Les imprimantes ne peuvent pas être un « add-on » dans votre cyberstratégie
7 min readAlors que le monde est en pleine numérisation, l’une des choses qui a accéléré cette transformation numérique mondiale est la pandémie de Covid-19 – en particulier, l’accélération s’est produite en raison du volume d’individus qui soudainement a dû commencer à travailler à distance.
Les stratégies de travail de nombreuses organisations sont passées de l’exigence d’être dans un emplacement central ou dans un bureau spécifique à la prise en charge du travail à distance à long terme. De plus en plus de technologies permettant le travail à distance sont également plus facilement adoptées, telles que les offres cloud.
Bien qu’il existe une variété de raisons pour adopter des technologies nouvelles et émergentes telles que l’amélioration de la cybersécurité, il peut y avoir des obstacles à l’adoption de technologies émergentes, comme détaillé dans le document de l’ISACA. Rapport 2021 sur les technologies émergentes.
Dans le même temps, il existe désormais encore plus de périphériques d’impression connectés, notamment périphériques d’impression multifonctions (MFP) en conséquence. Ce qui est préoccupant, c’est que l’impression continue d’être insuffisamment traitée en ce qui concerne la cybersécurité. Alors, qu’est-ce qu’une stratégie de cybersécurité de l’impression doit prendre en compte ?
Premièrement, la stratégie de cybersécurité de l’impression ne doit pas être distincte de la stratégie de cybersécurité de l’organisation, le travail à distance ne faisant qu’étendre le paramètre de cybersécurité de l’organisation. Cela signifie éduquer l’organisation à se rappeler que chaque décision d’approvisionnement est une décision de cybersécurité et que la cybersécurité est le rôle et la responsabilité de chacun. Ce n’est pas seulement sur l’épaule du RSSI et de l’organisation du RSSI.
Cela signifie qu’une partie de la stratégie de l’organisation doit inclure de s’assurer que les périphériques d’impression – comme tout autre périphérique intelligent et programmable connecté au réseau – sont entièrement contrôlés et approuvés pour être achetés avant de le faire.
Ayez des politiques qui décrivent que les appareils, y compris les appareils d’impression à des fins commerciales, doivent être achetés de manière centralisée et assurez-vous que les appareils sont comptabilisés, y compris en détaillant l’objectif commercial, qui y a accès et ce qui se passera sur l’appareil.
Savoir quel type de données sont transmises et traitées sur les appareils – nous devons savoir ce qui se trouve dans nos environnements et ce qui se passe dans nos environnements pour pouvoir gérer correctement. Pour ce faire, après avoir vérifié et acheté les appareils, assurez-vous que les appareils sont inclus dans le cadre global de cybersécurité et que les meilleures pratiques et normes de cybersécurité sont appliquées aux appareils d’impression.
Cela signifie appliquer des procédures de gestion des actifs et s’assurer que les appareils sont enregistrés dans les base de données de gestion de configuration (CMDB) ou un type similaire de système d’enregistrement. Assurez-vous que la propriété est notée, y compris l’emplacement et le but, car cela vous permet de savoir ce qui se trouve dans l’environnement de l’organisation pour aider à gérer.
Assurez-vous que les appareils sont configurés pour répondre aux meilleures pratiques et normes de cybersécurité – un appareil d’impression peut avoir plus de 250 paramètres de sécurité, mais cela ne signifie rien s’ils ne sont pas correctement configurés.
Appliquer les meilleures pratiques et normes de sécurité des données et des documents aux périphériques d’impression. Ceci est systématiquement négligé, et si une organisation doit se conformer à la loi HIPAA (Health Insurance Portability and Accountability Act) ou au Règlement général sur la protection des données (RGPD), par exemple, l’impression est souvent dans le champ d’application, bien qu’elle ne soit pas traitée et gérée de manière adéquate avec ceux-ci. conditions.
De plus, adoptez des modèles qui incluent la confiance zéro, la cyberhygiène, la segmentation, l’identification des appareils et les certificats d’appareils, etc., pour mettre en évidence la confiance zéro et garantir qu’un appareil peut être considéré comme étant sur le réseau.
L’appareil doit être authentifié, ainsi que la personne utilisant l’appareil, car l’appareil et l’identité d’un utilisateur doivent être authentifiés et autorisés à accéder au réseau et à lier cela à la confiance zéro.
