Security Think Tank: Pour sécuriser les imprimantes, pensez processus, technologie et personnes

Processus d’examen

La première étape consiste à évaluer pleinement les besoins de l’entreprise. Pourquoi les gens ont-ils besoin d’imprimer des documents? Lesquels doivent-ils imprimer? À quels risques cela expose-t-il l’organisation ?

Cette compréhension permet de développer les différents scénarios susceptibles de se produire et, par la suite, de construire un processus conçu pour sécuriser le cycle de vie d’impression du document.

Les équipes de cybersécurité et de sécurité physique ou organisationnelle devront se réunir pour s’assurer que tout est pris en compte et que les deux entités ont la capacité et la capacité de soutenir et de vérifier les processus qui sont élaborés.

Lorsque les informations numériques viennent dans le domaine physique, le manque de clarté quant à savoir qui est responsable des problèmes qui surviennent peut entraîner des règles contradictoires de la part de chaque équipe – et, en fin de compte, des pratiques qui ne correspondent pas à l’appétit pour le risque de l’organisation.

En plus de refléter l’appétit pour le risque de l’entreprise, le niveau de processus devrait tenir compte du fait que l’introduction d’un trop grand nombre de contrôles pourrait en fin de compte compromettre les opérations en les rendant trop onéreuses.

S’attaquer à la technologie

Comme tout autre point de terminaison sur le réseau, les imprimantes doivent être configurées et sécurisées correctement si l’on veut que les utilisateurs disposent de la technologie dont ils ont besoin pour faire leur travail sans courir de risque. Comme pour l’étape du processus, les mesures exactes prises dépendront de l’appétit pour le risque de l’entreprise, mais les contrôles de sécurité suivants doivent figurer en bonne place sur la liste des considérations :

• Enregistrez chaque imprimante dans le registre des actifs et la base de données de gestion de la configuration (CMDB).
• Inclure les imprimantes dans le processus de mise à jour corrective et de gestion des vulnérabilités.
• Utilisez des outils de détection et de réponse de point de terminaison pour surveiller les imprimantes et les intégrer à la capacité de surveillance globale afin que les indicateurs de compromission (IoCs) soient signalés et que les données pertinentes soient examinées par les analystes pour déterminer les implications sur le réseau d’entreprise plus large. Chiffrez les travaux d’impression et de numérisation à mesure qu’ils se déplacent sur le réseau et sont au repos sur l’imprimante elle-même, le niveau de chiffrement étant déterminé par la classification des données transmises.
• Appliquer des règles uniformes pour tous les biens de TI; si les périphériques USB ne peuvent pas être branchés sur d’autres périphériques de point de terminaison, par exemple, cela s’applique également aux imprimantes.
• Utilisez un type et un modèle d’imprimante dans toute l’organisation pour permettre de définir une norme de durcissement de la sécurité.
• Rendez la sécurité physique de chaque imprimante appropriée à son emplacement et à la personne qui l’utilise.
• Restreindre l’utilisation d’imprimantes non standard; seules les RH devraient être en mesure d’imprimer des chèques de paie, par exemple, tandis que les imprimantes chargées de papier à en-tête de l’entreprise devraient être accessibles aux gestionnaires et à personne d’autre.
• Placez tous les périphériques d’impression sur un réseau local virtuel dédié (VLAN) pour vous assurer qu’ils sont câblés dans le réseau ; les données d’impression sont conservées séparément du trafic Internet public et privé, et seuls les périphériques ayant accès au VLAN spécifique peuvent utiliser les imprimantes.
• Avoir des processus (et de l’équipement) clairs pour l’élimination des documents papier.
• Lier les actions d’impression aux propriétés du document ; ceux classés comme confidentiels ou supérieurs, par exemple, ne peuvent pas être imprimés.
• Adoptez l’impression FollowMe, qui permet une file d’attente d’impression partagée où les travaux individuels peuvent only être accessible et libéré par l’authentification de l’utilisateur avec un jeton ou un mot de passe (ou les deux si l’authentification à deux facteurs est nécessaire). La technologie peut aider les utilisateurs à s’aider eux-mêmes (et finalement à assurer la sécurité de l’organisation).
• Désactivez les fonctionnalités MFP et les services qui ne sont pas requis. La capacité de télécopie peut être utilisée dans un site, par exemple, mais être redondante ailleurs dans l’entreprise, tandis que toutes les imprimantes n’auront pas besoin d’une interface Web ou d’une connexion sans fil (en particulier, les connexions sans fil qui permettent à quiconque de se connecter et d’imprimer doivent être mises sous les projecteurs).
• Inclure les documents numérisés, qui peuvent contenir des informations d’identification personnelle (PII) sensibles telles que les détails du passeport, dans le processus de traitement des documents. Les lignes directrices doivent couvrir l’endroit où ils sont stockés, qui y a accès et s’ils doivent être cryptés s’ils sont envoyés par courrier électronique.

