Image
Nathuatec MFP

Wir verwandeln Druckumgebungen in vertrauenswürdige Bereiche

Nous transformons les environnements d’impression en zones de confiance

Les environnements d’impression et de numérisation de documents doivent faire partie intégrante de la sécurité IT des entreprises. Didier Oppliger et David Theret, respectivement directeur et responsable IT Services et Solutions chez Faigle SA Suisse romande, décrivent les outils et bonnes pratiques permettant de protéger les données traitées par les serveurs et périphériques d’impression.

 

Pourquoi est-il important de sécuriser les environnements d’impression et de numérisation de documents ?

Didier Oppliger: Il y a de plus en plus de cybercriminalité et les entreprises doivent veiller à la sécurité de l'information face aux menaces que représentent les rançongiciels, chevaux de Troie, ou encore les pertes et fuite de données. Dans ce contexte, notre mission est de transformer les environnements d’impression et de numérisation en zones de confiance pour nos clients. Nous mettons en place des outils et bonnes pratiques qui permettent d’éviter les failles de sécurité et assurent la confidentialité des communications à plusieurs niveaux: les périphériques et serveurs, les flux d’impression, les sorties imprimées.

 

Pour quelles entreprises ou fonctions la demande en sécurisation des impressions est-elle la plus forte ?

Didier Oppliger: D’une manière générale, les besoins de sécurisation des travaux d’impressions et de numérisation s’observent le plus chez les entreprises qui traitent des données personnelles et sensibles. Je pense entre autres aux banques, aux hôpitaux et EMS. A l’interne, les ressources humaines et la R&D font partie des départements qui gagnent particulièrement à utiliser ces solutions.

 

Quels outils interviennent pour sécuriser les périphériques ?

David Theret: Nous fournissons des périphériques sécurisés qui empêchent toute modification malveillante du système en faisant appel à des puces TPM (Trusted Platform Module), qui permettent de valider uniquement les modifications et mises à jour officielles. D’autres mécanismes de sécurité concernent les données stockées sur le disque dur ou dans la mémoire du périphérique, qu'il s’agisse par exemple d’un document scanné ou d’un carnet d'adresses. Ces données sont protégées via un module de chiffrement ou totalement supprimées de l'appareil à l'aide d’un module d’écrasement de données. Cette fonctionnalité est notamment utile lorsqu’un périphérique en fin de cycle passe par un reconditionnement avant d'être revendu sur d’autres marchés.         

 

Et au niveau des serveurs ?

David Theret: Pour sécuriser les serveurs et les périphériques d’impressions une bonne pratique consiste à segmenter le réseau interne en plusieurs réseaux indépendants (par le biais de VLAN). Il convient de dédier un réseau aux périphériques, aux serveurs et aux postes de travail, afin que les utilisateurs finaux ne puissent jamais avoir directement accès à la machine via le réseau.

Didier Oppliger: Un autre risque est lié au fait que les travaux d'impression restent en attente sur le serveur tant qu'ils n'ont pas été validés, par exemple en présentant un badge. Il est nécessaire de chiffrer ces documents pour empêcher qu’un administrateur système puisse y accéder.

 

En quoi consiste la sécurisation du flux d’impression ?

David Theret: Sécuriser le flux d’impression consiste entre autres à éviter le «print and sprint», c’est-à-dire l’action de se précipiter vers l'imprimante – quand celle-ci ne se trouve pas dans la même pièce – pour s’assurer que personne ne tombe sur des documents confidentiels. Ainsi, tant que l’utilisateur n’a pas été approuvé pour valider le travail d’impression, les documents ne sont pas imprimés. Pour le processus de validation, il est possible de faire appel à des codes, mais la plupart du temps, nous faisons appel à des badges munis d’une technologie sans contact de type RFID.

Didier Oppliger: C’est pratique car nous pouvons nous baser sur les badges dont disposent déjà les utilisateurs pour les contrôles d’accès aux bâtiments, etc.  L’ensemble de ce processus de sécurisation peut sans soucis s'intégrer au matériel existant au sein des entreprises. Précisons également que le flux réseau  entre les utilisateurs finaux et les serveurs, puis vers la machine –  est crypté. En conséquence, si quelqu’un analyse le réseau à distance, il lui sera impossible de récupérer les informations.

 

Y a-t-il d’autres brèches de sécurité à considérer au niveau du flux d’impression ? 

David Theret: Oui. Prenons le cas où l'imprimante n’a plus de papier: les travaux d’impression vont s'accumuler en fil d’attente et sortir les uns après les autres une fois le papier rechargé. Ce cas de figure ne doit pas être négligé si l’on souhaite protéger les documents sensibles et confidentiels. C’est pourquoi notre solution bloque la possibilité de lancer une impression quand le périphérique est en erreur et prévient l'utilisateur via l’interface du périphérique d’impression, l'invitant à corriger l’erreur ou à sélectionner une autre imprimante.

 

Vous avez aussi évoqué le besoin de sécuriser les sorties imprimées. Pourquoi ?

Didier Oppliger: C’est en quelque sorte l’étape de contrôle. Car rien ne sert de mettre en place des mesures de sécurité sans pouvoir s’assurer qu’elles sont correctement suivies.

 

Comment fonctionne ce type de protection ?

David Theret: Ce processus passe par la production de logs, dont l'historique de chaque travail d'impression et données associées, telles que les identités de l'utilisateur et du périphérique, le lieu, la nature de la tâche, etc. Des règles d’impression permettent de procéder à une forme de DLP (Data Loss Prevention) en se basant sur le nom des fichiers et interdisent ou non l’impression des documents.

Didier Oppliger: Il est par exemple permis d’alerter les équipes de sécurité si un utilisateur imprime des documents en lien avec un dossier client qui ne le concerne pas. Cette fonctionnalité attire particulièrement les banques.

David Theret: Les logs enregistrent aussi toutes les activités des administrateurs, il est ainsi possible de savoir qui a créé ou supprimé tel ou tel utilisateur. Nous pouvons aussi ajouter des signatures numériques, qui seront visibles en bas de page. Si un document est perdu, par exemple un brevet, son aspect confidentiel pourra être directement identifié et son propriétaire rapidement retrouvé grâce à la signature. Par ailleurs, dans certains cas, les travaux d'impression sont stockés un temps au niveau du serveur, afin de pouvoir les consulter ultérieurement à des fins de contrôle. Cette procédure de sécurité implique bien entendu d’avertir les utilisateurs et d’obtenir leur consentement.

 

Pensez-vous que les entreprises négligent la sécurisation des environnements d'impression par rapport à d’autres mesures de cybersécurité ?

Didier Oppliger: La sécurisation des impressions est effectivement négligée mais l’on constate une évolution: nous avons chaque année de plus en plus de projets. Il y a une prise de conscience progressive, qui a notamment été insufflée par la FINMA sur le secteur bancaire, avec l'obligation de prendre des mesures pour protéger toutes les données clients. Avec l'intensification des cybermenaces et le développement de la stratégie de sécurité «Zero Trust», les entreprises comprennent toujours mieux l'importance de tout cadenasser, pôle par pôle, et doivent faire en sorte que l'environnement d'impression ne constitue pas une faille dans leur sécurité IT.

 

L'article original se trouve ici.