Entretien Gérald Kugler, HP : « Les terminaux contribuent à la résilience de l'entreprise »

Le constructeur HP a bâti une stratégie ambitieuse afin de doter ses équipements de systèmes de sécurité indépendants de tout éditeur tiers. Gérald Kugler, son Chief Technologist Officer, nous en donne les détails.

Quelle place un acteur tel que HP occupe-t-il aujourd’hui dans le secteur de la cybersécurité ?

HP est un concepteur et un fabricant de systèmes personnels, de solutions d’impression et de visioconférence, etc. Notre vision est que ces équipements « end-point » doivent participer à la résilience de l’entreprise. De par leur conception, les terminaux doivent apporter une part active à la protection globale des organisations. Il y a en effet beaucoup d’intelligence embarquée dans ces matériels qui peuvent être détournés de leur usage premier.

Nous nous inscrivons d’ailleurs dans l’esprit des nouvelles directives européennes comme le CyberScore ou le Cyber Resilience Act qui mettent en avant la résilience des équipements et de la chaîne d’approvisionnement.

Les imprimantes sont-elles des cibles privilégiées pour les cybercriminels ?

Elles ne sont pas aujourd’hui forcément « en première ligne » mais restent en bonne position des équipements ciblés. Si nous examinons la conception d’une imprimante, nous constatons qu’elle embarque un processeur, de la mémoire, des services réseau… J’ai d’ailleurs pour habitude de dire que l’imprimante est un ordinateur comme les autres. Elle peut donc représenter une cible pour les cybercriminels ; et il y a déjà eu des détournements d’usage. Nous l’avons par exemple constaté au début de la guerre en Ukraine, avec la diffusion de messages de propagande au travers d’imprimantes.

Au sein des laboratoires HP, nos chercheurs en cybersécurité travaillent de façon générique. Quand ils mettent en application des mesures de détection et de protection, ils le font sur les imprimantes, les ordinateurs ou les stations de travail, sans faire de différence. Ils envisagent les protections qui doivent être apportées sur tous les types de terminaux, de manière holistique, dont les imprimantes.

Sensibilisez-vous vos clients à la sécurité de leurs terminaux ?

Lorsque nous sommes en prise directe avec des entreprises, les grands comptes par exemple, nous proposons de façon proactive d’organiser des ateliers de travail avec leurs équipes IT et sécurité. Nous leur fournissons alors toutes nos préconisations sur le sujet, car parfois les clients ne pensent pas à sécuriser cette partie-là de leur système d’information.

Nous proposons également des services d’évaluation du risque, avec des préconisations adaptées au contexte client, et des services et gouvernance pour assurer que le flotte d’impression reste sécurisée tout au long du contrat.

Sécuriser une imprimante, qu’est-ce que cela signifie concrètement ?

Sécuriser une imprimante, cela signifie sécuriser le BIOS, les firmwares, la mémoire, le système… Nous sécurisons l’ensemble des couches. Nous partons de sous-l’OS, donc à partir du BIOS et du matériel, et nous réalisons des contrôles d’intégrité assortis de mécanismes d’auto-réparation. Nous agissons sur le système et au-dessus du système, avec la même logique.

Nous attachons beaucoup d’importance aux couches situées sous l’OS. Les attaques du BIOS et du firmware sont en effet particulièrement délicates, car elles ne sont pas repérables par les antivirus. La protection de ces composants est donc stratégique, c’est la raison pour laquelle HP le fait de façon native.

Aujourd’hui, nous assistons à une sophistication des équipements et à une explosion des objets connectés. Comment s’adapter à ces évolutions en matière de sécurité ?

Par la mise en place de mécanismes de protection « by design », c’est-à-dire directement intégrés aux équipements. Il s’agit de la meilleure protection qui soit. Elle évite par exemple de s’appuyer sur des composants ou des logiciels tiers.

Ainsi, nous ne rajoutons pas d’antivirus de tel ou tel éditeur dans nos imprimantes, car si nous le faisions, il y aurait une certaine dépendance à un fournisseur que nous ne maîtrisons pas forcément. Nous réintégrons donc un maximum d’éléments dans la machine par défaut. Nous parlons de « hardware résilient » car les terminaux ont la capacité à s’auto protéger, et s’auto réparer face à une attaque.

Comment prenez-vous en compte les environnements de plus en plus ouverts des entreprises ?

Il est vrai que nos équipements sont de plus en plus exposés en raison de l’ouverture croissante des environnements clients. Aujourd’hui, les usages cloud se généralisent et de plus en plus de collaborateurs travaillent de chez eux où ils sont connectés au travers de leur box Internet…

Dans ce contexte, nous intégrons des protocoles et des configurations sécurisés par défaut. Nous protégeons les connexions et les communications vers l’extérieur, avec notamment l’implémentation de TLS pour la partie liée aux connexions sécurisées et le chiffrement des données avec de l’AES-256. Nous pouvons vérifier et appliquer des politiques de sécurité au travers d’Internet. Les imprimantes utilisées à domicile sont donc maintenues avec le même niveau de sécurité que celles situées dans l’entreprise.

Pour les services que nous fournissons en ligne, comme celui de l’approvisionnement automatisé en encre, nous appliquons le principe du Zero Trust. La liaison ne peut s’établir que si nous avons préalablement autorisé la machine, avec son numéro de série et un ensemble de paramètres connexes, à se connecter au service.

À noter également que nous avons certifié la sécurité de la chaine d’approvisionnement des machines et des consommables pour se prémunir de tentatives d’intrusion ou de corruptions sur l’ensemble du cycle de vie des produits : la conception, l’approvisionnement, l’assemblage, le transport, l’usage et la fin de vie.

Quels mécanismes mettez-vous en place contre les ransomwares ?

Les imprimantes sont assez peu sensibles au risque de ransomware, car il n’y a pas d’action directe de l’utilisateur sur le système, les interfaces applicatives qui sont activées sont protégées. Ce n’est pas le cas des PC. Pour contrer les ransomwares, nous avons intégré des protections sous forme de micro-virtualisation.

Nous avons une fonctionnalité baptisée HP Sure Click. Il s’agit d’un mécanisme de micro-virtualisation. Les documents, les pièces jointes, les pages Web ne sont pas ouverts directement mais sont isolés du système à travers des micro-machines virtuelles créées à la volée.

Si un malware se déclenche, il est conteneurisé dans cette micro-VM et n’a pas accès au système, ni au réseau. Lorsque l’utilisateur ferme le document, cela détruit la micro-machine virtuelle et, de facto, le code malveillant.