IT-Connect » Actualités » Actu Cybersécurité » Les bonnes pratiques de l’ANSSI pour les ordinateurs reconditionnés (achat/cession)

Recommandations relatives au reconditionnement des ordinateurs de bureau ou portables
Actu Cybersécurité 

Les bonnes pratiques de l’ANSSI pour les ordinateurs reconditionnés (achat/cession)

Florian BURNEL 1117 Views Aucun commentaire , 4 min read

Cet été, l'ANSSI a mis en ligne un nouveau guide intitulé "Recommandations relatives au reconditionnement des ordinateurs de bureau ou portables" qui évoque deux sujets très importants : l'acquisition d'ordinateurs reconditionnés et la cession d'ordinateurs.

Au-delà d'être moins coûteux, le matériel reconditionné participe à réduire l'empreinte carbone du numérique et à limiter le gaspillage : il y a un réel impact positif sur l'environnement, et nous ne pouvons qu'encourager les entreprises à se tourner vers ce type de matériel lorsque c'est possible et cohérent.

Il y a d'ailleurs la loi AGEC qui oblige "les acheteurs de l’État, des collectivités locales et de leurs groupements" à participer au marché de l'ordinateur reconditionné en respectant la règle suivante : "les proportions d’ordinateurs portables et fixes devant être réemployés sont fixées à 20% et que cette obligation s’apprécie sur le volume annuel total de la dépense hors taxes des matériels et non par unité.", précise l'ANSSI.

D'un point de vue de la sécurité informatique, il y a un risque lié aux ordinateurs de seconde main, que ce soit pour l'entreprise qui cède les ordinateurs (fuite d'informations) ou pour l'entreprise qui achète les ordinateurs reconditionnés (risques de compromissions, d'infection par un logiciel malveillant). Le guide de l'ANSSI est là pour nous apporter les bonnes pratiques et c'est une excellente nouvelle.

Déploiement d'ordinateurs reconditionnés

Quand vous achetez un ordinateur reconditionné, vous ne connaissez pas son historique, et surtout, vous pouvez l'acheter de différentes manières. Ainsi, l'entreprise qui fait l'acquisition du matériel est exposée à plusieurs risques. Dans un ordinateur, un implant malveillant peut persister grâce à différentes techniques plus ou moins sophistiquées. Voici la liste fournie par l'ANSSI :

  • Persistance via un code malveillant écrit sur le disque
  • Persistance via le piégeage du matériel
  • Persistance via un piégeage des bus et ports de communication avec des périphériques internes ou externes extérieurs
  • Persistance via réécriture du firmware en particulier pour l’UEFI

L'ANSSI insiste également sur le fait que l'intégration d'ordinateurs reconditionnés ne doit pas affaiblir le niveau de sécurité global du SI, notamment parce que certains modèles reconditionnés, qui ont déjà quelques années de fait, seront peut-être dépourvu de certaines fonctionnalités de sécurité.

"Le choix d’utiliser un ordinateur reconditionné ne doit pas se faire au détriment de l’homogénéité et de la cohérence de la sécurité du système d’information. Une bonne pratique consiste à regrouper ces ordinateurs par service ou fonctions métiers afin de réduire le risque à des périmètres bien identifiés.", peut-on lire. De préférence, choisissez un ordinateur équipé de fonctions de sécurité fréquentes comme une puce TPM v2.0, l'UEFI Secure Boot, etc.

Plus globalement, l'ANSSI vous encourage à privilégier l'utilisation des ordinateurs reconditionnés dans des scénarios qui ne sont pas critiques pour l'entreprise. On évite d'utiliser un ordinateur reconditionné en tant que poste d'administration ou pour le responsable financier de l'entreprise, par contre, on peut l'utiliser à des fins de formations, en tant qu'ordinateur de prêt ou pour travailler sur des sujets de moindre sensibilité.

L'ANSSI aborde aussi la préparation technique du reconditionnement en donnant des étapes clés et importante à réaliser, notamment : mettre à jour les firmwares, effectuer un effacement sécurisé des supports de stockage, installer soi-même le système d'exploitation ou encore chiffrer le disque du système.

bonnes pratiques ordinateurs reconditionnés

Cession d'ordinateurs à destination du marché de l'occasion

Lorsque l'on cède un ordinateur avec son support de stockage (disque dur, disque SSD, etc...), nous pouvons potentiellement laisser fuiter des informations sensibles. C'est un risque important, tout comme celui d'être à l'origine de la diffusion d'un code malveillant. Nous pourrions dire que quand vous vous séparez d'un ordinateur, vous ne devez pas le fournir avec le disque, car ce sera le meilleur moyen d'éviter les fuites de données, mais l'ANSSI voit les choses autrement.

La première recommandation consiste à chiffrer les disques de vos machines (avec BitLocker pour les machines sous Windows, par exemple), et à procéder à un effacement sécurisé des supports de stockage et des composants mémoires. Si le disque est chiffré, l'ANSSI indique qu'il est possible d'effectuer un effacement cryptographique pour rendre les données irrécupérables. Quand ce n'est pas le cas, il est recommandé d'adapter le processus d'effacement des disques à la sensibilité des données. Dans ce cas, on peut s'appuyer sur divers outils, notamment l'application open source hdparm.

En complément des actions de nettoyage et d'effacement, vous devez anonymiser les ordinateurs : "Les autocollants, QR codes, codes barre, et autres signes distinctifs présents sur l’ordinateur et ses accessoires doivent être retirés."

Au-delà de vous débarrasser du matériel, vous devez également révoquer tous les droits des comptes ordinateurs associés au matériel cédé. Ceci nous fait directement penser aux objets ordinateurs dans l'Active Directory ou éventuellement aux machines inscrites dans Intune. Les exemples sont nombreux...

Pour prendre connaissance de toutes les bonnes pratiques de l'ANSSI, je vous encourage à lire ce guide. Pour consulter ce guide, suivez le lien ci-dessous :

Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Partager sur Google+ Envoyer par mail

Florian BURNEL

Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.

Nombre de posts de cet auteur : 5580.Voir tous les posts

Vous pourrez aussi aimer

Windows 10 - Malware clipper - Images ISO

Un malware voleur de cryptomonnaies intégré à des images ISO piratées de Windows 10

Florian BURNEL 0
Android - Cheval de Troie bancaire - Sharkbot

Android : le Trojan bancaire « Sharkbot » distribué par des gestionnaires de fichiers

Florian BURNEL 0
Retex - Cyberattaque au CHRU de Brest CERT-FR

Retour d’expérience : cyberattaque au CHRU de Brest, que s’est-il passé ?

Florian BURNEL 4

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.