Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Sécurité et RGPD, une priorité… à implémenter sur MFP !

février 2018 par Jean-Pierre BLANGER- Directeur Solutions, Services

Lors de deux précédant articles, nous avons exploré les stratégies à déployer pour conduire une politique de sécurité. Dans un premier temps nous avons rappelé le contexte puis, nous avons analysé les obligations imposées par le RGPD et ses conséquences sur les infrastructures documentaires d’entreprise. Pour terminer cette série d’articles, je souhaite maintenant très concrètement exposer quelques solutions intégrées ou optionnelles des multifonctions Ricoh (MFP) pour garantir la sécurité et la conformité.

En préalable, je vous propose de consacrer quelques secondes à l’illustration ci-après, pour mesurer combien un périphérique de capture et impression de documents connecté (MFP) présente potentiellement de vulnérabilités et menaces :

Tout cela peut s’avérer impressionnant pour certains lecteurs. Pourtant, tous les objets connectés - un MFP est un objet connecté - sont susceptibles de devoir affronter tout ou partie de ces vulnérabilités et menaces.

Conçu depuis des dizaines d’années pour faire face à des situations de cyberattaques polymorphes toujours plus nombreuses, Ricoh a intégré et développé de nombreuses ripostes sécurisant ses équipements.
Sans chercher l’exhaustivité, je propose de mentionner quelques dispositifs de sécurité au regard du triptyque : Réseau, Utilisateur et Apps.

Réseau

Commençons notre analyse par les dispositifs utiles à la sécurisation des MFP dès lors qu’ils sont connectés au réseau de l’entreprise ou à l’internet.
Les premières composantes de la sécurité sont fondées sur le filtrage IP, la fermeture des ports et les certificats SSL/TLS. Ensuite, vient le système d’exploitation de l’équipement qui est contrôlé uniquement par Ricoh et dont les fonctions principales sont certifiées ISO 15408 EAL 2+.
L’interface utilisateur dite SOP (Smart Operation Panel) n’autorise aucune exécution logicielle qui n’ait été signée, contrôlé et certifié pour éliminer toute possibilité d’installation logicielle pirate.

Enfin les composantes internes du système de capture et d’impression de documents sont sécurisées par le chiffrage du disque dur et son système Data Overwrite Security (EAL 3) pour l’effacement des données temporaires, la RAM sécurisée et d’un module TPM de validation de non modification des firmwares avant toute utilisation.
En cas de doute ou de besoin, les logiciels sont immédiatement mis à jour par le système @Remote de Ricoh afin d’éliminer tout risque ou de faire évoluer l’équipement.

Utilisateur

L’usage des MFP est soumis à la stratégie de sécurité : AAAA qui signifie Authentification – Autorisation – Accounting – Audit.
En d’autres termes, le MFP gère l’authentification par login, badge, smartphone… et détermine ainsi les autorisations d’accès des utilisateurs aux services documentaires disponibles. Il ‘journalise’ les opérations localement ou sur serveur en fonction des solutions logicielles installées et compte les volumes d’utilisation de chaque opération.

Ainsi contrôlés, les usages des MFP sont maîtrisés et la conformité RGPD est assurée par la possibilité d’exploitation de l’impression sécurisée, le scan sécurisé, l’accès aux fonctionnalités autorisées,… autant d’utilisations critiques pour se préserver de failles de sécurité préjudiciables à la confidentialité des informations transmises aux MFP.

Apps

Les capacités de capture de documents font des MFPs, les points d’entrée de nombreuses applications génériques comme le serveur de télécopie, la GED, l’archivage électronique,… ainsi que d’applications métiers comme la capture et le traitement de factures, la capture de pièces constitutives de dossiers clients, la saisie de notes de frais,…

Ces applications constituent autant de points d’attention à analyser avec précision. Elles forment une passerelle entre les serveurs et le MFP. Elles doivent donc parfaitement sécuriser le document afin d’éviter toute fuite d’information.
Ricoh propose d’utiliser ses applications Streamline NX ou SI-Cloud qui répondent à ces impératifs tout en facilitant la mise en œuvre de passerelles avec les serveurs grâce à de nombreux connecteurs validés et signés pour les workflow documentaires depuis les MFPs.
Evidemment, Ricoh propose aussi des solutions pour imprimer les documents en toute sécurité ou les conserver dans ses applications en mode SaaS telles que : MyPrint (Impression mobile), iCM (GED), RESOPOST (pour les courriers dématérialisés), S@fekeep+ (Archivage électronique probant)…

Normalisation et certification

Avant de conclure, je tiens à rappeler que les déclarations de bonne foi, ne suffisent pas en matière de sécurité. Des normes certifiantes existent et Ricoh les applique. Parcourons ensemble trois exemples majeurs pour les MFPs :
 ISO / CEI 15408 : Norme fondée sur le référentiel Common Criteria (CC) for Information Technology Security Evaluation.

Les « Critères Communs » permettent, sur la base d’une cible de sécurité (périmètre défini par le constructeur), de vérifier si les fonctions de sécurité des produits informatiques sont correctement développées conformément aux déclarations du constructeur.

 IEEE P2600 : norme qui définit des profils de protections sur lesquels plusieurs constructeurs se sont concertés pour en définir les attributs à satisfaire.
Elle autorise la comparaison des exigences de sécurité entre périphériques d’impression de différents constructeurs.
 ISO/CEI 27000 : suite de normes qui recommande les meilleures pratiques (27002) en gestion de la sécurité de l’information. Elles précisent notamment, les exigences (27001) en matière de Système de Management de la Sécurité de l’Information ainsi que les pratiques de mise en œuvre (27003), d’évaluation (27004), de gestion des risques (27005).

Le corpus de normes, règlements, lois et bonnes pratiques s’étend régulièrement. Il est maîtrisé par Ricoh qui reste systématiquement en veille auprès des centres internationaux d’alertes pour toujours implémenter au mieux les dispositifs adéquats pour traiter toutes les vulnérabilités. De la même façon pour les Développement durable ou le Coût objectif que Ricoh traite avec autant de sérieux, la sécurité des MFPs dès leur conception.

Je conclurai ainsi cette série de trois articles : « Nous restons en veille pour votre sécurité… et notre sécurité. La sécurité et le RGPD : une priorité… à piloter !…. »


Voir les articles précédents

    

Voir les articles suivants