- Le document sous surveillance
- facebook-icon1
- cloudact
- logo_ebrc_2012-3
Sans protection adaptée le document numérique présente des vulnérabilités qui favorisent actes malveillants et fuites de données. De la supervision des impressions à l’archivage sécurisé, les parades s’appliquent tout au long de son cycle de vie.
Lorsqu’il est confidentiel ou sensible, le contenu d’un document se protège. Pourtant, la multiplication d’exemples de grandes et petites entreprises victimes de vol ou de détournement de données prouve que les bonnes pratiques en la matière ne sont pas toujours suivies. Qu’il soit imprimé, numérisé, consulté, partagé ou conservé, le document ne doit pas être le grand absent d’une gouvernance de la sécurité. Au contraire, il doit y figurer en bonne place, et bénéficier de procédures en termes d’analyse du risque, de gestion des droits et habilitations, de certification, et, bien sûr, de signature, d’horodatage, d’archivage et de gestion des preuves. Transverses tout autant qu’elles varient d’une entreprise à l’autre, les mesures de protection concernent l’ensemble du cycle de vie du document physique ou numérique.
À moins qu’il ne soit stocké dans un espace prévu à cet effet, le document sous sa forme papier est aujourd’hui largement rattaché aux usages des imprimantes multifonction. Or, les risques qui pèsent sur ces périphériques connectés sont réels. Interception des données, identité usurpée, prise de contrôle à distance, attaques virales, les menaces sont sérieuses.
Les MFP, portes ouvertes sur le réseau
S’ils ne sont pas sécurisés, les MFP ouvrent une porte sur le réseau des entreprises. Des services web au disque dur stockant les données en passant par les ports USB, le potentiel de malveillance est important. « Les ordinateurs sont protégés par des antivirus et le réseau par un pare-feu. Mais qu’en est-il des périphériques d’impression ? Il est primordial de connaître les failles de sécurité lors, par exemple, du stockage des documents, de la transmission de données mais aussi lors de l’impression car le nombre de documents sensibles laissés sans surveillance dans les bacs d’alimentation est impressionnant », souligne Gérard de Carville, directeur du marketing de Kyocera Document Solutions.
« La sécurité des documents ne peut être intégrée
que dans une stratégie globale. »
Gérard de Carville, Kyocera Documents Solutions
Les fabricants de multifonctions sont unanimes, si la plupart des organisations sécurisent réseau et postes de travail, elles ne font pas preuve de la même rigueur lorsqu’il s’agit de l’impression, souvent par méconnaissance des dangers. On compte parmi les menaces principales les accès non autorisés sur des appareils en libre-service, ce qui permet par exemple aux utilisateurs indélicats d’envoyer des documents sensibles par email ou de les copier. On trouve aussi les fuites d’informations confidentielles, notamment du fait de documents abandonnés sur le copieur en attente d’être récupérés, le stockage en clair de documents sur les disques durs des multifonctions et, enfin, les intrusions réseau dans le but d’intercepter des documents lors de leur cheminement entre le PC de l’utilisateur et l’imprimante. Du pull printing au chiffrement des données en passant par la protection du bios des périphériques, les multifonctions embarquent aujourd’hui des outils dédiés qui renforcent les mesures globales adoptées par la DSI.
Sécuriser les processus d’impression, en 3 points
Alors que l’industrie IT ne manque ni de référentiels ni de guides pour couvrir les enjeux de la sécurité, il en existe peu pour pointer le risque numérique dans le domaine de l’impression. Quelques publications officielles, notamment celles de l’Enisa, l’agence européenne chargée de la sécurité des réseaux et de l’information, et de l’Anssi, abordent ces problèmes. Mais l’information est surtout documentée par les fabricants de multifonctions, dont les livres blancs préconisent les bonnes pratiques destinées à sécuriser les processus d’impression. Dans leur ensemble, les stratégies s’appuient sur trois points : préserver la confidentialité, protéger les informations stockées sur les périphériques et sécuriser le trafic des données sur le réseau.
