Qu’est-ce qu’une imprimante ? Un périphérique, c’est-à-dire un élément du parc de l’entreprise et donc de son système d’information. Un périphérique au double sens du terme, éloigné et secondaire en matière de sécurité. Les imprimantes d’aujourd’hui sont pourtant des terminaux puissants, placés en réseau, donc aussi vulnérables que n’importe quel point d’accès : un PC, un smartphone, un portail. Les imprimantes sont devenues à leur tour des points d’entrée pour les cyberattaques. Les données financières sont là aussi accessibles, comme pour n’importe quel point du réseau.
Des failles élevées
Pour preuve, l’Institut Spiceworks a mené une enquête auprès de 300 décideurs informatiques. Elle montre que 16% d’entre eux seulement sont conscient du risque de sécurité pour leur parc d’imprimantes. Certes, les failles sont sensiblement moins importantes que pour des ordinateurs, mais elles sont quand même élevées, d’autant plus que le risque est sous-estimé. Facteur aggravant, si les imprimantes, leur entretien, le papier et les consommables, sont soumis à des contrôles budgétaires de plus en plus stricts, l’aspect sécurité est moins bien pris en compte.
Dans le détail, l’étude montre que les imprimantes sont jugées comme étant une menace pour la sécurité externe dans 16% des cas. Même chiffre pour la sécurité interne. A contrario les smartphones sont jugées vulnérables pour 36% des répondants, pour la sécurité externe, à 38% pour la sécurité interne. Quant aux ordinateurs de bureau, ou aux ordinateurs portables, ils sont considérés à 81% comme t une menace pour la sécurité externe, à 80% pour la sécurité interne.
Or, 74% des responsables interrogés dans l’étude ont subi une menace ou une faille en matière de sécurité externe. Ils sont 70% dans le même cas pour la sécurité de type interne. Le risque est bien réel, mais il n’est guère associé aux imprimantes.
Un phénomène ancien
Les chiffres de Spiceworks paraissent très clairs. Néanmoins, remarque l’Institut les 16% réunis par les imprimantes sont en nette progression : en 2014, les imprimantes ne représentaient un risque que pour 4% des responsables interrogés. La vulnérabilité des imprimantes est clairement sous-estimée selon Spiceworks et ce phénomène est ancien. Chacun est témoin de documents laissés à l’abandon dans un bac d’imprimantes et dans des endroits faciles d’accès. Malgré la dématérialisation de documents, leur impression reste très pratiquée, sans évaluation des risques et sans contrôle des autorisations pour les utilisateurs.
Selon la même étude, trois organisations sur cinq ont pourtant mis en place des procédures de sécurité pour leurs imprimantes. Mais, c’est très inférieur à celui des autres types de terminaux et de réseaux, alors même que des solutions existent.