Cela inclut l’application des meilleures pratiques et normes d’accès logique au périphérique d’impression – dans de nombreux cas, les périphériques sont achetés et installés, et tout le monde peut se connecter aux périphériques, ce qui signifie que nous ne savons pas ce que le personnel fait sur les périphériques et qu’il n’y a aucune responsabilité , et souvent une traçabilité nulle, lorsqu’un événement de sécurité se produit. Cela crée un vecteur pour les adversaires d’infiltrer les organisations.
De plus, les individus peuvent enregistrer des données sur des clés USB sur le périphérique d’impression, alors qu’ils ne pourraient autrement pas le faire avec un autre périphérique de l’organisation. Le but est d’amener tout le monde à penser aux périphériques d’impression comme à tout autre périphérique informatique.
La gouvernance de la cybersécurité de l’organisation, qui comprend des politiques clés, doit être appliquée à l’ensemble de l’environnement d’impression de bout en bout. Cela inclut les serveurs, les bases de données, les outils de gestion du parc d’impression, etc. De plus, la stratégie, les processus et les procédures d’application de correctifs et de protection des terminaux s’appliquent à l’impression.
Par conséquent, les périphériques d’impression, comme tout autre point de terminaison, ont besoin de protections de cybersécurité en place et doivent faire partie des processus et procédures de correction. Les périphériques d’impression doivent avoir des capacités de journalisation de la cybersécurité, et ces capacités doivent être activées. Les journaux doivent être introduits dans le SIEM pour être surveillés en cas de comportement anormal, de vulnérabilités, etc.
L’environnement d’impression et les périphériques d’impression doivent également être inclus dans les stratégies de cycle de vie du système de l’organisation, car toutes les technologies finissent par devenir héritées et doivent être retirées. Idéalement, nous devrions obtenir une attestation de destruction pour garantir que la technologie n’est plus utilisée nulle part dans l’organisation afin de réduire le risque de cybersécurité. Des événements récents tels que l’incident de sécurité de SolarWinds rendre tous ces points cruciaux à prendre en compte dans la stratégie d’impression/stratégie de cybersécurité.
Le 12 mai 2021, Le décret de la Maison Blanche sur l’amélioration de la cybersécurité aux États-Unis a été signé. Pour amener certains des points ci-dessus à la maison, le décret exécutif de la Maison Blanche appelle la détection et la réponse des points de terminaison (EDR) en tant que composant essentiel de l’infrastructure informatique. Le décret renforce l’importance des normes de cybersécurité dans l’approvisionnement, l’utilisation et la gestion des appareils.
Par conséquent, mettez tous les fournisseurs d’appareils terminaux, y compris l’impression, au défi de s’assurer qu’ils disposent de technologies qui rendent les appareils facilement détectables et identifiables sur le réseau respectif, et qu’ils ont la capacité de remplir les éléments mentionnés ci-dessus, ce qui produire des renseignements exploitables pour permettre la capacité de répondre aux comportements anormaux, aux vulnérabilités, aux événements de cybersécurité, etc.
Même si l’organisation a la meilleure stratégie de cybersécurité et fait un travail fantastique, y compris l’impression, nous avons besoin d’un personnel bien qualifié et diversifié pour savoir comment exécuter la stratégie et nous aider à bien faire le travail de cybersécurité.
L’un de nos défis en matière de cybersécurité continue d’être le manque de personnel, de budget et de personnel qualifié, selon l’ISACA Rapport sur l’état de la cybersécurité 2021. Les responsables du recrutement ont du mal à trouver du personnel qualifié en matière de cybersécurité, alors que pouvons-nous faire à ce sujet ? Donnez au personnel le temps de se former et de se former, et offrez une sensibilisation communautaire pour sensibiliser les communautés aux incroyables opportunités de la cybersécurité.
Une fois que le personnel qualifié en matière de cybersécurité est embauché, prévoyez du temps pour la formation continue, car la cybersécurité est un domaine à multiples facettes et multidisciplinaire qui est en constante évolution et qui exige que les individus continuent d’apprendre à se tenir au courant des changements sur le paysage des menaces.
Les points ci-dessus ne sont pas exhaustifs en ce qui concerne une stratégie d’impression de cybersécurité, mais sont utiles à prendre en compte lorsque la stratégie est initialement abordée.
Les membres de l’ISACA Michael Howard et le Dr Kimberlee Ann Brannock sont respectivement conseiller en chef de la sécurité HP et responsable des pratiques de sécurité et d’analyse WW et conseiller principal en sécurité HP.