La fuite d’information par négligence
Il s’agit pour le premier point d’empêcher la fuite d’informations, souvent due à une négligence humaine qui n’est autre que le révélateur d’une déficience organisationnelle. L’oubli du document imprimé à la sortie du multifonction est en effet un grand classique, que l’on peut éliminer en mettant en place une solution d’impression à la demande. La récupération de documents confidentiels imprimés par un MFP ne devant se faire que par une personne habilitée, une authentification par code pin ou par badge réalisée devant le périphérique est alors nécessaire pour libérer l’impression des documents. Si une entreprise n’est pas en mesure d’identifier qui utilise ses multifonctions et dans quel but, elle ouvre elle-même une brèche sécuritaire. Car au-delà de la confidentialité se pose aussi le problème de l’accès non contrôlé à un périphérique connecté au réseau de l’entreprise, avec par exemple un risque d’infection propagée par une clé USB.
Protéger les informations stockées sur les disques durs des périphériques est une autre mesure importante à adopter. Lorsque des données sensibles transitent par les MFP, mieux vaut pouvoir contrôler leur durée de vie et les éliminer définitivement après un travail d’impression ou de numérisation. Des fouineurs organisés n’ont en effet aucun mal à reconstruire une information à partir de traces laissées sur un disque dur. C’est pourquoi les concepteurs de solutions d’impression fournissent les moyens non seulement de chiffrer les données écrites sur le disque mais de réaliser leur effacement sécurisé. Empêcher ce type de restauration lorsque les multifonctions sont exploités mais aussi lorsqu’ils sont mis au rebut en fin de vie, est une obligation du RGPD.
Les intrusions sur le réseau constituent également une grande part des dangers. Leur objectif est d’intercepter les flux d’impression et révéler les informations transportées, quand elles ne servent pas à générer des trames qui saturent le trafic.
« Le principe de Security by design nous permet de livrer
à nos clients des applications robustes et testées. »
Christian Dubourg, Klee Group
IOT : possible prise de contrôle à distance
Dans le même registre, un équipement connecté au web peut faire l’objet de tentative de prise de contrôle à distance. L’intelligence artificielle fournit aujourd’hui de meilleures parades. HP dote par exemple ses imprimantes de fonctionnalités à même de contrer les attaques de logiciels malveillants. La technologie en place analyse les connexions réseau sortantes et identifie les activités suspectes. En cas de menace, elle déclenche automatiquement un redémarrage pour lancer des procédures d’auto-réparation délivrées au niveau du bios.
Imprimé, le document n’est pas non plus exempt de fraude. Pour certifier la validité d’un document et les informations qu’il contient, le chiffrement à l’aide d’un code à barres 2D apporte une solution simple et quasiment infalsifiable.
La GED, un bastion sous protection
Si la plupart des fabricants de multifonctions ont développé un environnement de sécurité autour de leurs offres, ils sont nombreux à considérer qu’une entreprise doit avant tout s’attacher à sécuriser son réseau dans lequel un MFP n’est qu’un périphérique comme un autre. À charge pour la DSI d’intégrer le volet documentaire dans le déploiement de ses solutions d’IAM, de SIEM et de log management ou, à défaut, de renforcer les défenses de l’Active Directory, infrastructure de loin la plus répandue dans les organisations mais qui peut présenter des vulnérabilités si elle est mal configurée. Les entreprises qui conservent encore leurs documents dans des répertoires classiques sont d’autant plus concernées qu’un annuaire LDAP peut servir de porte d’entrée à des utilisateurs malveillants. C’est pour pallier ces faiblesses organisationnelles que s’est développée la GED en tant que solution logicielle destinée à stocker, organiser et sécuriser les informations de l’entreprise.
