Pour sécuriser les imprimeurs, pensez processus, technologie et personnes
7 min readPour toutes les discussions et bonnes intentions du bureau sans papier, impression reste un élément de la vie quotidienne. Il semble probable – dans un avenir prévisible au moins – qu’il y aura toujours des besoins commerciaux pour les documents papier et numérisés, ce qui rend imprimantes multifonctions (MFP) essentiels à la plupart des organisations.
Mais bien que les ramifications environnementales de l’impression soient bien définies, les risques de sécurité font beaucoup moins souvent partie de la conversation.
Dans une certaine mesure, résoudre le problème est aussi simple que d’appliquer les bons principes génériques de traitement des documents de manière sûre et sécurisée, comme s’assurer qu’ils ne sont pas laissés de côté après l’impression, par exemple.
Cependant, étant donné que les imprimantes sont essentiellement une série d’actifs informatiques connectés au réseau d’entreprise – avec de grandes quantités de données souvent sensibles qui les traversent – elles doivent être considérées comme un autre point de terminaison vulnérable de l’infrastructure informatique. Et cette vulnérabilité est exacerbée par la brancher et utiliser la nature de nombreux MFP, ce qui signifie qu’ils nécessitent très peu de configuration et peuvent être insérés n’importe où sur le réseau. Du côté physique, ils se trouvent généralement dans des emplacements facilement accessibles dans l’entreprise, avec des implications évidentes.
Minimiser les risques posés par les imprimantes à des niveaux acceptables exige qu’une organisation élabore une stratégie axée sur les processus, la technologie et les personnes.
Processus de vérification
La première étape consiste à évaluer pleinement les besoins de l’entreprise. Pourquoi les gens ont-ils besoin d’imprimer des documents ? Lesquels doivent-ils imprimer ? À quels risques cela expose-t-il l’organisation ?
Cette compréhension permet de développer les différents scénarios susceptibles de se produire et, par la suite, un processus construit pour sécuriser le cycle de vie d’impression du document.
Les équipes de cybersécurité et de sécurité physique ou d’entreprise devront se réunir pour s’assurer que tout est pris en compte et que les deux entités ont la capacité et la capacité de prendre en charge et d’auditer les processus qui sont développés.
Lorsque les informations numériques se déplacent vers le domaine physique, le manque de clarté quant à savoir qui est responsable des problèmes qui surviennent peut entraîner des règles contradictoires de la part de chaque équipe et, en fin de compte, des pratiques qui ne correspondent pas à l’appétit pour le risque de l’organisation.
En plus de refléter l’appétit pour le risque de l’entreprise, le niveau du processus doit considérer que l’introduction de trop de contrôles pourrait finalement compromettre les opérations en les rendant trop onéreuses.
S’attaquer à la technologie
Comme tout autre point de terminaison sur le réseau, les imprimantes doivent être configurées et sécurisées correctement pour que les utilisateurs disposent de la technologie dont ils ont besoin pour faire leur travail sans encourir de risque. Comme pour l’étape du processus, les mesures exactes prises dépendront de l’appétit pour le risque de l’entreprise, mais les contrôles de sécurité suivants devraient figurer en bonne place sur la liste des considérations :
- Enregistrez chaque imprimante dans le registre des actifs et Base de données de gestion de configuration (CMDB).
- Incluez les imprimantes dans le processus de gestion des correctifs et des vulnérabilités.
- Utilisez des outils de détection et de réponse des terminaux pour surveiller les imprimantes et intégrez-les à la capacité de surveillance globale afin que les indicateurs de compromission (IoC) soient signalés et que les données pertinentes soient examinées par des analystes pour déterminer les implications sur le réseau d’entreprise au sens large. Cryptez les travaux d’impression et de numérisation lorsqu’ils se déplacent sur le réseau et sont au repos sur l’imprimante elle-même, le niveau de cryptage étant déterminé par la classification des données transmises.
- Appliquer des règles uniformes sur tous les actifs informatiques ; si les périphériques USB ne peuvent pas être connectés à d’autres périphériques d’extrémité, par exemple, cela s’applique également aux imprimantes.
- Utilisez un type et un modèle d’imprimante dans toute l’organisation pour permettre la définition d’une norme de renforcement de la sécurité.
- Adaptez la sécurité physique de chaque imprimante à son emplacement et à qui l’utilise.
- Restreindre l’utilisation d’imprimantes non standard ; seules les RH devraient pouvoir imprimer les chèques de paie par exemple, tandis que les imprimantes chargées de papier à en-tête de l’entreprise devraient être accessibles aux gestionnaires et à personne d’autre.
