Les nouveaux engagements RSE des entreprises ne sont pas sans risque cyber. Certaines bonnes pratiques aident, mais les organisations doivent surtout positionner le sujet au bon niveau. Explications.
Si toutes les entreprises ne transforment pas leurs business models pour faire de l’économie circulaire, un nombre de plus en plus important en applique cependant une partie des principes pour limiter leur impact environnemental. Ainsi, le reconditionnement de terminaux, qui a acquis ses lettres de noblesse auprès du grand public avec l’émergence de licornes comme Back Market, fait son chemin également au sein des entreprises.
Alors qu’environ 70% de l’empreinte carbone du numérique provient de la production et de la distribution hardware, l’idée de mieux recycler les ordinateurs et smartphones qui composent le parc informatique d’une organisation, parait être un levier évident pour une meilleure RSE. Les pratiques qui ont émergé ces dernières années visent autant à allonger la durée de vie des matériels en les réparant, que d’élargir leur cycle de vie global en leur donnant une seconde vie, par exemple auprès d’Emmaüs Connect. D’autres directions des systèmes d’information décident également d’aller plus loin, par exemple en évitant d’acheter des terminaux neufs pour leurs collaborateurs, et en privilégiant là aussi le reconditionné.
Si ces intentions sont bonnes, elles se confrontent pourtant bien souvent à une difficulté d’un tout autre acabit : la protection de l’information et le risque cyber.
En effet, qui dit reconditionnement, dit risque que le nouvel acquéreur puisse, volontairement ou non, récupérer certaines données qui auraient été « oubliées » sur un disque dur par exemple.
« Avant le sujet était très simple. On détruisait tout matériel informatique qui n’était plus utilisé, pour ne prendre aucun risque de fuite de données. Mais dans un monde qui veut aller vers la décarbonation, les organisations font face à une injonction contradictoire entre RSE et sécurité alors que le risque cyber augmente » résume Edouard Camoin, vice-président Résilience d’Outscale, filiale spécialiste du cloud de Dassault Systèmes. « Dans notre cas, nous avions une règle simple : tout support stockant des données qui était entré en production devait être détruit à la sortie. Mais cela a un coût important, tant économique qu’environnemental, qui interroge ».
Le chiffrement comme bonne pratique
Une solution mise en œuvre consiste à chiffrer chaque disque dur, afin d’éviter que les éventuelles données récupérables par la suite puissent être intelligibles par un tiers. Des bonnes pratiques d’effacement des données existent également et de nombreuses grandes organisations font appels à des prestataires certifiés pour leurs processus de destruction comme de reconditionnement. Michel Juvin, chroniqueur Alliancy, qui a été confronté à ces cas en tant que Chief information security officer (CISO) de grandes entreprises, rappelle par exemple que la Cnil donne en ce sens des conseils pour bien encadrer la maintenance et la destruction des données et que certains logiciels sont agréés par l’Anssi sur le sujet.
« Une fois que l’on chiffre correctement un disque, il y a peu de chance que les données puissent être exploitées à des fins malveillantes. De même quand on utilise des mesures certifiées d’effacement » reconnait Patrick Broutin, consultant cyber pour CoEssi, une entreprise spécialisée dans la protection de la vie privée. Il nuance toutefois : « Après, tout dépend du potentiel malveillant et des moyens mis en œuvre par un attaquant. On peut toujours imaginer que si un Etat puissant veut casser un chiffrement, il finira par y parvenir. Surtout si les données concernées ont encore de la valeur pendant longtemps ». A ce titre, certaines organisations, comme le ministère de la Défense, se refuse tout simplement à prendre le moindre risque et détruisent systématiquement les disques de leurs machines. « Aucune solution, même celles standardisée pour un très haut niveau d’effacement, par exemple à travers NIST 800-88, ne peut garantir un risque zéro » rappelle l’expert. Et cela, sans même compter l’impact que pourrait avoir de futur ordinateur quantique pour ouvrir de vieux coffre-fort à données.
« On en revient comme toujours à une question de gestion de risque. Est-ce qu’un simple « reset » d’usine peut suffire pour certains matériels qui ne contiennent pas de données critiques ? Sans doute. Est-ce que l’on est prêt à prendre le risque pour des données clients ou de santé ? Absolument pas. Quand on est un acteur comme Outscale qui suit le référentiel SecNumCloud, qui est très clair sur ce que l’on peut faire ou non avec les données, alors la sécurité aura toujours le dernier mot sur la RSE » tranche Edouard Camoin.
PC, smartphones… mais pas seulement
En matière de reconditionnement pour les professionnels, la majorité des efforts se concentrent sur les outils de travail du quotidien, comme les ordinateurs de bureau ou portables, et les smartphones professionnels. Mais les risques concernent bien tout type de matériel d’après les spécialistes : imprimantes et scanners accèdent à des données importantes, et il est facile de compromettre un clavier avec un mouchard pour qu’il enregistre la frappe d’un utilisateur. L’Internet of Things ouvre quant à lui tout un pan d’objets connectés à la menace, qui n’entrent pas toujours dans les considérations de sécurité des entreprises. Caméras de vidéosurveillance ou compteurs intelligents sont pourtant eux aussi de plus en plus concernés par le reconditionnement.
Le choc entre volonté de responsabilité environnementale et approche de sécurité se voit aussi quand les organisations veulent acheter du matériel reconditionné. Le marché se développe à toute vitesse et économiquement, cette alternative à acheter du neuf peut également être très intéressante.
