Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Connect
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
85% des décideurs IT et cyber estiment que la sécurité des équipements et des firmwares doit devenir une priorité. Et pour cause : les ordinateurs, smartphones, et même les imprimantes peuvent constituer une porte d’entrée de choix pour les cybercriminels. Une récente étude publiée par HP Wolf Security révèle les cyber risques qui pèsent sur les appareils à chaque étape de leur cycle de vie.
CTO de HP France et Directeur de l’avant-vente France & Afrique du Nord chez HP, Benjamin Duchet revient sur les principaux écueils à éviter ainsi que sur les bonnes pratiques à adopter pour protéger les équipements IT de votre entreprise.
En quoi la sécurité des équipements IT se joue-t-elle dès leur commande par l’entreprise ?
Benjamin Duchet : L’acquisition de matériel IT est souvent perçue comme une commodité par les entreprises. Très souvent, cette mission est confiée au service des achats, qui étudie des critères tels que le prix, la performance ou la durabilité de l’appareil. Cependant, le niveau de sécurité offert par l’équipement est un aspect critique qui n’est pas suffisamment pris en compte par le service d’achats, celui-ci n’ayant pas toujours les connaissances nécessaires pour estimer si les critères de sécurité sont respectés.
Aujourd’hui, 55 % des décideurs s’accordent ainsi sur le fait que l’absence d’implication des équipes IT / cybersécurité dans l’achat des équipements met l’entreprise en danger. Il est donc essentiel d’assurer une collaboration entre ces différents services pour toute commande relative au matériel IT.
Par ailleurs, il est important de ne pas croire les fournisseurs sur parole : les promesses marketing ne sont pas une garantie de cybersécurité. Or, 48% des décideurs déclarent que le service achats collabore rarement avec le service cybersécurité pour vérifier les engagements des fournisseurs en matière de sécurité, et 43% indiquent même que les équipes achats sont “trop crédules”.
En France, les entreprises peuvent aujourd’hui évaluer le niveau de sécurité de leurs futurs équipements en étudiant les certifications CSPN (certification de sécurité de premier niveau) attribuées par l’ANSSI aux constructeurs. Plusieurs cabinets d’études publient également des tests de sécurité sur les appareils. Idéalement, le service cybersécurité devrait mener lui-même des tests sur les appareils afin de contrôler leur niveau de sécurité.
Quels sont les risques en matière de livraison et de configuration des équipements ?
B.D : La livraison des appareils est une étape délicate car l’appareil peut être modifié entre la sortie de l’usine et la réception. Certains hackers sont capables d’intercepter les équipements durant le transport pour y brancher des appareils infectés afin de propager des malwares et altérer les firmwares, mais aussi ajouter un composant pour intégrer une backdoor matérielle.
Dans certains domaines d’activité sensibles, comme les secteurs de la défense, de la finance, ou de la santé, les organisations contrôlent l’appareil et ses composants de façon extrêmement stricte avant de les mettre en service. Dès la réception des équipements, des tests d’intégrité sont ainsi réalisés pour vérifier qu’il n’y a pas eu d’altération durant son transport. Certains acteurs vont même jusqu’à démonter et inspecter les appareils avant de les connecter à leur réseau interne. Cependant, la surveillance de l’intégrité des équipements doit être continue, tout au long de leur cycle de vie. Nous avons en effet observé chez certains clients plusieurs situations à risques notamment lors de déplacements professionnels à l’étranger où des modifications matérielles ont été repérées lorsqu’un PC passe la douane par exemple ou dans une chambre d’hôtel.
Quelles sont les menaces qui pèsent sur les équipements IT au quotidien ?
B.D : La couche logicielle est souvent bien sécurisée par les entreprises, qui adoptent des mécanismes de chiffrement des données, des EDR pour détecter et répondre aux menaces, etc. C’est pourquoi les cybercriminels ont désormais tendance à s’attaquer aux couches basses des équipements, car tout ce qui est en dessous de l’OS n’est souvent pas surveillé ni protégé. 81% des décideurs admettent que leur maîtrise de la sécurité matérielle et firmware est moins élevée que la sécurité software.
De plus, 58% d’entre eux n’effectuent pas les mises à jour firmwares lorsqu’elles leur sont proposées. Pourtant, ils sont 79 % à être sûrs que l’essor de l’IA permettra aux attaquants de développer des attaques plus rapidement, d’où la nécessité de ne pas retarder les mises à jour.
Autre exemple, 47 % des décideurs indiquent que les mots de passe BIOS dans leur entreprise sont partagés et utilisés trop largement, ou ne sont pas assez forts. Les attaques matérielles visant les firmwares peuvent donner aux adversaires un contrôle total sur les appareils : ils parviennent à s’introduire au cœur des systèmes. Contre ces attaques, les outils de sécurité traditionnels et la restauration complète après une intrusion sont inefficaces.
Pour les équipes IT, il convient ainsi de contrôler régulièrement les logs de sécurité et d’analyser les firmwares, et de compléter ces examens avec un système de détection des anomalies ainsi qu’un détecteur d’ouverture physique déclenchant une alerte dès que le châssis est ouvert. Parmi les solutions développées par HP, nous sommes capables de détecter les accès physiques dans les appareils de nos clients dès l’ouverture du châssis. En cas de modification des couches basses, nous sommes en mesure de détecter l’acte malveillant, d’écraser la version reconfigurée par l’attaquant pour réinstaller une version saine du firmware, vérifiée et certifiée. Par ailleurs, nous garantissons la traçabilité de l’ensemble des actions effectuées sur la machine.
Quels sont les enjeux liés à la fin de vie de l’équipement ?
B.D : Il est d’abord important de s’assurer de la restitution de l’équipement avant le départ du salarié : 76 % des employés français ont déjà conservé au moins un ancien PC de travail… et les données qu’il contenait.
Les appareils sont souvent recyclés en interne ou dans un circuit secondaire. Dans tous les cas, il convient d’effacer les données de l’appareil non seulement du disque dur, mais aussi du BIOS et de tout composant susceptible de contenir des informations sensibles. Chez HP, nous prenons en charge l’effacement de l’intégralité de ses données, et fournissons un certificat d’effacement à l’entreprise.
En résumé, avec la suite HP Wolf Security, nous proposons une offre complète de solutions de sécurisation des équipes, adaptée aux différentes étapes de leur cycle de vie des équipements. Des outils de protection indispensables dans un contexte où les terminaux et leurs firmwares représentent une cible privilégiée des cybercriminels.
