Security Think Tank: Les imprimantes ne peuvent pas être un « add-on » dans votre stratégie cybernétique

Alors que le monde est en pleine numérisation, l’une des choses qui a accéléré cette transformation numérique mondiale est la pandémie de Covid-19 – en particulier, l’accélération s’est produite en raison du volume d’individus qui ont soudainement dû commencer à travailler à distance.

Les stratégies de travail de nombreuses organisations sont passées d’une exigence d’être dans un emplacement central ou dans un bureau spécifique à la prise en charge du travail à distance à long terme. De plus en plus de technologies permettant le travail à distance sont également plus facilement adoptées, telles que les offres cloud.

Bien qu’il existe une variété de raisons d’adopter des technologies nouvelles et émergentes telles que l’amélioration de la cybersécurité, il peut y avoir des obstacles à l’adoption de technologies émergentes, comme le détaille le Rapport 2021 sur les technologies émergentes.

Dans le même temps, il y a maintenant encore plus de périphériques d’impression connectés, y compris les périphériques d’impression multifonctions (MFP) en conséquence. Ce qui est préoccupant, c’est que l’impression continue d’être mal traitée en ce qui concerne la cybersécurité. Alors, qu’est-ce qu’une stratégie de cybersécurité imprimée doit prendre en compte?

Premièrement, la stratégie de cybersécurité imprimée ne doit pas être séparée de la stratégie de cybersécurité de l’organisation, le travail à distance ne prolongeant que le paramètre de cybersécurité de l’organisation. Cela signifie éduquer l’organisation à se rappeler que chaque décision d’approvisionnement est une décision de cybersécurité, et que la cybersécurité est le rôle et la responsabilité de chacun. Ce n’est pas seulement sur l’épaule du RSSI et de l’organisation du RSSI.

Cela signifie qu’une partie de la stratégie de l’organisation doit inclure de s’assurer que les appareils d’impression – comme tous les autres appareils intelligents et programmables connectés au réseau – sont entièrement approuvés et approuvés pour être achetés avant de le faire.

Avoir des politiques qui décrivent que les appareils – y compris les appareils d’impression à des fins commerciales – doivent être achetés de manière centralisée et s’assurer que les appareils sont comptabilisés, y compris en détaillant l’objectif commercial, qui y a accès et ce qui se passera sur l’appareil.

Sachez quel type de données sont transmises et traitées sur les appareils – nous devons savoir ce qui se trouve dans nos environnements et ce qui se passe dans nos environnements pour pouvoir gérer correctement. Pour ce faire, après avoir effectué l’examen et l’achat d’appareils, s’assurer qu’ils sont inclus dans le cadre global de cybersécurité et que les pratiques exemplaires et les normes en matière de cybersécurité sont appliquées aux appareils imprimés.

Cela signifie appliquer des procédures de gestion des actifs et s’assurer que les appareils sont enregistrés dans la base de données de gestion de la configuration (CMDB) de l’organisation ou dans un type similaire de système d’enregistrement. Assurez-vous que la propriété est notée, y compris l’emplacement et l’objectif, car cela vous permet de savoir ce qui se trouve dans l’environnement de l’organisation pour aider à gérer.

Assurez-vous que les appareils sont configurés pour répondre aux meilleures pratiques et normes de cybersécurité – un appareil d’impression peut avoir plus de 250 paramètres de sécurité, mais cela ne signifie rien à moins qu’ils ne soient correctement configurés.

Appliquer les meilleures pratiques et normes de sécurité des données et des documents aux périphériques d’impression. Cela est régulièrement négligé, et si une organisation doit se conformer à la loi HIPAA (Health Insurance Portability and Accountability Act) ou au règlement général sur la protection des données (RGPD), par exemple, l’impression est souvent dans le champ d’application, bien que pas traitée et gérée de manière adéquate avec ces exigences.

En outre, adoptez des modèles qui incluent la confiance zéro, l’hygiène cybernétique, la segmentation, l’identification des appareils et les certificats d’appareils, etc., pour mettre en évidence la confiance zéro et vous assurer qu’un appareil peut être considéré comme sur le réseau.

L’appareil doit être authentifié, ainsi que la personne qui l’utilise, car l’appareil et l’identité d’un utilisateur doivent être authentifiés et autorisés à entrer sur le réseau et à le lier à la confiance zéro.

