Invité blogueur - Mark Chillingworth European Technology Leadership, Rédacteur en chef et fondateur du réseau Horizon CIO.
Dans la clameur et le battage médiatique autour des projets de transformation digitale des entreprises, l’output management est trop souvent oublié. L’output management est perçu comme ne faisant pas partie de la digitalisation, alors que les processus métier vitaux reposent à la fois sur des sorties physiques et digitales. Par conséquent, les sorties, sous toutes leurs formes, nécessitent les mêmes niveaux élevés de stratégie de sécurité que les processus purement digitaux tels que le commerce électronique et la sécurité des données - qui reposent tous deux sur l’output management.
« Toute prise en charge d’un patient, lors de son enregistrement, commence par la remise d’un bracelet d’identité » explique Guy Tucker, Architecte Solutions chez LRS. Ce bracelet est imprimé sur place et comporte des informations uniques concernant le patient. Certes, la digitalisation a modifié et amélioré un grand nombre de processus métier, mais le besoin d’une sortie physique et digitale demeure pour de nombreux marchés verticaux. Cela est tout aussi vrai lorsqu’il s’agit d’étiqueter des cartons de marchandises préparées pour leur livraison que lorsqu’il s’agit d’identifier des échantillons dans un laboratoire ou de répondre aux besoins d'accessibilité des clients et des pairs.
L’output & print management continue d’être un principe central de l’entreprise en raison de sa rentabilité. Les étiquettes RFID sont coûteuses et érodent la marge bénéficiaire des fabricants confrontés à des niveaux d’inflation record. L’output management ne se limite pas à l’impression. La création d'un document d’expédition au format PDF supprime l'impression sur papier mais nécessite toujours les mêmes niveaux d’output management que l’impression d’entreprise.
Vulnérabilités digitales
Si l’output management n’est pas intégré à la transformation digitale d'une organisation (et donc à sa stratégie de cybersécurité), des vulnérabilités apparaissent. En 2023, des vulnérabilités liées à l’output management ont conduit à des portes dérobées d’authentification dans les organisations, ouvrant ainsi le parc technologique aux risques d’injection SQL et de scripts intersites. Une vulnérabilité a exposé les organisations à 18 types de menaces différentes. D’autres vulnérabilités ont exposé les entreprises à la falsification de requêtes de services. Cette situation est survenu à un moment où le rapport annuel Digital Leadership Report, un rapport de la communauté des DSI et CTO, indiquait que 52 % des grandes organisations ont subi une attaque majeure de cybersécurité au cours des deux dernières années.
Les cybers incidents peuvent avoir de graves répercussions sur les organisations de toutes tailles, à la fois à court et à long terme, qu’il s’agisse de nuire à la réputation ou de paralyser les opérations », a déclaré Lindy Cameron, PDG du National Cyber Security Centre (NCSC) au Royaume-Uni, taskforce du gouvernement britannique. « Face à la multiplication d’incidents, il est essentiel que les entreprises travaillent avec leurs fournisseurs pour identifier les risques liés à la chaîne d'approvisionnement et veiller à la mise en place de mesures de sécurité appropriées », ajoute Ian McCormack, Directeur Adjoint du NCSC chargé de la cyber-résilience du gouvernement. Les chaînes d'approvisionnement complexes font partie intégrante du monde des affaires moderne et s'appuient sur des technologies d’output management visant à partager et vérifier les informations.
Guy Tucker, chez LRS, estime que le problème vient en partie du fait que les outputs sont considérés comme des utilités et que les organisations et leur personnel ne sont pas conscients des risques. « Si un rapport doit être imprimé, il peut s’agir d’un flux de données ouvert, et tout flux de données ouvert doit être authentifié », explique-t-il. Le cabinet d'analystes technologiques Gartner a découvert en 2022 que 69 % des employés contournent les directives de cybersécurité de leur organisation et que 74 % sont prêts à contourner la cybersécurité afin d’effectuer leur travail. Les technologies d’output management, si elles ne sont pas gérées efficacement, peuvent permettre aux employés de contourner les règles de sécurité et mettre l’organisation en danger.
