Assises de la Sécurité: le risque des périphériques multifonctions

Lors des Assises de la Sécurité Numérique, DSI et autres CSO sont venus confronter leurs expériences -bonnes et mauvaises. Et faire le point sur les meilleures stratégies capables de contrer efficacement l’insécurité. Les informations numériques revêtent désormais un caractère ô combien sensible. Le problème, c’est que cette numérisation à outrance entraîne, à côté des avantages qu’on lui connaît, un cortège de risques et de failles qui font la ‘Une’ des journaux de manière quasi-quotidienne. Il est toutefois des domaines digitaux dont on parle peu, et à tort, car ils prêtent moins le flanc aux ‘hackers’ ou autres menaces.

Bonne? ou mauvaise impression C’est notamment le cas des périphériques multifonctions qui permettent non seulement d’imprimer les documents transmis sur le réseau, mais aussi les fax, les scanners, et qui autorise aussi des procédures de numérisation réseau vers la messagerie d’entreprise ou vers le serveur de téléchargement de fichiers. Bref, ces nouvelles machines multifonction servent tout aussi bien à échanger, partager et diffuser des documents sur le réseau, que ce soit avec ou sans PC d’ailleurs ! Or, comme tout appareil connecté au réseau, ces périphériques multifonction deviennent eux aussi une cible potentielle pour pénétrer (ou sortir) dudit réseau. De fait, dès qu’un produit est connecté au réseau, il devient par là même une vulnérabilité potentielle. Les systèmes multifonction ne font pas exception à cette règle. C’est pourquoi la vigilance que l’on porte habituellement aux serveurs et aux stations de travail doit être étendue à ces matériels car ils ne sont nullement à l’abri d’une attaque virale ou d’une intrusion. C’est plus particulièrement le cas des modèles intégrant un modem/fax, lequel peut par exemple servir à quelque concurrent indélicat pour pénétrer le réseau et récupérer les dernières présentations sous PowerPoint. Fort heureusement, pour pallier ce problème une norme IEEE 1394 P2600 destinée à définir la sécurité des équipements documentaires et leurs usages est en train de voir le jour. Le champ d’application de cette norme couvre la sécurisation des éléments suivants : ? l’authentification utilisateur ? celle des applications ? la copie ? la transmission du travail d’impression ou du document numérisé ? la mise en attente des impressions ? la sécurité physique (réceptacles…) ? l’administration et la gestion de parc (droits d’accès, reporting…) Ce nouveau standard va permettre de définir les exigences en matière de sécurité requises des constructeurs et des éditeurs de logiciels lorsqu’il s’agit d’exploiter une imprimante, un copieur, un fax numérique, un périphérique de hardcopy ou tout autre appareil multifonction. On va donc bien plus loin que la simple authentification/autorisation concernant les données envoyées et le niveau de leur caractère privé au public, pour s’intéresser également à l’intégrité des données et à l’administration de ces dispositifs. De plus, la norme porte aussi sur la mise à disposition de checklists, de procédures et autres aides permettant d’implanter des plans de sécurisation de ces fonctions. Bien que très récente (la première réunion des IEEE date du premier trimestre 2004), cette approche préoccupe déjà plus d’un CSO. Idem pour les fabricants de matériels d’impression, lesquels planchent déjà sur ce sujet, à l’instar de Lexmark qui présentait ce jour une solution de sécurisation de ses appareils. Un tel souci est d’ailleurs parfaitement justifié, puisque, dans une entreprise il est bien connu que les fuites « d’intelligence » (au sens anglo-saxon du terme) passent en premier lieu non pas par le réseau mais par la photocopieuse. ( A suivre )