Cela comprend l’application de meilleures pratiques et de normes d’accès logique aux appareils d’impression – dans de nombreux cas, les appareils sont achetés et installés, et n’importe qui peut se connecter aux appareils, ce qui signifie que nous ne savons pas ce que le personnel fait sur les appareils et qu’il n’y a aucune responsabilité, et souvent aucune traçabilité, lorsqu’un événement de sécurité se produit. Cela crée un vecteur permettant aux adversaires d’infiltrer les organisations.

En outre, les individus peuvent enregistrer des données sur des clés USB sur le périphérique d’impression, alors qu’ils ne pourraient peut-être pas le faire avec n’importe quel autre périphérique de l’organisation. Le but est d’amener tout le monde à penser aux périphériques d’impression comme n’importe quel autre périphérique de calcul.

La gouvernance de la cybersécurité de l’organisation, qui comprend des politiques clés, doit être appliquée à l’ensemble de l’environnement d’impression de bout en bout. Cela inclut les serveurs, les bases de données, les outils pour gérer la flotte d’impression, et ainsi de suite. En outre, la stratégie, les processus et les procédures de correction et de protection des points finaux de l’organisation s’appliquent à l’impression.

Par conséquent, les appareils d’impression, comme tout autre point de terminaison, ont besoin de protections de cybersécurité en place et doivent faire partie des processus et procédures de mise à jour corrective. Les appareils d’impression doivent avoir des capacités de journalisation de la cybersécurité, et ces capacités doivent être activées. Les journaux doivent être introduits dans le SIEM pour être surveillés pour détecter tout comportement anormal, vulnérabilités, etc.

L’environnement d’impression et les périphériques d’impression doivent également être inclus dans les stratégies de cycle de vie du système de l’organisation, car toutes les technologies finissent par devenir héritées et doivent être retirées. Idéalement, nous devrions obtenir une attestation de destruction pour nous assurer que la technologie n’est plus utilisée n’importe où dans l’organisation afin de réduire le risque de cybersécurité. Les événements récents tels que l’incident de sécurité SolarWinds rendent tous ces points cruciaux à prendre en compte dans la stratégie d’impression / stratégie de cybersécurité.

Le 12 mai 2021, le décret de la Maison Blanche sur l’amélioration de la cybersécurité des États-Unis a été signé. Pour faire ressortir certains des points ci-dessus, le décret de la Maison Blanche appelle la détection et la réponse des points de terminaison (EDR) en tant que composant essentiel de l’infrastructure informatique. Le décret-loi renforce l’importance des normes de cybersécurité dans l’achat d’appareils, l’utilisation d’appareils et la gestion d’appareils.

Par conséquent, mettre au défi tous les fournisseurs d’appareils terminaux, y compris l’impression, de s’assurer qu’ils disposent de technologies qui rendent les appareils facilement détectables et identifiables sur le réseau respectif, et qu’ils ont la capacité de remplir les éléments mentionnés ci-dessus, ce qui comprend la capacité de produire des renseignements exploitables pour permettre la capacité de réagir au comportement anormal, aux vulnérabilités, aux événements de cybersécurité, etc.

Même si l’organisation a la meilleure stratégie de cybersécurité et fait un travail fantastique, y compris l’impression, nous avons besoin d’un personnel qualifié et diversifié pour savoir comment exécuter la stratégie et nous aider à bien faire le travail de cybersécurité.

L’un de nos défis en matière de cybersécurité continue d’être le manque de personnel, le sous-budget et le manque de personnel qualifié, selon le Rapport sur l’état de la cybersécurité 2021. Les gestionnaires d’embauche ont du mal à trouver du personnel qualifié en cybersécurité, alors que pouvons-nous faire à ce sujet? Donnez au personnel le temps de s’instruire et de se former, et offrez des services de sensibilisation communautaire pour sensibiliser les collectivités aux possibilités extraordinaires en matière de cybersécurité.

Une fois que du personnel qualifié en cybersécurité est embauché, prévoyez du temps pour la formation continue, car la cybersécurité est un domaine multidimensionnel et multidisciplinaire qui est en constante évolution et en constante évolution, et qui exige que les personnes continuent d’apprendre à se tenir au courant des changements dans le paysage des menaces.

Les points ci-dessus ne sont pas exhaustifs en ce qui concerne une stratégie d’impression de cybersécurité, mais sont utiles à considérer car la stratégie est initialement abordée.

Les membres de l’ISACA Michael Howard et le Dr Kimberlee Ann Brannock sont respectivement conseiller en chef en matière de sécurité et responsable de la sécurité et de la pratique d’analyse de WW, et conseiller principal en sécurité de HP.