Un récent rapport publié par HP Inc. révèle un manque de sécurité lié au matériel informatique. Sont pointés du doigt le manque de mises à jour, d’audits de surveillance, mais aussi les conséquences des pratiques de certains employés.
En France, plus de huit décideurs IT et cyber sur dix (81%), parmi les 150 interrogés par HP Inc., reconnaissent que leur maitrise de la sécurité matérielle est moins élevée que celle en matière de sécurité software. Pourtant, « l’achat d’un PC fixe, portable ou d’une imprimante implique une prise en compte de sa sécurité sur le long terme”, rappelle Boris Balacheff, le directeur de la recherche et de l’innovation pour la sécurité chez HP Inc. Or, 48 % des décideurs français ont déclaré que leurs équipes achats collaborent rarement avec les services informatiques pour vérifier les engagements des fournisseurs en matière de sécurité. Par ailleurs, les dires des fournisseurs sont difficilement vérifiables. 36% d’entre eux disent s’y fier aveuglément. Pourtant, « choisir des fournisseurs technologiques de confiance est primordial”, explique Michael Heywood, responsable de la sécurité de l’information, chez HP Inc. « Les entreprises et organisations ont besoin de preuves tangibles – briefings techniques, documentation détaillée, audits réguliers et processus de validation rigoureux – pour s’assurer que les exigences de sécurité soient respectées et que les appareils sont opérationnels de manières sûre et efficace », ajoute-t-il. Les audits mentionnés sont nécessaires pour la deuxième étape de suivi. 31% des décideurs déclarent qu’un de leurs fournisseurs de PC ou d’imprimantes a déjà échoué à un audit de cybersécurité au cours des cinq dernières années conduisant à la résiliation de leur contrat (27%). Avec des échecs aussi courants, il est d’autant plus important d’effectuer une vérification.
Des comportements à risque
L’enjeu de la sécurité des mots de passe est le plus connu, pourtant, 52 % des décideurs français admettent rarement changer les mots de passe BIOS, responsables du démarrage du système, pendant la durée de vie d’un appareil. Les mises à jour des firmware sont également souvent ignorées, révèle l’étude. 58% des décideurs n’effectuent pas les mises à niveau lorsqu’elles leur sont proposées. Pire, 55% redoutent leurs effets. “Plus longtemps une vulnérabilité n’est pas corrigée, plus grande est la fenêtre d’opportunité pour l’exploiter”, avertit Boris Balacheff. De la même manière, les vols ou les pertes de matériels entraînent des risques de sécurité. Ceux-ci arrivent fréquemment, 24% des employés français interrogés confient avoir perdu ou s’être fait voler un PC donné dans le cadre du travail. Ils ont mis, en moyenne, 24 heures avant d’en informer le service informatique. Dans cette situation, il est primordial que les équipes IT puissent effacer à distance les données des appareils. Ces données sont l’une des principales inquiétudes liées à la sécurité du hardware. En effet, 48% des décideurs déclarent que les problèmes de sécurité des données sont un obstacle majeur au recyclage des ordinateurs. Ils sont même 61% à disposer d’un nombre important d’appareils qui pourraient être réutilisés s’ils étaient totalement remis à zéro. Pour respecter leurs objectifs environnementaux, “il est essentiel pour les organisations de trouver un fournisseur de confiance qui propose un certificat de nettoyage des données », commente Grant Hoffman, responsable de la chaîne d’approvisionnement chez HP Solutions. Un autre facteur empêchant la réutilisation des appareils est la tendance des employés à conserver leur PC de travail. Pourtant, 76% des employés français interrogés affirment l’avoir fait.