Éduquer la main-d’œuvre

Comme pour la plupart des éléments de la cybersécurité, une main-d’œuvre bien formée et une culture de sécurité constructive peuvent limiter une grande partie de l’exposition d’une organisation aux risques liés à l’imprimante.

En termes d’éducation, les processus doivent être expliqués et compris dans toute l’organisation; ils devraient également être renforcés au fil du temps pour vérifier que le rappel de l’utilisateur est exact et que les versions les plus récentes des processus sont suivies.

Une grande partie de cela est simple, comme apprendre aux gens à gérer correctement les impressions et pourquoi c’est important – que ce soit en s’assurant qu’ils ont collecté des documents de l’imprimante, ou en ayant une poubelle / déchiqueteuse confidentielle près de l’imprimante et en éduquant les gens à l’utiliser. De même, si les mots de passe sont utilisés pour protéger les documents classifiés de l’impression sans surveillance, les mots de passe doivent être forts.

À plus long terme, il est essentiel de développer une culture dans laquelle tout le monde incarne de bons comportements en matière de sécurité, en suivant les processus de sécurité plutôt que de les contourner, et en signalant toute lacune dans le processus dès qu’elle a été identifiée afin que l’enquête et la correction puissent avoir lieu.

Le renforcement positif est une technique utile; elle devrait encourager les gens à s’éloigner de l’opinion souvent répandue selon laquelle la sécurité est un obstacle à l’exercice de leurs fonctions et à se concentrer plutôt sur la compréhension de l’importance de leur rôle dans de bonnes opérations de sécurité. Des histoires réelles sur les implications si les processus échouent ou ne sont pas suivis peuvent être utiles, tant qu’elles sont pertinentes et réalistes afin qu’elles ne soient pas perçues comme alarmistes.

Le bureau post-pandémique

Le climat Covid-19 a posé des questions qui chevauchent les trois éléments du processus, la technologie et le triangle des personnes. Comment les employeurs peuvent-ils fournir à leurs équipes le processus et la technologie nécessaires pour imprimer en toute sécurité à la maison, ainsi que s’assurer que les utilisateurs suivent les comportements de sécurité requis (en s’assurant que le matériel confidentiel imprimé à la maison n’est pas utilisé par inadvertance par d’autres membres du ménage, par exemple)?

Le personnel peut-il se connecter aux imprimantes locales qu’il a achetées lui-même, une décision qui peut ouvrir le réseau d’entreprise à de grandes quantités de risques supplémentaires? Les gens peuvent-ils détruire des documents à l’aide de déchiqueteuses à domicile?

Même lorsque des stratégies de sécurité de l’impression sont en place, bon nombre d’entre elles ont été élaborées avant la pandémie et sont donc mûres pour un examen. Ces questions, ainsi que divers autres facteurs, sont utiles à prendre en considération, en particulier compte tenu du fait que les lieux de travail sont susceptibles d’être modifiés à jamais, car le nombre de personnes travaillant à domicile au moins une partie du temps semble susceptible de rester important.

Au départ, la sécurité des imprimantes ne traverse peut-être pas l’esprit de nombreuses personnes, mais il s’agit d’un élément clé dans le traitement des données et doit donc être traitée avec le même soin et la même attention que les autres actifs informatiques.