MFC : L’ennemi de la confidentialité

Leur développement s’est accéléré à la suite de la publication de la Circulaire du 3 décembre 2008 relative à l'exemplarité de l'Etat au regard du développement durable dans le fonctionnement de ses services et de ses établissements publics où il est demandé aux établissements publics de supprimer les imprimantes à jet d’encre, de ne pas remplacer 80 % des imprimantes individuelles et de généraliser la mise en place des copieurs multifonctions.

Les préconisations ont été en partie respectées, les établissements ont déployé plus de MFC, mais les objectifs de réduction en matière d’imprimantes individuelles ont-ils été atteints ? Pour ce qui est des imprimantes à jet d’encre, lors d’une récente visite dans un établissement dont je tairai le nom, j’ai pu en voir une toute neuve trônant sur un bureau…

Pour en revenir à notre sujet, le copieur multifonction présente des faiblesses en termes de sécurité dans chacune de ses fonctionnalités.

L’impression 

Le copieur est bien souvent installé dans des lieux où il y a du passage, et des documents imprimés contenant des informations confidentielles, telles que des données de santé à caractère personnel, peuvent se retrouver à la vue de personnes qui n’ont pas à les voir, d’où l’intérêt de bien choisir son emplacement physique. Pour pallier ce problème, la plupart des constructeurs ont développé une fonction souvent appelée « impression privée » ou « impression sécurisée » permettant à l’utilisateur de verrouiller son impression pendant le laps de temps où il se rend physiquement devant le copieur et de la déverrouiller grâce à un « mot de passe ». Comme souvent en matière de sécurité, c’est la méconnaissance et le manque de sensibilisation des utilisateurs qui font défaut. Pourtant la PSSI de l’Etat [1] impose la définition d’une procédure garantissant le contrôle de l’utilisateur, du déclenchement de l’impression jusqu’à la récupération du support imprimé.

Le scan to mail

La numérisation de documents pour un envoi vers une messagerie électronique est une fonction très pratique, mais qui peut présenter un risque en matière de confidentialité des données. L’envoi de documents numérisés depuis un copieur multifonction vers une messagerie externe à l’établissement apparaîtra comme une aberration pour tous les RSSI [2] et CIL [3] (enfin je l’espère), mais pas pour les utilisateurs ! J’ai encore été récemment interpellé par une secrétaire qui m’a demandé pourquoi le D^r X ne recevait pas sur sa messagerie Wanadoo le compte rendu de M^me Michu qu’elle avait numérisé et qu’elle essayait de lui envoyer depuis le copieur de son service. La PSSI de l’Etat, applicable depuis un peu plus de deux ans maintenant, m’a permis de lui apporter une réponse sur laquelle il n’y a pas de discussion possible : c’est la loi ! En effet, tous les établissements publics sont tenus de bloquer les envois de messages électroniques depuis les MFC vers l’extérieur.

Le scan to file (local)

De nombreux constructeurs offrent la possibilité de numériser des documents et de les stocker sur un partage local sur la machine. Simple et rapide, l’utilisateur a juste à récupérer son document en se rendant sur l’espace de stockage partagé sur le MFC lui-même, le gros problème étant qu’il est souvent impossible de gérer les droits d’accès utilisateurs sur ce type de répertoires. Donc n’importe quel utilisateur connecté sur le réseau peut accéder à ses données, où là encore il peut y avoir des données de santé à caractère personnel. Qu’advient-il des données lorsque le prestataire de ce matériel bien souvent en location récupère le copieur ? 

Le scan to file (vers un serveur de fichiers)

Envoyer les documents numérisés vers un serveur de fichiers administré par l’établissement, capable de gérer les droits utilisateurs, permet d’améliorer la confidentialité des données numérisées en les stockant dans un répertoire où l’accès est restreint à un certain nombre d’utilisateurs. Mais cela nécessite l’enregistrement d’un compte utilisateur disposant des droits d’écriture sur le(s) dossier(s) dans le MFC lui-même. Les systèmes embarqués sur ces machines n’étant que très rarement mis à jour et très difficiles à administrer de façon centralisée par rapport à des ordinateurs, ils peuvent présenter des vulnérabilités, et je vous recommande d’utiliser un compte dédié uniquement à cette utilisation. 

Pour résumer, le MFC n’est pas l’ami des RSSI.

[1] La Politique de sécurité des systèmes d’information de l’État définit les règles à respecter en matière de sécurité numérique pour les établissements publics.

[2] Le Référent Sécurité des systèmes d’information/Responsable Sécurité des systèmes d’information est une personne physique dont la place dans la hiérarchie et l’ensemble de ses attributions font débat, à juste titre, en particulier dans le secteur de la santé. Son rôle principal consiste à être le garant de la sécurité de systèmes d’information par diverses actions. Je conseille l’excellent livre de Cédric Cartau, La sécurité du système d’information des établissements de santé, qui vous permettra d’en savoir plus sur ce métier en pleine expansion.

[3] Le correspondant Informatique et Libertés est l’intermédiaire entre le responsable du traitement (l’entreprise ou l’établissement déclarant) et la CNIL.