Les bonnes pratiques de l’ANSSI pour les ordinateurs reconditionnés (achat/cession)
Cet été, l'ANSSI a mis en ligne un nouveau guide intitulé "Recommandations relatives au reconditionnement des ordinateurs de bureau ou portables" qui évoque deux sujets très importants : l'acquisition d'ordinateurs reconditionnés et la cession d'ordinateurs.
Au-delà d'être moins coûteux, le matériel reconditionné participe à réduire l'empreinte carbone du numérique et à limiter le gaspillage : il y a un réel impact positif sur l'environnement, et nous ne pouvons qu'encourager les entreprises à se tourner vers ce type de matériel lorsque c'est possible et cohérent.
Il y a d'ailleurs la loi AGEC qui oblige "les acheteurs de l’État, des collectivités locales et de leurs groupements" à participer au marché de l'ordinateur reconditionné en respectant la règle suivante : "les proportions d’ordinateurs portables et fixes devant être réemployés sont fixées à 20% et que cette obligation s’apprécie sur le volume annuel total de la dépense hors taxes des matériels et non par unité.", précise l'ANSSI.
D'un point de vue de la sécurité informatique, il y a un risque lié aux ordinateurs de seconde main, que ce soit pour l'entreprise qui cède les ordinateurs (fuite d'informations) ou pour l'entreprise qui achète les ordinateurs reconditionnés (risques de compromissions, d'infection par un logiciel malveillant). Le guide de l'ANSSI est là pour nous apporter les bonnes pratiques et c'est une excellente nouvelle.
Déploiement d'ordinateurs reconditionnés
Quand vous achetez un ordinateur reconditionné, vous ne connaissez pas son historique, et surtout, vous pouvez l'acheter de différentes manières. Ainsi, l'entreprise qui fait l'acquisition du matériel est exposée à plusieurs risques. Dans un ordinateur, un implant malveillant peut persister grâce à différentes techniques plus ou moins sophistiquées. Voici la liste fournie par l'ANSSI :
- Persistance via un code malveillant écrit sur le disque
- Persistance via le piégeage du matériel
- Persistance via un piégeage des bus et ports de communication avec des périphériques internes ou externes extérieurs
- Persistance via réécriture du firmware en particulier pour l’UEFI
L'ANSSI insiste également sur le fait que l'intégration d'ordinateurs reconditionnés ne doit pas affaiblir le niveau de sécurité global du SI, notamment parce que certains modèles reconditionnés, qui ont déjà quelques années de fait, seront peut-être dépourvu de certaines fonctionnalités de sécurité.
"Le choix d’utiliser un ordinateur reconditionné ne doit pas se faire au détriment de l’homogénéité et de la cohérence de la sécurité du système d’information. Une bonne pratique consiste à regrouper ces ordinateurs par service ou fonctions métiers afin de réduire le risque à des périmètres bien identifiés.", peut-on lire. De préférence, choisissez un ordinateur équipé de fonctions de sécurité fréquentes comme une puce TPM v2.0, l'UEFI Secure Boot, etc.
Plus globalement, l'ANSSI vous encourage à privilégier l'utilisation des ordinateurs reconditionnés dans des scénarios qui ne sont pas critiques pour l'entreprise. On évite d'utiliser un ordinateur reconditionné en tant que poste d'administration ou pour le responsable financier de l'entreprise, par contre, on peut l'utiliser à des fins de formations, en tant qu'ordinateur de prêt ou pour travailler sur des sujets de moindre sensibilité.
L'ANSSI aborde aussi la préparation technique du reconditionnement en donnant des étapes clés et importante à réaliser, notamment : mettre à jour les firmwares, effectuer un effacement sécurisé des supports de stockage, installer soi-même le système d'exploitation ou encore chiffrer le disque du système.
Cession d'ordinateurs à destination du marché de l'occasion
Lorsque l'on cède un ordinateur avec son support de stockage (disque dur, disque SSD, etc...), nous pouvons potentiellement laisser fuiter des informations sensibles. C'est un risque important, tout comme celui d'être à l'origine de la diffusion d'un code malveillant. Nous pourrions dire que quand vous vous séparez d'un ordinateur, vous ne devez pas le fournir avec le disque, car ce sera le meilleur moyen d'éviter les fuites de données, mais l'ANSSI voit les choses autrement.
La première recommandation consiste à chiffrer les disques de vos machines (avec BitLocker pour les machines sous Windows, par exemple), et à procéder à un effacement sécurisé des supports de stockage et des composants mémoires. Si le disque est chiffré, l'ANSSI indique qu'il est possible d'effectuer un effacement cryptographique pour rendre les données irrécupérables. Quand ce n'est pas le cas, il est recommandé d'adapter le processus d'effacement des disques à la sensibilité des données. Dans ce cas, on peut s'appuyer sur divers outils, notamment l'application open source hdparm.
En complément des actions de nettoyage et d'effacement, vous devez anonymiser les ordinateurs : "Les autocollants, QR codes, codes barre, et autres signes distinctifs présents sur l’ordinateur et ses accessoires doivent être retirés."
Au-delà de vous débarrasser du matériel, vous devez également révoquer tous les droits des comptes ordinateurs associés au matériel cédé. Ceci nous fait directement penser aux objets ordinateurs dans l'Active Directory ou éventuellement aux machines inscrites dans Intune. Les exemples sont nombreux...
Pour prendre connaissance de toutes les bonnes pratiques de l'ANSSI, je vous encourage à lire ce guide. Pour consulter ce guide, suivez le lien ci-dessous :
Merci pour toutes ces informations et bonnes pratiques !
J’ai pu éplucher le document (qui se trouve d’ailleurs sur un autre nom de domaine désormais, à savoir cyber.gouv.fr) et c’est effectivement très complet et fort intéressant.
Je constate d’ailleurs que la pratique de mise à jour des BIOS des PC y est fortement conseillée, mais reste malheureusement très peu appliquée par les entreprises de reconditionnement d’ordinateurs pour particuliers.
Il y a encore du chemin à faire !