En France, les résultats (échantillon de 150 décideurs IT et cyber, et 1014 employés en travail hybride), montrent que la sécurité des plateformes est une préoccupation de plus en plus forte dans les entreprises, avec 85% des décideurs qui reconnaissent que la sécurité du matériel et des firmwares doit devenir une priorité. Toutefois, 60% indiquent que les investissements dans ce domaine sont souvent négligés dans le coût total de possession (TCO) des appareils.

Parmi les résultats clés de cette étude menée notamment auprès d’entreprises françaises :

1. Sélection des fournisseurs - 31% des décideurs déclarent qu’un de leurs fournisseurs de PC ou d’imprimantes a déjà échoué à un audit de cybersécurité au cours des cinq dernières années conduisant à la résiliation de leur contrat (27%). 55 % des décideurs s’accordent sur le fait que l’absence d’implication des équipes IT / cybersécurité dans l’achat des équipements IT met l’entreprise en danger.
2. Mise en marche et configuration – 47 % des décideurs disent que les mots de passe BIOS sont partagés et utilisés trop largement, ou ne sont pas assez forts. Par ailleurs, 52 % admettent qu’ils changent rarement les mots de passe BIOS pendant la durée de vie d’un appareil.
3. Gestion continue - Plus de 58 % des décideurs n’effectuent pas les mises à jour firmware lorsqu’elles leur sont proposées. 55 % d’entre eux déclarent craindre de faire des mises à jour - ce qu’on appelle le « FOMU ». Pourtant, 79 % sont convaincus que l’essor de l’IA permettra aux attaquants de développer des attaques plus rapidement, d’où la nécessité de ne pas retarder les mises à jour.

4. Monitoring et remédiation - Chaque année, les appareils perdus ou volés coûtent aux entreprises environ 8,6 milliards de dollars[i] dans le monde. 24 % des employés hybrides ont perdu un PC ou se le sont fait voler. Ils ont mis en moyenne 24 heures avant d’en informer le service informatique.

5. Seconde vie et démantèlement – 48 % des décideurs déclarent que les problèmes de sécurité des données constituent un obstacle majeur à la réutilisation, à la revente ou au recyclage des PC, contre 37 % pour les imprimantes.

« L’achat d’un PC fixe, portable ou d’une imprimante implique une prise en compte de sa sécurité sur le long terme. La priorité, ou non, accordée aux exigences de sécurité du hardware et des firmwares lors de l’achat a une incidence sur la durée de vie complète d’un parc informatique. Exposition accrue aux risques, augmentation des coûts, mauvaise expérience utilisateur : ce sont autant de conséquences possibles si les exigences en matière de sécurité et de gestion ne sont pas exemplaires », avertit Boris Balacheff, Chief Technologist for Security Research and Innovation chez HP Inc. « Il est essentiel que les appareils des utilisateurs finaux soient parés face aux risques cyber. Cela commence par s’assurer de la sécurité matérielle et des firmwares et améliorer la façon dont les équipements sont gérés tout au long de leur cycle de vie ».

De l’usine à l’utilisateur : la sélection de fournisseurs peu précautionneux, des défauts de configuration impactent la sécurité des appareils tout au long de leur cycle de vie

L’étude souligne la nécessité pour les équipes IT et cyber d’être impliquées dans le processus d’achat des nouveaux appareils, de définir les exigences et de vérifier les engagements des fournisseurs en matière de sécurité :
• 48 % des décideurs IT et cyber français déclarent que les équipes achats collaborent rarement avec les services informatiques / cybersécurité pour vérifier les engagements des fournisseurs en matière de sécurité.
• 36 % d’entre eux admettent qu’ils doivent se fier aux propos des fournisseurs car ils n’ont pas les moyens de valider les affirmations concernant la sécurité durant les appels d’offres.
• 43 % indiquent même que les équipes achats sont « trop crédules » et qu’elles croient tout ce que leur déclarent les fournisseurs.

Les professionnels de l’informatique sont également inquiets de leur capacité limitée à intégrer et à configurer les appareils jusqu’au niveau du matériel et des firmwares :
• Pour assurer la sécurité, 85 % des décideurs français souhaitent que l’onboarding "zéro-touch" (configuration et déploiement des appareils à distance) via le cloud inclue la configuration de la sécurité du matériel et des firmwares.
• 59 % se disent agacés de ne pas pouvoir configurer les appareils via le cloud.

