Change language

Change country

La sécurité en entreprise

Pourquoi votre imprimante pourrait-elle être dans l’angle mort de votre stratégie GDPR ?
man looking at papers

Les entreprises opérant à la fois dans l'UE et au Royaume-Uni ont jusqu'au 25 mai 2018 pour s'assurer qu'elles sont pleinement conformes aux nouvelles règles fixées par le Règlement Général de l'UE sur la Protection des Données (RGDP ou GDPR), qui régit la protection des données et la sécurité d'une entreprise.

Les industries de tous types ont déjà commencé à renforcer leurs défenses et à remodeler la façon dont elles manipulent les données, mais tout ce travail acharné risque d'être annulé par quelque chose d'aussi inoffensif qu'une imprimante.

Les obligations en matière de sécurité des impressions dans le cadre de GDPR restent l'un des domaines les plus mal compris de la nouvelle réglementation, ce qui pourrait créer un angle mort susceptible non seulement d'entraîner une violation des données, mais aussi de donner lieu à des amendes substantielles en cas de non-respect.

Les recherches menées par le fournisseur de solutions documentaires Kyocera Document Solutions UK a montré que seulement 50% des entreprises du secteur public étaient au courant des implications de GDPR pour leurs opérations. De plus, seulement 73 % des répondants estimaient qu'ils étaient prêts à respecter les obligations relatives à la sécurité de l'impression.

Ce qui est peut-être le plus inquiétant, c'est que sur les 161 organisations interrogées, seulement 44% avaient une stratégie en place pour gérer leur environnement d'impression.

La technologie de l'impression a évolué rapidement au cours de la dernière décennie, et il est clair que les entreprises n'ont pas su suivre le rythme des besoins émergents en matière de sécurité. Historiquement, l'impression a toujours été relativement isolée du système d’information au sens large, mais la poussée vers le Cloud a créé le besoin d'un matériel connecté capable de prendre en charge n'importe quelle tâche, à tout moment et depuis n'importe où, sous la forme de périphériques multifonctions (MFP).

Ces MFP ultra connectés sont capables d'imprimer, de numériser, de copier ou encore de faxer non seulement sur le réseau interne d'une entreprise, mais aussi en se connectant à Internet pour accéder à tous les différents services utilisés par les employés. Aujourd'hui par exemple, les employés s'attendent à pouvoir partager leur travail avec des services centralisés qui enregistrent leurs documents jusqu' à ce qu'ils soient prêts à les récupérer. Par conséquent, l'impression au bureau n' a jamais été aussi efficace et pratique, mais ces capacités avancées pourraient en fait présenter un cauchemar de sécurité sous GDPR.

Comme pour tout appareil connecté à Internet, les MFP sont susceptibles de faire l'objet d’une inspection indésirable. Sans protocoles de sécurité efficaces, les utilisateurs non autorisés peuvent accéder à un parc d'impression et à tout document envoyé à une machine. De plus, la plupart des appareils utilisent également des fonctions telles que la numérisation vers e-mail, la numérisation vers le Cloud ou la numérisation vers le stockage interne du copieur, qui pourraient toutes être compromises pour voler des données sensibles et les faire fuir vers des adresses externes.

Bien que les recherches de KYOCERA aient démontré un manque évident de compréhension au sein du secteur public, le problème est beaucoup plus important dans les industries du secteur privé. Un rapport de Quocirca, une société d'analyse technologique, a révélé que seulement 22 % des entreprises privées ont déclaré accorder une priorité élevée à la sécurité de l'impression, alors que 63 % des personnes interrogées ont admis avoir subi une violation de données en raison d'un parc d'impression vulnérable.

Un des problèmes est que les fonctions de sécurité par défaut des MFPs sont rarement correctement configurés pour empêcher les tentatives de piratage. Les informations d'identification par défaut et les paramètres de connexion non configurés sont par exemple des cibles juteuses pour tout pirate informatique potentiel, et ceux-ci sont généralement laissés inchangés par les utilisateurs.

Un pirate informatique a pu pirater 160 000 imprimantes connectées non sécurisées en février, montrant comment les MFP piratés pouvaient être utilisés pour diffuser à distance des documents sensibles, y compris tout ce qui pouvait être sauvegardé sur le stockage interne ou partagé du copieur.

Heureusement, le pirate essayait simplement de mettre en évidence la question de la sécurité de l'imprimante et de la gestion des paramètres par défut, mais il a démontré que les imprimantes de certaines des plus grandes marques mondiales étaient mal configurées et hautement exploitable - dans ce cas-ci le protocole Internet Printing Protocol (IPP) avait été laissé ouvert à des connexions externes.

C'est important dans le contexte de GDPR, car un produit aussi petit qu'une imprimante mal configurée peut entraîner une amende susceptible de paralyser les activités d'une entreprise.

Outre le coup porté à la réputation qu'une entreprise peut subir en raison d'une atteinte à la réputation d'une violation de données, l'action réglementaire qui en résulte aura un véritable impact négatif. Les autorités réglementaires, telles que la Commission Nationale de l'Informatique et des Libertés (CNIL), peuvent infliger des amendes extrêmement élevées aux entreprises non conformes au titre de GDPR.

S’agissant des amendes administratives, elles peuvent s’élever, selon la catégorie de l’infraction, de 10 ou 20 millions d’euros, ou, dans le cas d’une entreprise, de 2% jusqu’à 4% du  chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Pour mettre cela en perspective, l'amende de 400 000 £ infligée à TalkTalk en avril, qui est la plus élevée qu'une entreprise ait jamais subie au Royaume-Uni, aurait été de 59 millions £ dans le cadre de GDPR.

Les cookies et votre vie privée

Nous utilisons des cookies essentiels pour assurer le bon fonctionnement de notre site web. Les cookies statistiques nous aident à mieux comprendre comment notre site est utilisé, et les cookies marketing nous permettent de mieux adapter le contenu aux visiteurs de notre site. Vous pouvez sélectionner vos préférences en matière de cookies à l'aide du bouton « Paramètres » ci-dessous, ou sélectionner « Tous les cookies » pour continuer à accepter tous les cookies. En sélectionnant «Tous les cookies », vous acceptez que ces cookies soient stockés sur votre appareil. Vous pouvez refuser ces cookies en sélectionnant « Cookies essentiels ». Dans ce cas, vous nous autorisez à placer uniquement les cookies nécessaires à l'affichage correct de notre site web sur votre appareil.

Préférences Cookies

Champ obligatoire

Nous utilisons des cookies pour nous assurer du bon fonctionnement de notre site Web ou, à l'occasion, pour fournir un service à votre demande (comme la gestion de vos préférences en matière de cookies). Ces cookies sont toujours actifs, sauf si vous configurez votre navigateur pour les bloquer, ce qui peut empêcher certaines parties du site Web de fonctionner comme prévu.

Champ obligatoire

Ces cookies nous permettent de mesurer et d'améliorer les performances de notre site Web.

Champ obligatoire

Ces cookies ne sont placés que si vous donnez votre consentement. Nous utilisons des cookies marketing pour suivre la façon dont vous cliquez et visitez nos sites Web afin de vous montrer le contenu en fonction de vos intérêts et de vous montrer une publicité personnalisée. Actuellement, vous n'acceptez pas ces cookies. Veuillez cocher cette case si vous le souhaitez.