18 recommandations pour sécuriser l'impression

La dématérialisation croissante des documents ne signifie pas la disparition en entreprises des périphériques d'impression. Et si la sécurité s'est beaucoup concentrée ces dernières années sur la protection des données disponibles sur le système d'information, notamment au travers des projets de déploiement du chiffrement, elle ne peut négliger la sécurité des impressions.

L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a d'ailleurs tenu récemment à rappeler aux entreprises les enjeux de sécurité en ce domaine. Si des disques durs mis au rebus l'ont déjà été en comportant toujours des informations sensibles, des documents papiers confidentiels finissent eux aussi parfois dans de simples poubelles.

Ce fut notamment le cas en 2008 de documents contenant les données salariales de 182 membres du personnel du NHS (National Health Service). La sécurisation de l'information doit en effet s'opérer de bout en bout.

"Certaines entreprises ont une stratégie de sécurité qui inclut les cinq piliers de la sécurité mais peu d'entre elles prennent en compte les informations liées aux impressions papier générées par le personnel via le réseau informatique. Dans une entreprise, et particulièrement lors de l'utilisation d'une imprimante en réseau, un nombre important d'impressions est chaque jour oublié ou n'est pas immédiatement récupéré sur l'imprimante concernée, posant ainsi un problème de confidentialité important", explique ainsi François Guestault, consultant solutions d'impression pour HP France.

Les risques sont en effet multiples comme le souligne le rapport de l'ENISA. Le vol d'un document peut par exemple porter atteinte à la réputation de l'entreprise. L'agence européenne note également que les configurations d'accès administratifs tels que Telnet, SNMP, FTP et HTTP sont ouverts à la plupart des imprimantes, permettant entre autres aux pirates d'utiliser les appareils d'impression pour pénétrer le réseau, en changer la configuration, renifler les impressions et les relancer, etc.

Le contrôle d'accès peut donc notamment être mis en œuvre au niveau des imprimantes. Des solutions d'impressions permettent par exemple de stocker temporairement sur un serveur sécurisé un document. Pour obtenir l'élément sous sa forme papier, l'utilisateur devra préalablement s'identifier ou s'authentifier sur l'imprimante.

Comme pour l'ouverture d'une session sur un poste de travail, l'authentification par mot de passe n'offre qu'un niveau de sécurité réduit. Selon le niveau de risque, l'entreprise pourra donc envisager de recourir à des systèmes d'impression contrôlés par carte à puce, mot de passe unique, voire même par reconnaissance biométrique.

"Il est aussi possible de contrôler l'utilisation d'imprimantes multifonctions à travers l'accès à leurs fonctionnalités. L'entreprise peut implémenter une politique de sécurité autorisant certains utilisateurs à se servir des fonctions "scan to e-mail ou scan to fax alors que d'autres collaborateurs ne pourront qu'imprimer ou copier des documents. Cette approche, très pragmatique, permet de contrôler le flot de documents imprimés et de définir des profils d'utilisateurs associés à chaque usage", précise François Guestault.

Toutefois, compte tenu du développement des débits et des technologies de communication, la sécurité des données doit être mise en œuvre dans le cadre d'une politique globale, comprenant notamment un volet impression. En effet, si un document confidentiel ne doit pas pouvoir être imprimé par n'importe quel salarié, il est encore préférable que l'accès même à ce fichier soit défini par une politique de droits. Cela implique donc pour l'entreprise d'identifier son patrimoine informationnel et de s'engager dans un projet de catégorisation.

En matière de sécurisation de l'impression, l'ENISA a dressé une liste de contrôle de 18 points à l'attention des entreprises :