La centralisation des documents facilitée
L’offre facilite la centralisation des documents, la classification des informations et la recherche de contenu. Associée à un système d’archivage à valeur probatoire, elle participe à la sécurisation des données en exploitant ses propres outils de gestion des droits d’accès et de journalisation. Elle peut même être en mesure de gérer les archives dites courantes et intermédiaires. Une GED sert aussi à optimiser certains processus métiers et à automatiser des tâches manuelles de traitement, de stockage et de diffusion. Elle favorise enfin le partage et la collaboration à travers des espaces de travail dédiés.
Toutefois, même si la GED peut être bavarde et conserver un historique complet des usages qui en sont faits, elle n’est pas un coffre-fort. D’autant que les solutions de gestion documentaire sont aujourd’hui de plus en plus exploitées dans le cloud. « L’approche tout cloud montre ses limites, car les opérateurs ne peuvent pas garantir que les fichiers qui leur sont confiés resteront inaccessibles à toute intrusion ou minage de données. On observe ainsi une tendance à la réappropriation des données (on-premise), au choix de solutions souveraines pour la sauvegarde ou la synchronisation et à des solutions offrant le chiffrement de bout en bout. Aujourd’hui, peu de solutions de GED offrent de réelles garanties de confidentialité à leurs utilisateurs dès lors qu’elles déplacent les données vers le cloud. Il devient nécessaire de disposer de solutions déployant des services de GED agile de première qualité sur des espaces de données entièrement contrôlés par l’utilisateur. Outre la sécurité, cette perspective promet la pérennité des accès, réduit la création de silos de données étanches et simplifie la mise en œuvre de solutions complémentaires de sauvegarde comme d’archivage », estime Laurent Henocque, CEO de KeeeX.
Une aide au respect de la conformité
S’il est guidé par des considérations d’autonomie en matière de sécurité, le choix d’installer une GED sur un serveur physique dans l’entreprise fournit aussi une plus grande latitude quant à la personnalisation de la solution. L’intérêt du mode SaaS ne doit en effet pas faire oublier les contraintes de la mutualisation. Mais l’exploitation d’une GED sur site nécessite de maîtriser le contexte normatif, ce dont justement se chargent les éditeurs à travers leur plateforme cloud. « L’entreprise doit comprendre l’évolution de la loi et des normes relatives à la numérisation des processus métiers. Elle ne doit pas seulement en comprendre les enjeux économiques mais aussi en maîtriser les contraintes de conformité et les risques associés. De la loi Godfrain relative à la fraude informatique à l’application du RGPD en passant par le règlement eIDAS, la norme Z42-013 pour les spécifications des systèmes destinés à préserver les documents stockés, ou la NF Z42-026 sur la copie fidèle qui conduit à la destruction des documents papier, l’environnement digital est en évolution permanente », souligne Jean-Pierre Blanger, directeur Solutions, Services & Innovation de Ricoh France.
Les solutions du marché constituent une aide précieuse pour la conformité. Elles exploitent et centralisent les données numérisées et capturées, gèrent les accès et les droits, s’assurent de la pérennité des documents. En cas de nécessité, une GED sait chiffrer les données pour rendre illisibles les documents qui pourraient être détournés. Des applications tierces sont capables d’effectuer cette tâche, tout comme les solutions de DLP qui facilitent en plus l’identification des données sensibles et activent une sécurité avancée. Sans oublier les ténors de la gestion des fichiers PDF qui fournissent des outils de protection spécifiques à ce format de fichier très répandu. La panoplie est large mais les professionnels le concèdent, il n’existe pas de stratégie propre à la sécurisation des documents si ce n’est celle du bon sens. « Comment faisait-on avant avec le papier ? On associait un niveau de sécurité et une durée de conservation selon la nature du document. On fait exactement la même chose aujourd’hui avec le numérique, mais on le fait plus facilement et plus efficacement grâce notamment aux métadonnées qui précisent, entre autres, durées de conservation et lisibilité du format. Une fois les besoins identifiés, la technologie suit. Il est néanmoins important de réaliser une cartographie des flux documen-taires numériques, par exemple les documents RH, les factures ou encore les contrats. En identifiant les risques documentaires, on répond finalement aux exigences du RGPD. Reste ensuite à appliquer des moyens de protection adaptés sur la lisibilité et la pérennité du format, sur la garantie d’intégrité avec de l’horodatage, du calcul d’empreinte et de la signature », souligne Charles du Boullay, président de CDC Arkhinéo.