« Choisir des fournisseurs technologiques de confiance est primordial. Mais lorsqu’il s’agit de la sécurité des appareils, qui peuvent représenter des points d’entrée dans votre infrastructure informatique, il est indispensable d’avoir une confiance aveugle », explique Michael Heywood, Business Information Security Officer, Supply Chain Cybersecurity chez HP Inc. « Les entreprises et organisations ont besoin de preuves tangibles - briefings techniques, documentation détaillée, audits réguliers et processus de validation rigoureux - pour s’assurer que les exigences de sécurité soient respectées et que les appareils sont opérationnels de manières sûre et efficace. »

Gestion, surveillance et récupération des appareils : quels sont les défis et les difficultés ?

En France, 69 % des décideurs déclarent que la démocratisation du télétravail a rendu la gestion de la sécurité globale d’une entreprise plus complexe où certaines pratiques engendrent des risques :
• 27 % des employés en France préfèrent conserver un ordinateur portable peu performant plutôt que de demander au service informatique de le réparer / remplacer, parce qu’ils ne peuvent pas se permettre un temps d’arrêt.
• 54 % des employés ont envoyé leur ordinateur portable en réparation affirment qu’il a fallu plus de 2,5 jours pour le réparer ou le remplacer. Dans cette situation, la plupart d’entre eux ont été forcé d’utiliser leur ordinateur portable personnel ou à en emprunter (famille, amis), brouillant ainsi les frontières entre usage personnel et professionnel.
• 14% déclarent avoir fait réparer un appareil professionnel par un fournisseur tiers non autorisé, compromettant la sécurité et l’intégrité de l’équipement.

Il est crucial de surveiller et de remédier aux attaques matérielles et visant les firmwares afin d’empêcher les cyber malfaiteurs d’accéder aux données sensibles. Malgré cela, 81 % des décideurs IT et cyber en France avouent que leur maitrise de la sécurité matérielle et firmware est moins élevée que celle en matière de sécurité software. De plus, ils manquent d’outils performants pour assurer la surveillance et le contrôle sur l’ensemble du parc :
• 61 % d’entre eux déclarent être soumis à de multiples angles morts concernant les vulnérabilités et les mauvaises configurations du matériel et des firmwares.
• 52 % ne sont pas capables d’analyser l’impact des incidents de sécurité passés sur le matériel et les firmwares afin d’évaluer les équipements à risque.
• 57 % affirment qu’il est impossible de détecter et d’anticiper ce type d’attaques, et considèrent que la restauration complète après l’intrusion est la seule solution.

"La restauration complète après une intrusion n’est pas efficace lorsqu’il s’agit d’attaques matérielles et firmwares", prévient Alex Holland, Principal Threat Researcher au HP Security Lab. "Ces attaques peuvent donner aux adversaires un contrôle total sur les appareils : ils parviennent à s’introduire au cœur des systèmes. Les outils de sécurité traditionnels sont inefficaces car ils ont tendance à se concentrer sur les couches logicielles et de système d’exploitation, ce qui rend leur détection presque impossible. Il est essentiel de prévenir ou de contenir ces attaques dès le départ pour garder une longueur d’avance, faute de quoi les entreprises risquent d’être confrontées à une menace qu’elles ne peuvent ni voir, ni éliminer".

Seconde vie et démantèlement - comment les problèmes de sécurité des données conduisent à une augmentation des déchets électroniques

Les problèmes de sécurité empêchent également les entreprises de réutiliser, recycler ou revendre les appareils en fin de vie :
• En France, 57 % des décideurs IT déclarent qu’il est trop difficile de donner une seconde vie aux appareils et qu’ils les détruisent souvent pour des raisons de sécurité des données.
• 61 % indiquent qu’ils disposent d’un nombre important d’appareils qui pourraient être réutilisés ou donnés s’ils étaient totalement remis à zéro.
• 50 % admettent que leur incapacité à recycler et à réutiliser des ordinateurs portables parfaitement utilisables est à l’origine d’une forte augmentation de déchets électroniques.

Pour compliquer encore les choses, de nombreux employés conservent d’anciens équipements professionnels. Cela empêche non seulement la réutilisation des appareils, mais crée également des risques pour la sécurité des données puisqu’ils peuvent encore contenir des données sensibles de l’entreprise :
• 76 % des employés interrogés en France ont conservé au moins un ancien PC de travail.
• 10 % des employés ont quitté un emploi sans rendre leur appareil immédiatement, et 5 % affirment ne l’avoir jamais rendu.

