Secu
Pourquoi assurer la sécurisation des équipements IT tout au long de leur cycle de vie ?
Par La rédaction, publié le 30 avril 2025
Une imprimante mal protégée ou un BIOS non mis à jour peuvent suffire à ouvrir une brèche majeure : la menace matérielle est bien réelle. La sécurisation des équipements IT ne s’arrête pas à leur acquisition : elle exige une vigilance continue, du choix des fournisseurs jusqu’à leur mise au rebut.
Par Benjamin Duchet, Chief Technologist de HP France
Les ordinateurs portables, les PC et les imprimantes sont aujourd’hui des équipements indispensables au fonctionnement des entreprises. Une récente étude de HP Wolf Security, montre que les plateformes de sécurité, qui consistent à sécuriser le matériel et les firmwares des PC fixes, portables et des imprimantes, sont souvent négligées, ce qui met en péril la cybersécurité globale de l’entreprise de manière durable.
Cette étude met en évidence les enjeux cyber auxquels font face les entreprises tout au long du cycle de vie des équipements IT : de la défaillance des audits fournisseurs, aux mots de passe BIOS, en passant par la crainte des mises à jour, les pertes et vols massifs d’appareils (qui représentent 8,6 milliards de dollars par an) ou encore la gestion des déchets électroniques.
Elle révèle que 81% des décideurs IT et cyber en France avouent que leur maitrise de la sécurité matérielle et des firmwares est moins élevée que celle en matière de sécurité logicielle. Par ailleurs, tous les fournisseurs ne considèrent pas cette protection multicouche comme une priorité stratégique, et beaucoup ne proposent pas d’outils adaptés pour assurer une gestion continue de la sécurité.
Pourtant, la protection des équipements joue un rôle clé dans la sécurisation globale des systèmes d’information. Exposition accrue aux risques, augmentation des coûts, mauvaise expérience utilisateur : ce sont autant de conséquences possibles si les exigences en matière de sécurité et de gestion ne sont pas exemplaires.
Sécuriser hardware et firmwares tout au long du cycle de vie des équipements
Les cyberattaques ciblant le hardware et les firmwares des équipements IT sont parmi les plus ingénieuses et persistantes. Elles peuvent donner aux hackers un contrôle total et sur le long terme des appareils d’une organisation et leur permettent de s’introduire au cœur des systèmes. De plus, la détection de ce type d’attaques est complexe et les outils de sécurité traditionnels sont inefficaces car ils ont tendance à se concentrer sur les couches logicielles et le système d’exploitation.
Malheureusement, cette réalité n’est pas toujours prise en compte dès la phase d’approvisionnement car elle est généralement ignorée au profit d’économies à court termes. Ainsi, 60% des décideurs IT français reconnaissent que la sécurité matérielle et des firmwares est souvent négligée dans l’évaluation du coût total de possession des terminaux.
Pourtant, la priorité, ou non, accordée aux exigences de sécurité du hardware et des firmwares lors de l’achat a une incidence sur la durée de vie complète d’un parc informatique. Récemment, des chercheurs d’ESET ont identifié par exemple un bootkit, baptisé BlackLotus, capable de contourner une fonction essentielle de l’OS Microsoft, l’UEFI (Unified Extensible Firmware Interface) Secure Boot. Le bootkit se sert d’une vulnérabilité datant de 2022 et il est capable de fonctionner sur Windows 11… Un choix inadéquat peut donc entraîner des conséquences importantes qui peuvent affaiblir la sécurité d’une organisation et augmenter ses coûts de gestion pour les années à venir.
Plusieurs pistes s’offrent aux entreprises pour améliorer la sécurisation des équipements, dès la sélection des fournisseurs technologiques et jusqu’à la gestion de leur fin de vie.
Sélectionner les bons fournisseurs technologiques
Maitriser la sécurité des terminaux commence dès la sélection des fournisseurs technologiques. Selon l’étude de HP Wolf Security, 48% des décideurs IT et cyber français déclarent que les équipes achats collaborent rarement avec les services informatiques et cybersécurité pour vérifier les engagements des fournisseurs en matière de sécurité. Ce choix a néanmoins un impact majeur : il s’agit de s’assurer que des mécanismes de contrôle sont mis en place auprès des prestataires pour s’assurer d’une sécurité à tous niveaux.
Par exemple, des cyberattaques physiques peuvent consister à altérer des composants des appareils lors de leur livraison. Les services IT doivent pouvoir se tourner vers un fournisseur qui propose des solutions pour s’assurer que les équipements n’ont pas été modifiés pendant les phases de transports. Il peut s’agir par exemple d’un système de verrouillage et d’envoi d’alerte lors de la détection d’ouverture de charnière.