« Le document est le parent pauvre de la sécurité
car il est en bout de chaîne. Les entreprises ne se préoccupent du document que lorsqu’elles commencent
à développer des usages du numérique. »
Charles du Boullay, CDC Arkhinéo
RSSI, DPO et record manager, même combat
Beaucoup voient dans le RGPD une opportunité dont les entreprises doivent tirer parti pour réaliser l’inventaire de leurs données et sécuriser leurs flux documentaires. « Sécuriser, c’est mettre en place une gouvernance documentaire. On trouve dans l’entreprise le DPO, qui s’occupe de la sécurité des données des collaborateurs, le record manager, qui s’occupe des données de l’entreprise, et le RSSI, qui sécurise les données par rapport à un risque informatique. Ces professionnels devraient en fait travailler dans le même bureau car ils parlent de la même chose : comment identifier les données, comment respecter les exigences légales, comment protéger l’entreprise et quels moyens technologiques mettre en œuvre pour la sécuriser. Les politiques d’IAM, qui fédèrent la gestion des identités, et celles du SIEM qui fédèrent les logs, trouvent avec le système d’archivage électronique leur pendant documentaire. Le SAE dans lequel se définissent les standards de description de formats et les documents engageants qui doivent être versés devient lui aussi un système fédérateur », explique Hervé Streiff, directeur R&D, Solutions Digitales chez Locarchives.
« Dès la production d’un document, il faut mettre en œuvre la sécurité qui permette de ne pas le falsifier. »
Hervé Streiff, Locarchives
Le SAE, une forteresse inexpugnable
Plus encore que la GED, le SAE est un environnement conçu pour ne permettre aucune intrusion sans que celle-ci ne laisse des traces. Tenter de falsifier un document dans un SAE reviendrait à mettre en place une attaque de type étatique, nécessitant énormément de ressources pour casser les protections mises en place par les concepteurs de ces solutions. « Pour un éditeur, la première des obligations consiste à fournir à ses clients une solution parfaitement sécurisée afin d’éviter les fuites de contenu. Cela passe pour nous par la mise en place d’un système de management de la sécurité dans le cadre de nos processus de développement. Notre démarche qualité basée sur les normes ISO 27034 a pour objectif d’intégrer les problématiques de sécurité dans le cœur de nos produits. C’est le principe de “Security by design” qui permet de livrer des applications robustes et testées à nos clients. Du côté fonctionnel, notre SAE permet d’implémenter des niveaux de sécurité au niveau du stockage des fichiers gérés et archivés. Selon le niveau de sécurisation souhaité, nous utilisons des middleware de chiffrement. Cependant, pour des raisons évidentes de sécurité, la gestion des clefs de chiffrement ainsi que les opérations de chiffrement et déchiffrement sont confiées à des middleware spécialisés. Si le besoin de chiffrement est nécessaire à un de nos clients, nous implémentons des API “Cryptoki” PKCS #11 pour dialoguer avec des systèmes HSM (Hardware Security Modules) », illustre Christian Dubourg, directeur marketing produit Spark Archives chez Klee Group. Contrôle des accès, protection des flux documentaires et sécurisation des dispositifs sont les piliers qui soutiennent les projets de dématérialisation.
