirigeant. A chaque allumage, cet outil contrôle le firmware et vérifie qu’aucun code malveillant n'ait été injecté. Le cas échéant, il restaure le Bios depuis un snapshot hébergé directement dans la mémoire cache du processeur. Autre élément pour la protection du matériel, les logiciels qui peuvent être installés sur les imprimantes sont « whitelistés ». « Les administrateurs choisissent quelles applications ont l’autorisation être installées à travers une liste fournie par HP. Il est impossible d’installer un logiciel qui n’y figure pas », explique Pedro Da Gloria.
Pour récupérer une impression, une authentification par badge ou par code PIN peut être exigée
Pour la sécurité des données, HP avance aussi plusieurs solutions. La première, et pas des moindres, apporte un chiffrement de l’ensemble des informations transitant par et vers les imprimantes. « Pour une impression, les données sont chiffrées directement par le driver dès la sortie de l’ordinateur. Il en va de même pour une numérisation. Ainsi, aucune information non-chiffrée ne transite par le réseau », précise Pedro Da Gloria. Il en va de même des disques-durs des matériels concernés. A noter aussi que les administrateurs peuvent déterminer le temps de conservation des documents stockés sur les imprimantes. Ensuite, il est possible d’exiger un code PIN ou un badge pour délivrer l’impression et éviter que celle-ci soit récupérée par une personne à qui elle n’était pas destinée, voir malveillante.
Les données toujours aussi sensibles
Voilà donc pour la protection des équipements et de leurs données. Mais aujourd’hui, la sécurité ne peut plus se restreindre aux simples points d’accès. Elle doit s’inscrire dans une politique globale et coordonnée. A cette fin, HP propose sa solution JetAdvantage Security Manager. Elle permet de centraliser la définition et la gestion de la sécurité à travers l’ensemble du parc d’impression mais aussi des terminaux extérieurs qui viendraient s’y connecter. « Il faut aujourd’hui donner aux administrateurs les capacités d’appliquer aux imprimantes les mêmes règles de sécurité qu’au reste du SI. Ils ne peuvent le faire sans une solution de monitoring et de gestion centralisée », conclut Pedro Da Gloria.