Ne négligez pas les outputs
Lorsque l’output management n’est pas considéré comme faisant partie des orientations en matière de cybersécurité, le vecteur de menace s’accroît. Selon M. Tucker, l’output management est trop souvent négligé lorsque les organisations planifient et mettent en œuvre leurs stratégies IT Cloud. « Un périphérique de sortie est un ordinateur. Il n'est pas moins puissant qu'un ordinateur portable et constitue donc un nouveau point d'entrée dans le réseau. »
Jevern Partridge, DSI, partage cet avis : « On ne pense pas à la sécurité de l’impression tant qu’il n’y a pas de fuite due à une impression effectuée sur le mauvais périphérique. » M. Tucker ajoute que la fuite du dossier médical de la pop star Britney Spears du centre médical de l'UCLA aux États-Unis en 2008 aurait dû être un signal d'alarme pour les organisations. La sécurité des documents fait la différence.
La responsabilité est souvent partagée entre les différents services, ce qui est l’une des causes du risque de sécurité lié à l’output management. Souvent, les équipes chargées des achats et de la gestion des installations ont souvent une grande responsabilité en matière de technologie d’output management. Cependant, ces services sont souvent régis par des indicateurs de performance clés (KPI) axés sur les prix et manquent de compétences en matière de sécurité des données. Dans le pire des cas, certaines organisations autorisent les secteurs d'activité à établir leurs propres relations d'approvisionnement en périphériques de sortie.
Pour les responsables des technologies d’entreprise, le risque est de percevoir l’output management comme une simple question d’impression. Qu'ils soient imprimés sur papier, sur une étiquette électronique ou sur un artefact numérique, l’output est important et doit être évalué et géré avec les mêmes niveaux élevés de cybersécurité que le courrier électronique, les réseaux, les bases de données et les systèmes de commerce électronique.
Une approche stratégique
L’appropriation par une seule équipe n’est pas la solution pour de nombreuses organisations. Les résultats commerciaux sont toujours le fruit d’un effort commun. Il importe davantage que les entreprises adoptent une approche stratégique de l’output management qui définisse et reflète les besoins métier et les risques de sécurité posés par les informations qu'ils contiennent.
La cybersécurité commence à être considérée comme un risque pour l’entreprise, au même titre que d’autres menaces, telles que l’urgence climatique et les catastrophes naturelles. L’output management doit être compris de la même manière. Les organisations matures se rendent compte que la cybersécurité n’est pas uniquement le problème du service informatique ou du RSSI, mais que tous les membres de l’organisation ont un rôle à jouer dans la résolution de ce problème. La sécurisation des outputs doit suivre le même chemin.
« L’output management exige de l’administration des utilisateurs finaux qu’elle dispose de solides capacités dans tous les domaines, telles que les bases de données, les réseaux et les périphériques », explique M. Tucker. M. Partridge, DSI, en convient : « Faites vos bases en matière de sécurité et faites-les bien. » Il conseille à ses pairs d'utiliser les fonctionnalités de sécurité des outils de création de documents de manière à ce que la sécurité soit définie au niveau du document, ce qui empêchera l’impression ou le partage inutile d’informations sensibles. « Si vous marquez un document comme confidentiel, il ne pourra pas être imprimé, copié ou envoyé », explique-t-il.
En ce qui concerne la politique de sécurité, M. Partridge ajoute : « Il faut éduquer, éduquer, éduquer et donner aux membres de l’organisation des exemples concrets, car la complaisance nous guette tous. »
La digitalisation continuera à modifier les processus métier. La création de documents digitaux et physiques restera un élément clé des processus métier. En cas de négligence, l’output management peut être la porte ouverte qu’un cybercriminel recherche et entraîner des dommages importants pour les finances et la réputation de l’entreprise. L’output management doit donc être considéré comme un élément de stratégie holistique visant à rendre l’entreprise à la fois plus efficace et plus sécurisée.
Les organisations ne peuvent pas se permettre de considérer l’output management comme quelque chose d’extérieur à leurs ambitions de transformation digitale ou aux protections en matière de cybersécurité. La création d'un environnement informatique efficace et sécurisé nécessitera une plus grande collaboration et une approche stratégique de l’output management.