Une coopération étroite entre IT, sécurité et achats est essentielle pour garantir que les exigences soient communes et soutiennent durablement la sécurité globale de l’entreprise. Les organisations doivent pouvoir s’appuyer sur des preuves tangibles – briefings techniques, documentation détaillée, audits réguliers et processus de validation rigoureux – pour s’assurer que les exigences de sécurité soient respectées et que les appareils sont opérationnels de manières sûre et efficace.
Aujourd’hui en France, 31% des décideurs déclarent qu’un de leurs fournisseurs de PC ou d’imprimantes a déjà échoué à un audit de cybersécurité au cours des cinq dernières années.
Plus préoccupant encore, 27% des entreprises ont estimé que ces échecs étaient suffisamment critiques pour justifier une résiliation de contrat.
Gérer en continue des flottes dispersées
Avec l’essor du travail hybride, les responsables de la cybersécurité font face à de nouveaux enjeux pour assurer la sécurisation d’un parc informatique dispersé de leur mise en place à leur récupération. Récemment, une étude menée par l’Institut Ponemon révélait que près de 70% des organisations interrogées ont signalé une augmentation du risque de cyberattaques avec la généralisation du télétravail.
En effet, les employés en télétravail ne sont pas toujours sensibilisés aux bonnes pratiques en termes de sécurité. Certains experts de la cybersécurité observent par exemple la crainte des mises à jour (FOMU – ‘Fear Of Making Updates’) des firmwares pourtant nécessaire à l’intégrité des équipements. Pourtant, 79 % sont convaincus que l’essor de l’IA permettra aux attaquants de développer des attaques plus rapidement, d’où la nécessité de ne pas retarder les mises à jour.
Concernant les mots de passe BIOS, 47 % des décideurs disent que ces mots de passe sont partagés et utilisés trop largement, ou ne sont pas assez forts. Pour les équipes IT, il est indispensable de bénéficier de solutions de restauration des paramètres BIOS et autres micrologiciels sur le PC pour éviter de devoir récupérer chaque PC qui auraient pu être infectés et engendrer des coûts et du temps préjudiciables pour l’entreprise.
Autre enjeu, le télétravail entraine également une hausse du nombre d’appareils perdus ou volés. Ainsi chaque année, les appareils perdus ou volés coûtent aux entreprises environ 8,6 milliards de dollars dans le monde.
Ainsi, 24% des employés hybrides ont perdu un PC ou se le sont fait voler et ils ont mis en moyenne 24 heures avant d’en informer le service informatique. Ces situations offrent aux attaquants un avantage stratégique inouï. Il s’agit de pouvoir assurer la protection de ses données sensibles même lorsque ses collaborateurs sont en déplacement. Cela requiert des équipes IT et sécurité une surveillance continue de tout le parc informatique et une capacité rapide de remédiation des incidents. Par exemple, bénéficier d’une solution qui permet de bloquer à distance un appareil même lorsqu’il est éteint ou déconnecté d’Internet peut être un réel atout.
Révéler les défis de la fin de vie des équipements
La fin de vie des équipements constitue un autre défi majeur en matière de sécurité. Par crainte d’une de fuite de données sensibles, de nombreuses organisations préfèrent détruire leurs équipements plutôt que de les réemployer, en contradiction avec leurs objectifs RSE. En France, 48% des décideurs déclarent que les problèmes de sécurité des données constituent un obstacle majeur à la réutilisation, à la revente ou au recyclage des PC, contre 37 % pour les imprimantes.
Parallèlement, on observe que certains employés conservent d’anciens PC et ordinateurs portables, créant des risques supplémentaires s’ils contenaient encore des données sensibles de l’entreprise. Sans solution sécurisée d’effacement des données, les entreprises compromettent la réutilisation sécurisée des équipements et se privent d’opportunités leur permettant d’atteindre leurs objectifs environnementaux et de circularité grâce au reconditionnement et au réemploi. Pour que les organisations puissent respecter leurs exigences de conformité, il est essentiel de trouver un fournisseur de confiance qui propose des protocoles d’effacement ou de destruction efficaces et qui fournit un certificat de nettoyage des données.
Ainsi et face à des menaces cyber en constante évolution et ce, à chaque étape du cycle de vie des appareils, seule une approche globale et intégrée permettra d’assurer la sécurité des équipements, leur gestion et leur surveillance de bout en bout, de leur conception jusqu’à leur fin de vie, en passant par leur reconditionnement et leur réutilisation.
Pour relever les défis de sécurité, les organisations doivent aligner les exigences des services IT, sécurité et achats. De plus, il est indispensable de privilégier des équipements offrant une gestion proactive et centralisée du hardware, des configurations firmware et des mises à jour de sécurité. Enfin, elles doivent opter pour des solutions qui permettent d’effacer en toute sécurité les données sensibles, même hors tension, afin de simplifier le réemploi des équipements et atteindre leurs objectifs RSE.
À LIRE AUSSI :
À LIRE AUSSI :