- Placez tous les périphériques d’impression sur un réseau local virtuel (VLAN) pour s’assurer qu’ils sont câblés dans le réseau ; les données d’impression sont séparées du trafic Internet public et privé, et seuls les appareils ayant accès au VLAN spécifique peuvent utiliser les imprimantes.
- Disposer de processus (et d’équipements) clairs pour l’élimination des documents papier.
- Liez les actions d’impression aux propriétés du document ; ceux classés confidentiels ou supérieurs, par exemple, ne peuvent pas être imprimés.
- Adoptez l’impression FollowMe, qui permet une file d’attente d’impression partagée où les travaux individuels ne peuvent être consultés et libérés que via l’authentification de l’utilisateur avec un jeton ou un code d’accès (ou les deux si une authentification à deux facteurs est nécessaire). La technologie peut aider les utilisateurs à s’aider eux-mêmes (et, en fin de compte, la sécurité de l’organisation).
- Désactivez la fonctionnalité MFP et les services qui ne sont pas requis. La capacité de télécopie peut être utilisée sur un site, par exemple, mais être redondante ailleurs dans l’entreprise, alors que toutes les imprimantes n’auront pas besoin d’une interface Web ou d’une connexion sans fil (en particulier, les connexions sans fil qui permettent à n’importe qui de se connecter et d’imprimer doivent être mises sous les projecteurs).
- Incluez les documents numérisés, qui peuvent contenir des informations personnelles identifiables (PII) sensibles telles que les détails du passeport, dans le processus de traitement des documents. Les directives doivent indiquer où elles sont stockées, qui y a accès et si elles doivent être cryptées si elles sont envoyées par courrier électronique.
Formation de la main-d’œuvre
Comme pour la plupart des éléments de la cybersécurité, une main-d’œuvre bien formée et une culture de sécurité constructive peut limiter une grande partie de l’exposition d’une organisation aux risques liés à l’impression.
En termes d’éducation, les processus doivent être expliqués et compris dans toute l’organisation ; ils doivent également être renforcés au fil du temps pour vérifier que le rappel des utilisateurs est exact et que les versions les plus récentes des processus sont suivies.
Une grande partie de cela est simple, comme apprendre aux gens à gérer correctement les impressions et pourquoi c’est important – qu’il s’agisse de s’assurer qu’ils ont récupéré les documents de l’imprimante, ou d’avoir une poubelle/une déchiqueteuse confidentielle près de l’imprimante et d’éduquer les gens à l’utiliser. De même, si des mots de passe sont utilisés pour protéger des documents classifiés contre l’impression sans surveillance, les mots de passe doivent être forts.
À plus long terme, il est essentiel de développer une culture dans laquelle chacun incarne de bons comportements de sécurité, suit les processus de sécurité plutôt que de les contourner, et signale tout écart de processus dès qu’il est identifié afin qu’une enquête et une correction puissent avoir lieu.
Le renforcement positif est une technique utile ; il devrait encourager les gens à s’éloigner de l’idée souvent répandue selon laquelle la sécurité est un obstacle à l’accomplissement de leur travail, et se concentrer plutôt sur la compréhension de l’importance de leur rôle dans de bonnes opérations de sécurité. Des histoires réelles des implications si les processus échouent ou ne sont pas suivis peuvent être utiles, à condition qu’elles soient pertinentes et réalistes afin qu’elles ne soient pas perçues comme alarmistes.
Le bureau post-pandémie
le Le climat de Covid-19 a posé des questions qui chevauchent les trois éléments du triangle processus, technologie et personnes. Comment les employeurs peuvent-ils fournir à leurs équipes le processus et la technologie pour imprimer en toute sécurité à la maison, et s’assurer que les utilisateurs suivent les comportements de sécurité requis (en veillant à ce que le matériel confidentiel imprimé à la maison ne soit pas utilisé par inadvertance par d’autres membres du ménage, par exemple) ?
Le personnel peut-il se connecter aux imprimantes locales qu’il a lui-même achetées, une démarche qui peut ouvrir le réseau de l’entreprise à de grands risques supplémentaires ? Les gens peuvent-ils détruire des documents à l’aide de destructeurs domestiques ?
Même lorsque des stratégies de sécurité d’impression sont en place, nombre d’entre elles ont été développées avant la pandémie et sont donc prêtes à être revues. Ces questions, ainsi que divers autres facteurs, sont utiles à prendre en compte, en particulier compte tenu du fait que les lieux de travail sont potentiellement modifiés à jamais, car le nombre de personnes travaillant à domicile au moins une partie du temps semble susceptible de rester important.
La sécurité des imprimantes peut ne pas traverser l’esprit de nombreuses personnes au départ, mais elle est un élément clé du traitement des données et doit donc être traitée avec le même soin et la même attention que les autres actifs informatiques.