L’absence d’identité numérique, une faille persistante
Renforcé par le volet réglementaire, en particulier l’eIDAS et le RGPD, l’arsenal technologique mis à disposition est aussi conséquent qu’il est adapté estiment les professionnels.
Pour autant, la boucle sécuritaire n’est pas totalement bouclée. « La plupart des documents engageants sont destinés à être signés, et donc à donner la preuve d’un consentement. Or, l’identité numérique de la personne qui signe n’est toujours pas prouvée car nous n’avons tout simplement pas de carte d’identité numérique. Prouver l’identité de la personne qui signe passe essentiellement aujourd’hui par le recours à la signature à la volée. Le dispositif est efficace mais ne comble pas la faille que constitue l’absence d’identité numérique », estime Hervé Streiff.
L’obligatoire destruction
des documents papier dans le cadre du RGPD
La destruction des documents papier constitue un traitement à risque mais désormais obligatoire. Elle doit faire l’objet d’une gestion sécurisée et de procédures particulières : informer les salariés sur la gestion des données sensibles, sécuriser les mouvements de documents, détruire sans exploitation postérieure possible et attester de cette destruction auprès de personnes exerçant leurs droits de modification ou d’oubli sur des données les concernant. « Comme toutes les données personnelles, il faut organiser les données papier en respectant les principes du RPGD. Il faut en particulier détruire les documents selon leur délai de conservation, par exemple, 3 ans maximum pour les coordonnées d’un prospect qui ne répond à aucune sollicitation, 5 ans pour les données relatives à gestion de la paie ou le contrôle des horaires des salariés, ou encore, 10 ans pour un dossier médical. Cela implique de savoir à tout moment de quelles données on dispose et à quelles fins, où elles se trouvent, comment elles sont gérées et sécurisées. Il faut aussi limiter la quantité de données traitée et les sécuriser par défaut dès la conception du produit ou du service (logique de responsabilisation, privacy by design et privacy by default). A cela s’ajoute, la nécessité de tracer et conserver l’accès aux données papier par une journalisation des consultations, et de déclarer tout vol de données dans les 72h à la CNIL », résume Anna Zampieri, spécialiste des projet de dématérialisation auprès des collectivités. La destruction proprement dite s’appuie des normes, en particulier la norme DIN 66399 qui définit des tailles de coupe maximales de destruction hiérarchisées en classes de sécurité, la classe P-1 étant la moins sécurisée et la classe P-7 la plus stricte.
Protéger les transferts
de données d’impression sur le réseau
Lorsque des données destinées à être imprimées transitent sur le réseau de l’entreprise, elles ne sont plus protégées par les pares-feux. Souvent exploitée, cette faiblesse est à l’origine de nombreux détournements. Trois niveaux de réponses peuvent être apportés, rappelle le fabricant Kyocera. La première consiste à définir le niveau de sécurité du réseau. L’objectif est de limiter les communications des moyens d‘impression sur le réseau en restreignant une gamme d’adresses IP ou en désactivant l’utilisation de certains ports. Deuxième parade, mettre en place des protocoles d’authentification réseau qui permettent de fiabiliser et sécuriser l’authentification.
Le protocole 802.1x est le plus couramment exploité. Il gère le contrôle d’accès aux équipements connectés à un réseau, autorisant uniquement les périphériques authentifiés à accéder au réseau. En dernier recours, l’entreprise peut choisir de protéger les canaux de communication de son réseau. Les périphériques d’impressions récents supportent des protocoles destinés à protéger les données contre les modifications et les fuites sur le réseau. Le protocole SNMPv3, par exemple, assure la confidentialité des données grâce à l’authentification et au chiffrement. Le protocole IPv6 utilise pour sa part diverses fonctions de contrôle et de gestion telles que l’attribution automatique d’adresses IP et la renumérotation des mécanismes de sécurité comme IPSEC ou encore le système SSL/TLS qui sert à chiffrer les données transmises sur des accès web ou via d’autres protocoles.