Cybersécurité : ne négligez pas le cycle de vie des équipements IT

31 % des décideurs IT interrogés par Censuswide sur la commande de HP Inc. déclarent que « un de leurs fournisseurs de PC ou d’imprimantes a déjà échoué à un audit de cybersécurité au cours des cinq dernières années ». 27 % ajoutent que cet échec a entraîné la résiliation de leur contrat. La compromission des équipements a été sous les feux de l’actualité à cause des mésaventures récentes d’un mouvement paramilitaire libanais visé par les services secrets israéliens. Mais les cybercriminels peuvent utiliser les mêmes voies pour compromettre un SI d’entreprise. Le matériel introduit dans l’entreprise n’est pas nécessairement testé avant sa mise en route et sa connexion.

De ce fait, 55 % des décideurs IT interrogés « s’accordent sur le fait que l’absence d’implication des équipes IT / cybersécurité dans l’achat des équipements IT met l’entreprise en danger. » Même non-compromis chez le fournisseur, un matériel peut être ensuite compromis à cause de mauvaises pratiques. Par exemple, 47 % des décideurs IT admettent que « les mots de passe BIOS sont partagés et utilisés trop largement, ou ne sont pas assez forts » et « 52 % qu’ils changent rarement les mots de passe BIOS pendant la durée de vie d’un appareil ». Or le BIOS permet de compromettre une machine à un niveau qui n’est pas accessible aux EDR.

Même propre à l’entrée, le matériel est ensuite mal géré

Le BIOS et, plus largement, le firmware (micrologiciel embarqué) fait l’objet de mises à jour au même titre que n’importe quelle application. Or 58 % des décideurs IT « n’effectuent pas les mises à jour firmware lorsqu’elles leur sont proposées ». Pire : 55 % d’entre eux redoutent de réaliser ces mises à jour. Pour 79 %, malgré tout, « l’essor de l’IA permettra aux attaquants de développer des attaques plus rapidement, d’où la nécessité de ne pas retarder les mises à jour. »

Lorsqu’un matériel est volé, il y a une perte directe liée à la valeur du dit matériel et au coût de son remplacement. Selon HP, ce coût atteint 8,6 milliards de dollars dans le monde. 24 % des employés hybrides ont perdu un PC ou se le sont fait voler et le service informatique n’est informé, en moyenne, qu’au bout de vingt-quatre heures. Or ces appareils peuvent généralement se connecter au réseau de l’entreprise. Enfin, même sans vol ou perte, au bout d’un certain temps, le matériel va être déclassé, revendu, recyclé ou démantelé. 48 % des décideurs déclarent que les problèmes de sécurité des données constituent un obstacle majeur à la réutilisation, à la revente ou au recyclage des PC, contre 37 % pour les imprimantes.