"Les équipes informatiques conservent les appareils en fin de vie parce qu’elles n’ont pas la garantie que toutes les données sensibles de l’entreprise ou les données personnelles ont été complètement effacées - ce qui, en soi, peut impliquer des risques pour la sécurité des données et avoir un impact négatif sur les objectifs ESG (Environnementaux, Sociaux et de Gouvernance) de l’entreprise. Pour que les organisations puissent respecter leurs exigences de conformité, il est essentiel de trouver un fournisseur de confiance qui propose des protocoles d’effacement ou de destruction efficaces et qui fournit un certificat de nettoyage des données. ", commente Grant Hoffman, SVP Operations and Portfolio, HP Solutions.

Améliorer les plateformes de sécurité avec une nouvelle approche du cycle de vie des appareils

63% des entreprises françaises déclarent que leur approche de la gestion de la sécurité matérielle et des firmware ne couvre qu’une petite partie du cycle de vie complet des appareils, les laissant exposés aux menaces. Les équipes sont alors incapables de contrôler la sécurité de la sélection du fournisseur jusqu’à la mise hors service.

Pour éviter ce scénario, voici les recommandations des experts HP Wolf Security :

• Sélection des fournisseurs : toujours veiller à ce que les équipes IT, Sécurité et Achats collaborent pour définir les exigences en matière de sécurité et de résilience pour les nouveaux appareils. Valider les déclarations de sécurité des fournisseurs et auditer la gestion de la sécurité lors de la fabrication.

• Mise en marche et configuration : rechercher des solutions qui permettent l’intégration sécurisée à distance des appareils et des profils utilisateurs, et la définition sécurisée des paramètres des firmwares, tout en s’assurant d’avoir une authentification forte notamment pour les mots de passe BIOS.

• Gestion continue : identifier les outils qui aideront le service informatique à surveiller et à mettre à jour la configuration des appareils à distance et à déployer rapidement les mises à jour du firmware afin de réduire les potentielles vulnérabilités du parc.

• Monitoring et remédiation :
o Veiller à ce que les équipes IT / cyber puissent trouver, verrouiller et effacer les données des appareils à distance - même ceux qui sont hors tension - afin de réduire le risque de perte ou de vol d’appareils.
o Améliorer la résilience en surveillant les « audit logs » des appareils afin d’identifier les risques de sécurité, comme les signes de violations des équipements ou les modifications non autorisées du matériel et des firmwares.

• Seconde vie et remédiation : donner la priorité aux appareils capables d’effacer en toute sécurité les données sensibles pour permettre une mise hors service en toute sécurité. Avant de redéployer les appareils, il convient de vérifier l’historique de leur cycle de vie afin de s’assurer de l’intégrité du matériel et des firmwares.

Pour plus d’informations et de recommandations, téléchargez le rapport complet ici

Méthodologie
Echantillon des employés travaillant en mode hybride : enquête menée mondialement auprès de 6 055 employés de bureau qui travaillent de manière hybride, à distance ou depuis n’importe où aux États-Unis, au Canada, au Royaume-Uni, au Japon, en Allemagne et en France, du 22 au 30 mai 2024 – enquête réalisée en ligne par Censuswide. En France, 1014 employés ont répondu à l’enquête.

Echantillon Décideurs IT et Securité : enquête menée mondialement auprès de 803 décideurs informatique et sécurité aux États-Unis, au Canada, au Royaume-Uni, au Japon, en Allemagne et en France (150 en France), du 22 février au 5 mars 2024 - enquête réalisée en ligne par Censuswide.

À propos de HP
HP Inc. (NYSE : HPQ) est un leader technologique mondial et un créateur de solutions conçues pour les professionnels et les particuliers afin qu’ils puissent donner vie à leurs idées et se connecter à ce qui compte le plus pour eux. Présent dans plus de 170 pays, HP propose une large gamme d’équipements, de services et d’abonnements innovants et respectueux de l’environnement qui concernent l’informatique personnelle, l’impression bureautique et industrielle, l’impression 3D, le travail hybride, le gaming, et davantage. Pour plus d’informations, veuillez consulter le site : http://www.hp.com. .

[i] The global lost/stolen laptop epidemic figure was reached by taking the average number of laptops reported lost/stolen in the last year (103) by ITSDMs and the average cost of each lost/stolen laptop ($2,272). This comes to $234,119. The cost is then extrapolated across the number of large organizations (with 1,000+ employees) in the same territories as the research scope :

• United States – 17,834 large organizations (US Bureau of Labor Statistics)
• Canada – 2,868 large organizations (Government of Canada)
• UK – 3,900 (UK Government)
• Japan – 6,557 (eStat – Japanese Government Statistics)
• Germany – 4,304 (OECD)
• France – 1,460 (OECD)

In total, there are 36,923 large organizations. If each lost 103 laptops at an average cost of $2,273 ($234,119) then the global cost of lost/stolen laptops is $8,644,375,837.