Alors que les menaces numériques ne cessent d’évoluer, la sécurité matérielle et des firmwares doit être une priorité pour les entreprises françaises. Pourtant, les résultats d’un rapport mondial Device Lifecycle d’HP montrent que les décideurs, fournisseurs, ainsi que les employés perpétuent encore et toujours des pratiques à risque.
Confrontées à de nombreux défis en matière de cybersécurité, les entreprises françaises sous-estiment les vulnérabilités liées à leurs équipements. Une étude de HP, présenté ce jour, la veille de la journée mondiale de la protection des données personnelles, révèle que 81 % des décideurs IT négligent la sécurité matérielle et des firmwares.
Près des deux tiers (58 %) n’effectuent pas les mises à jour de leur firmware. Et pour 55 % d’entre eux, la raison est pour le moins étonnante. Ils disent craindre que les mises à jour n’occasionnent des perturbations et ne rendent leur PC inutilisable. Ce qu’on appelle le FOMU (Fear of Missing Update). L’étude met aussi en lumière des manquements du côté des fournisseurs. 31 % des décideurs ont déclaré qu’un de leurs fournisseurs de PC ou d’imprimantes a déjà échoué à un audit de cybersécurité, ce qui a conduit à la résiliation du contrat dans 27 % des cas.
Des PC défectueux pas toujours remplacés
Côté employé, le constat n’est pas plus reluisant et le manque de vigilance, s’il n’est pas la norme, semble être une fâcheuse habitude pour une bonne partie d’entre eux. 24 % de ceux qui pratiquent le télétravail (TT) disent avoir perdu leur PC ou se l’être fait voler, et 40 % d’entre eux ont mis plus de 24 heures avant de signaler l’incident à leur service informatique. Cela fait peser un risque supplémentaire sur les données de l'entreprise potentiellement stockées sur ces appareils.
Autre enseignement, souvent par peur d'une interruption de travail prolongée, 27 % des employés préfèrent conserver un vieux PC peu performant plutôt que de demander à ce qu’il soit remplacé ou réparé. Pour 54 % des employés, 2,5 jours en moyenne ont été nécessaires pour remplacer leur PC portable défectueux. En attendant, ils utilisent des appareils personnels ou empruntés à leur famille ou amis, sur lesquels les services informatiques n’ont aucune visibilité.
Supervision à distance
Face aux lacunes observées, HP a formulé des recommandations afin de mieux gérer la sécurité matérielle et des firmwares. L’entreprise recommande ainsi aux équipes IT, Sécurité et Achats de collaborer pour définir des exigences en matière de sécurité matérielle. Cela passe aussi par l’adoption de solutions permettant l’intégration sécurisée à distance des appareils et profils utilisateurs, ainsi que la définition sécurisée des paramètres des firmwares. HP recommande également de recourir à des outils permettant de surveiller et mettre à jour les configurations des appareils à distance, le tout rapidement. Les équipes IT devraient en outre avoir la capacité de verrouiller et effacer les données à distance – même si l’appareil est éteint – en cas de perte ou de vol. Les équipes IT/cyber sont aussi invitées à surveiller les logs des audits des appareils afin d’identifier les risques de sécurité.
