Le RGPD et la cybersécurité rapportés aux systèmes d’impression
Découvrez dans cet article pourquoi les imprimantes sont des éléments vulnérables de vos réseaux informatiques, en quoi la législation du RGPD vous oblige à être attentif aux données collectées par vos imprimantes, et les bonnes pratiques à adopter pour affronter ces problématiques.
Cybersécurité des systèmes d’impression : des chiffres inquiétants
Plus que jamais, la cybercriminalité constitue une menace pour le système informatique des particuliers, mais également des entreprises. Début 2018, l’éditeur de logiciel de sécurité informatique McAfee, en association avec le Center for Strategic and International Studies, publiait des chiffres alarmants sur l’ampleur de la cybercriminalité sur l’économie mondiale.
L’activité des cybercriminels coûterait aux entreprises environ 600 milliards de dollars par an, soit 0,8 % du PIB mondial. Ce chiffre est en augmentation de presque 35 % par rapport à 2014. Le CSIS estime que 25 % du coût global de la cybercriminalité est constitué par le vol de compte de propriété intellectuelle, ainsi que d’informations commerciales classées confidentielles.
La cybersécurité devrait donc être une priorité absolue de toutes les entreprises. Or, s’il y a bien un périphérique qui est souvent sous-estimé dans le domaine de la sécurité des données, c’est l’imprimante. Selon HP, en 2018, seulement 30 % des décideurs estiment que les imprimantes présentent une forte vulnérabilité à une action malveillante de potentiels hackers. Or, en 2017, 27 % des organisations auraient connu une alerte de sécurité provenant d’une imprimante.
En outre, avec le récent ajout du RGPD en droit français, le transfert de données passant par le parc d’impression nécessite la mise en œuvre de nouvelles mesures de sécurité, qui sont là encore parfois remisées au second plan.
Le parc d’impression, cible de choix de la cybercriminalité
Si les DSI ou le RSSI s’imaginent souvent que leur parc l’imprimante n’a pas de raison d’être victime d’un acte malveillant, l’expérience prouve que c’est un tort.
En 2017, une vaste opération de piratage d’imprimante met un coup de projecteur sur la nécessité de sécuriser également ce type de périphérique.
Un jeune hacker britannique, se faisant appeler Stackoverflowin, pirate alors plus de 150 000 imprimantes, générant notamment des tickets de caisse. Il est capable de réaliser à distance ses propres impressions, et d’y inscrire ce qu’il veut. Si ce lycéen annonce ne pas avoir eu d’intentions malveillantes, mais seulement celle d’alerter sur le manque de protection des imprimantes connectées, d’autres cas sont beaucoup moins sympathiques. Ainsi, de célèbres universités américaines comme Vanderbilt, Stanford ou Berkeley ont vu leurs imprimantes piratées pour imprimer des tracts antisémites…
L’imprimante n’échappe donc pas aux hackers. Au contraire, elle représente même une cible de choix pour ceux-ci. Et cela pour plusieurs raisons. Actuellement, la plupart des imprimantes modernes sont connectées en Wifi à internet, et cette interconnexion est activée par défaut. Cela n’est, d’une part, pas automatiquement nécessaire, et d’autre part, cela ouvre la possibilité de se connecter très facilement au réseau Wifi de l’entreprise, pour ensuite dérober facilement des informations sensibles.
En outre, l’imprimante dispose d’un disque dur contenant certaines données très prisées des pirates. Et ce disque dur est souvent moins bien protégé que ceux des ordinateurs du réseau, qui bénéficient de plus d’attention. En effet, plusieurs facteurs rendent l’accès aux imprimantes et à leurs données plus facile que celui d’autres périphériques :
– Les imprimantes ne bénéficient souvent pas du pare-feu de l’entreprise ;
– Leurs fonctions de sécurité ne sont pas activées ;
– Elles ne possèdent simplement pas de paramètres de sécurité suffisamment poussés, notamment en matière de chiffrement des données sensibles ;
– Par négligence ou manque de connaissances, les entreprises n’installent pas les mises à niveau de sécurité nécessaire sur leur parc d’impression.
En clair, il est techniquement très facile de pirater une imprimante. L’expérience récente prouve que ce n’est pas une vue de l’esprit.
Les systèmes d’impression, points sensibles du RGPD
Peut-être vous demandez-vous quel pourrait bien être l’intérêt de pirater une imprimante. La raison en est simple : les imprimantes modernes, comme nous l’avons vu, sont équipées d’un disque dur, qui recèle un grand nombre d’informations, notamment des données à caractère personnel. En effet, elles gardent une trace de tous les documents imprimés ou scannés, dont les données relatives aux clients, comptes bancaires, comptabilité de l’entreprise…
Bref, beaucoup d’informations sensibles transitent par l’imprimante, ce qui en fait une cible privilégiée de piratage.
Et c’est là qu’intervient la directive européenne RGPD (règlement général sur la protection des données), en vigueur depuis mai 2018. Celle-ci impose plusieurs obligations légales aux entreprises, notamment sur le traitement des données, leur sécurité et leur confidentialité.
Le non-respect de cette directive constitue une infraction qui peut coûter cher aux entreprises, qui ont donc la nécessité de se mettre en conformité avec la loi. Or, ce n’est souvent pas fait dans le domaine de l’impression. Les entreprises doivent réaliser que les évolutions techniques des imprimantes impliquent un travail de mise en conformité spécifique, afin d’assurer la confidentialité des données.
Comment protéger vos données ?
Concluons sur une note moins alarmante, et parlons des moyens à la fois de protéger votre matériel, et de respecter le RGPD.
Considérations techniques
Si vous n’en n’avez pas le besoin, inutile de connecter votre imprimante en Wifi. Dans le cas contraire, considérez-la comme un périphérique tout aussi important de votre système informatique que les ordinateurs de bureau. Cela signifie que vous devez y installer des antivirus, et les inclure dans le champ de votre pare-feu.
Vous devez fermer le réseau Wifi aux appareils extérieurs, voire condamner les ports USB des imprimantes, dont les collaborateurs ne sont pas censés se servir. Vérifiez régulièrement que les paramètres de sécurité de vos imprimantes sont correctement réglés et mis à jour ; si vous n’avez pas les compétences requises, faites appel à un prestataire externe, qui vous garantira que votre matériel est toujours à la pointe des dernières mesures sécuritaires.
Lors de l’achat d’un nouveau matériel, songez à changer les mots de passe par défaut. Conjointement, bloquez l’accès au panneau de commande de l’imprimante à toutes les personnes non autorisées, qui n’ont pas à pouvoir rentrer dans les réglages profonds du périphérique.
Prise de conscience humaine
Enfin, concernant la confidentialité des données, soyez conscient que la première brèche est avant tout la légèreté humaine. Tenir informés les collaborateurs qu’imprimer un document n’est pas anodin pour la sécurité des données, et l’anonymat de ses informations, est déjà une étape importante du respect du RGPD. Imprimer des données sensibles ne doit être fait qu’en cas de réelle nécessité.
Vous pouvez également équiper votre imprimante multifonction d’un système de contrôle manuel pour la récupération des impressions. Ainsi, la personne doit physiquement s’authentifier (avec un badge par exemple) au moment de récupérer son document : sans ça, celui-ci n’est pas imprimé. Cette simple mesure évite que bien des documents sensibles se retrouvent dans la nature, car énormément d’impressions sont lancées sans jamais être récupérées à la sortie.