« La difficulté réside dans le fait de connaître la provenance exacte du matériel. Pour garantir la confiance, il faudrait aussi pouvoir contrôler les terminaux, pour s’assurer qu’il n’y a aucun logiciel d’espionnage masqué qui auraient pu être installé par des intermédiaires. » juge Hervé Daussin, directeur fondateur de CoEssi. Dans le contexte géopolitique actuel et alors que les usines de reconditionnement sont présentes dans le monde entier, il est facile d’imaginer des initiatives venant de groupes liés à la Russie par exemple.
La confiance, sujet difficile pour les entreprises de l’économie circulaire
« Des entreprises comme Back Market se sont créées aussi pour installer une couche de confiance, vis-à-vis des clients, mais ce n’est pas encore totalement abouti » estime Edouard Camoin, en référence au modèle du reconditionnement qui repose sur des usines tierces pouvant parfois elle-même faire appel à d’autres fournisseurs. Et ce, sans que des mesures de contrôle et d’audit puissent garantir la traçabilité des matériels. « Sont-ils capables de détecter qu’un firmware de smartphone modifié ? Je ne crois pas. Il est déjà complexe d’avoir cette confiance en direct vis-à-vis d’un constructeur, car il y a eu des cas inquiétants, par exemple de produits américains reconnus, qui intégraient, malgré tout, des stacks techniques chinois… Alors quand on multiplie les intermédiaires… ».
Du côté des acteurs de l’économie circulaire, la difficulté est donc double : de tels contrôles pour assurer la traçabilité et la confiance demandent des moyens, techniques, humains et financiers, qui sont loin d’être anodins. Et même avec la volonté de bien faire, il faut aussi que les constructeurs originaux des produits acceptent de leur communiquer les informations qui leurs permettront de détecter une éventuelle compromission. Pour Edouard Camoin, « ce ne sont pas des informations qui sont accessibles facilement ».
Avec la généralisation du reconditionnement, des logiciels malveillants pourraient être installés pour mener des attaques non-ciblées. Les attaques ciblées, d’espionnage industriel, seraient plus difficiles à mettre en œuvre par ce vecteur. Mais, encore une fois, elles sont souvent menées par des acteurs qui ont le temps et les moyens à y consacrer. « Si l’entreprise réinstalle toutes les couches y compris le système d’exploitation, quand elle récupère un matériel, elle va toute de même limiter la majorité des risques. Il pourrait rester des éléments nuisibles en profondeur sur le Bios mais ce serait une pratique rare et onéreuse pour l’attaquant » analyse Patrick Broutin.
« Dans ce contexte, chez Outscale, nous avons un cas où nous estimons que le reconditionnement est parfaitement acceptable : sur des postes de travail pour des usages non-critiques, où le constructeur a fait lui-même le reconditionnement, en apportant une garantie, un engagement de respect du cycle de qualification produit. » témoigne Edouard Camoin.
Maintenance et réparation, également concernés
Le VP Résilience d’Outscale estime par ailleurs que la question de la « chaine de confiance » du reconditionnement doit être étendue à tous les sujets de maintenance et de réparation. Ceux-ci deviennent de plus en plus importants, alors que les organisations cherchent à augmenter la durée de vie des terminaux, chaque année d’usage gagnée étant très positive comme l’a rappelé récemment une étude de l’Ademe. Or, un matériel réparé ou maintenu par un tiers peut tout à fait être compromis. « D’autant plus qu’il est aujourd’hui très difficile de dissocier les éléments d’un matériel. En cas de panne sur un PC portable, un technicien repartira avec la carte mère et l’essentiel des éléments » décrit Patrick Broutin de CoEssi. Les organisations doivent donc s’assurer encore une fois de la confiance qu’il est possible d’avoir dans ces tiers, notamment par la certification. « Une autre solution peut être d’assurer le reconditionnement et les réparations en interne, mais cela à un coût. Nous le faisons pour une partie de nos postes de travail, 3 ou 4 terminaux par an sur un parc de plus de 250 » reconnait de son côté Edouard Camoin.
Cybersécurité et engagements RSE sont-ils donc voués à se repousser éternellement ? Des progrès sont attendus alors que la maturité des organisations augmentent sur le sujet. « La certification et l’homologation de prestataires sur le recyclage va devenir nécessaire pour faciliter les choix et s’assurer que du point de vue technique, pratique et de gouvernance, les partenaires font bien ce qu’il faut. Cela n’existe aujourd’hui pas au niveau global, il n’y a que quelques normes sur certains composants. Il faut donc faut augmenter par de nouvelles certifications la maturité des brokers, ce qui permettrait de réduire globalement les risques et d’améliorer la confiance dans tout l’écosystème de l’économie circulaire » propose Hervé Daussin.
Transformer la gouvernance pour réconcilier RSE et sécurité
L’autre réflexe à mettre en œuvre se situe au niveau des modes de fonctionnement des organisations utilisatrices elles-mêmes. Le directeur Résilience d’Outscale met ainsi en garde : « Faire du RSE c’est très bien, mais on ne peut pas le faire n’importe comment. Les entreprises qui parviennent à réconcilier les deux sujets positionnent directement leur CISO dans les parti-prenantes qui arbitrent sur les démarches RSE, de réparation, de reconditionnement, car celles-ci changent fondamentalement leurs processus. Il faut que la gouvernance ne tienne pas éloignée le CISO du sujet. Pour ma part, je suis ainsi en charge de la résilience et des équipes de sécurité, mais j’ai aussi une partie de responsabilité RSE » Pour lui, face au risque de conflits entre deux sujets critiques pour l’avenir, les décisions méritent donc d’être pris de manière éclairée au bon niveau : celui du comité exécutif.