Les clés USB sont devenues indispensables au quotidien pour tous les professionnels et commerciaux nomades. Leur souplesse d’utilisation combinée au fait qu’elles permettent de s’affranchir du Cloud, apportent des points positifs significatifs quant à leur usage. D’autant plus lorsque vous devez avoir à disposition des documents importants ou envoyer des données confidentielles. Mais attention : en l’absence de chiffrement, elles constituent le maillon faible de la sécurité des données.
Pourtant, les entreprises ne semblent pas avoir réellement conscience des enjeux en matière de risques de perte ou de vol de données.
Un constat alarmant
Toutes les études se suivent et se ressemblent… Quel que soit le pays, les dirigeants ne semblent pas mesurer l’intérêt de procéder au chiffrement des informations personnelles qui figurent sur les clés USB.
Voici quelques chiffres éloquents :
- En Belgique, l’Autorité de Protection des Données a révélé que la perte ou le vol d’un ordinateur portable ou d’une clé USB constitue la deuxième cause de fuite des données (14%)
- En Angleterre, seulement 55% des supports mobiles utilisés par les collaborateurs des entreprises sont chiffrés. De plus, 62% des cadres supérieurs ont déjà vu des clés USB dans des lieux non protégés et accessibles par n’importe qui sans autorisation (tiroirs, bureaux….).
Cette situation est d’autant plus paradoxale que les entreprises sont prêtes en parallèle à s’équiper de dispositifs coûteux pour respecter leurs obligations RGPD et garantir leur cybersécurité. Pourtant, il est inutile d’équiper les ordinateurs de logiciels complexes si rien n’est fait concernant les clés USB !
Zoom sur les principaux risques de cybersécurité des clés USB
L’erreur humaine
L’ANSSI a publié une nouvelle édition réactualisée de son guide de Sécurité Numérique » Les bonnes pratiques à l’usage des professionnels en déplacement ». Elle recommande de limiter le transport de données superflues et de mettre en place des solutions de sécurité (chiffrement de contenu, cloud sécurisé…).
Pour illustrer son propos, elle donne un exemple d’erreur très courante : l’oubli d’un ou plusieurs documents sur une clé usb remise à un tiers.
« Yann travaille pour une agence de communication et se rend chez l’un de ses clients pour lui présenter un projet. Pressé, il emporte un diaporama sur une clé USB répertoriant des documents sur d’autres projets en cours.
Parmi eux figure la réponse de son agence à des concurrents du client qu’il visite. En lui remettant la clé USB en fin de séance pour récupérer le diaporama, le client récupère fortuitement l’ensemble du contenu, y compris les propositions stratégiques et budgétaires destinées à ses concurrents. »
La situation présentée par l’ANSSI concerne le cas d’un client, mais vos collaborateurs peuvent aussi prêter leur clé USB à leurs proches ou à leurs amis sans se rendre compte du danger. Au-delà du vol de données, la clé peut aussi dans ce cas être infectée par des virus/malwares contenus dans les ordinateurs sur lesquels elle sera branchée.
Les fausses clés USB
Il est important de sensibiliser vos collaborateurs (dont les stagiaires), aux dangers liés aux clés USB publicitaires qui peuvent leur être offertes ou prêtées (par des amis, des fournisseurs…).
Elles peuvent en effet contenir un cheval de Troie ou un virus qui permettra une prise de contrôle à distance de l’ordinateur, son espionnage, son blocage… et même sa destruction. En février dernier, un ex-étudiant indien a ainsi détruit 59 ordinateurs d’un établissement de New-York à l’aide d’une simple clé USB achetée en ligne (une « USB Killer »)
Au final ce sont autant de désagréments qui peuvent paralyser l’activité de l’entreprise et/ou avoir un impact financier conséquent.
La perte/le vol des clés
Fin octobre 2017, un passant à Londres trouve une clé USB et décide de la brancher sur son ordinateur pour voir ce qu’elle contient. Il a la surprise de découvrir des informations personnelles ultra-confidentielles de l’aéroport d’Heathrow : données d’une dizaine d’employés (noms, numéros de passeport, numéros de téléphone, dates de naissance, nationalités…), données relatives au personnel d’aviation…
Heureusement, la personne qui a trouvé ces informations n’était pas mal intentionnée. Elle a eu le réflexe de contacter un journal pour faire remettre la clé USB aux agences de renseignement. Il n’en reste pas moins qu’un individu peu scrupuleux aurait pu faire un tout autre usage de ces données…
L’aéroport d’Heathrow a été condamné à une amende de 120 000 livres sterling par l’ICO (l’équivalent de la CNIL). Cette sanction reste relativement légère : depuis d’adoption du RGPD en mai 2018, les amendes peuvent être beaucoup plus importantes.
Cet exemple, loin d’être anecdotique, révèle une fois de plus l’intérêt du chiffrement des données : si la clé USB avait été cryptée, aucune information personnelle n’aurait pu fuiter.
L’avis de Laurent Brault de MDK Solutions
Il ne faut toutefois pas avoir peur des clés USB. Elles représentent une réelle alternative au cloud pour les personnes qui ont besoin de transporter des données confidentielles.
En revanche, l’utilisation d’une clé sécurisée via une authentification forte et un chiffrement automatique des données déposées sur la clé, est nécessaire pour vous assurez une forte protection.
MDK Solutions est une société spécialisée dans la gestion simple et sécurisée des données numériques pour usage nomade. Sa gamme KryptKey propose plusieurs outils de sécurité, tous basés sur une clé USB sécurisée. Les clés sont configurées en usine pour avoir une authentification forte (chaque clé est unique, tous les messages sont chiffrés, mot de passe utilisateur associé à SA clé). Il est impossible de lire vos fichiers sans avoir la clé KryptKey qui a fait le chiffrement et le mot de passe Utilisateur associé.
Nos clients ne manquent pas d’imagination pour créer des usages spécifiques. Si vous aussi vous souhaitez tester nos KryptKey pour des usages particuliers, contactez-nous. Nous nous ferons un plaisir d’organiser, avec vous, une phase de test.