18 recommandations pour sécuriser l'impression
Vol de données, attaque informatique, atteinte à la réputation : un parc d'impression non sécurisé présente des risques. L'Agence européenne chargée de la sécurité des réseaux et de l'information a établi une liste de 18 points de contrôle.
La dématérialisation croissante des documents ne signifie pas la disparition en entreprises des périphériques d'impression. Et si la sécurité s'est beaucoup concentrée ces dernières années sur la protection des données disponibles sur le système d'information, notamment au travers des projets de déploiement du chiffrement, elle ne peut négliger la sécurité des impressions.
L'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) a d'ailleurs tenu récemment à rappeler aux entreprises les enjeux de sécurité en ce domaine. Si des disques durs mis au rebus l'ont déjà été en comportant toujours des informations sensibles, des documents papiers confidentiels finissent eux aussi parfois dans de simples poubelles.
Ce fut notamment le cas en 2008 de documents contenant les données salariales de 182 membres du personnel du NHS (National Health Service). La sécurisation de l'information doit en effet s'opérer de bout en bout.
"Certaines entreprises ont une stratégie de sécurité qui inclut les cinq piliers de la sécurité mais peu d'entre elles prennent en compte les informations liées aux impressions papier générées par le personnel via le réseau informatique. Dans une entreprise, et particulièrement lors de l'utilisation d'une imprimante en réseau, un nombre important d'impressions est chaque jour oublié ou n'est pas immédiatement récupéré sur l'imprimante concernée, posant ainsi un problème de confidentialité important", explique ainsi François Guestault, consultant solutions d'impression pour HP France.
L'imprimante elle-même peut être soumise à du contrôle d'accès
Les risques sont en effet multiples comme le souligne le rapport de l'ENISA. Le vol d'un document peut par exemple porter atteinte à la réputation de l'entreprise. L'agence européenne note également que les configurations d'accès administratifs tels que Telnet, SNMP, FTP et HTTP sont ouverts à la plupart des imprimantes, permettant entre autres aux pirates d'utiliser les appareils d'impression pour pénétrer le réseau, en changer la configuration, renifler les impressions et les relancer, etc.
Le contrôle d'accès peut donc notamment être mis en œuvre au niveau des imprimantes. Des solutions d'impressions permettent par exemple de stocker temporairement sur un serveur sécurisé un document. Pour obtenir l'élément sous sa forme papier, l'utilisateur devra préalablement s'identifier ou s'authentifier sur l'imprimante.
Comme pour l'ouverture d'une session sur un poste de travail, l'authentification par mot de passe n'offre qu'un niveau de sécurité réduit. Selon le niveau de risque, l'entreprise pourra donc envisager de recourir à des systèmes d'impression contrôlés par carte à puce, mot de passe unique, voire même par reconnaissance biométrique.
| Source : ENISA | |
| 1 | Définir une circulation et une gestion de documents (utilisateurs autorisés, rapport d'impression, procédures applicables, ...) |
| 2 | Garantir la sécurité physique des appareils d'impression (et pour cela, connaitre déjà précisément son parc) |
| 3 | Garantir la sécurité logique des appareils d'impression (réseau, entretien et aspects de sécurité d'accès) |
| 4 | Garantir la sécurité des données d'impression sur disque dur ou envoyées aux appareils d'impression |
| 5 | Vérifier à quel point l'environnement d'impression est résistant (SLA pour l'entretient/le remplacement des appareils d'impression) |
| 6 | Suivre les documents imprimés, photocopiés et numérisés pour télécopies ou courriel |
| 7 | Établir une circulation de rapports sur les impressions |
| 8 | Définir une politique ou des procédures d'entreprises pour maîtriser l'utilisation des appareils d'impression |
| 9 | Organiser une formation de sensibilisation |
| 10 | Établir une stratégie d'impression sécurisée ou inclure l'environnement d'impression dans la stratégie de sécurité globale de l'organisation |
| 11 | Obtenir le soutien et le financement appropriés de la direction |
| 12 | Définir des buts et des objectifs afin de pouvoir évaluer la stratégie |
| 13 | Définir des groupes d'objectifs (utilisateurs visés par cette stratégie) |
| 14 | Sélectionner une solution et définir des procédures |
| 15 | Développer un concept de communication |
| 16 | Définir des indicateurs pour mesurer le succès et les avantages d'une stratégie d'impression sécurisée |
| 17 | Evaluer l'évolution des indicateurs dans le temps |
| 18 | Tirer les leçons des expériences au travers de la réalisation d'audits |
"Il est aussi possible de contrôler l'utilisation d'imprimantes multifonctions à travers l'accès à leurs fonctionnalités. L'entreprise peut implémenter une politique de sécurité autorisant certains utilisateurs à se servir des fonctions "scan to e-mail ou scan to fax alors que d'autres collaborateurs ne pourront qu'imprimer ou copier des documents. Cette approche, très pragmatique, permet de contrôler le flot de documents imprimés et de définir des profils d'utilisateurs associés à chaque usage", précise François Guestault.
Toutefois, compte tenu du développement des débits et des technologies de communication, la sécurité des données doit être mise en œuvre dans le cadre d'une politique globale, comprenant notamment un volet impression. En effet, si un document confidentiel ne doit pas pouvoir être imprimé par n'importe quel salarié, il est encore préférable que l'accès même à ce fichier soit défini par une politique de droits. Cela implique donc pour l'entreprise d'identifier son patrimoine informationnel et de s'engager dans un projet de catégorisation.
En matière de sécurisation de l'impression, l'ENISA a dressé une liste de contrôle de 18 points à l'attention des entreprises :