La clé USB: le Wikileaks de l'entreprise ?

Le danger des clés USB  (et des autres supports amovibles) en entreprise

Dans un monde où la mobilité des hommes et des informations s'impose désormais (Cf. la fameuse injonction "accédez à vos données n'importe quand, de n'importe où et avec n'importe quel terminal"), rares sont les entreprises qui se soucient des pertes ou des vols de données qu'elles peuvent subir. Cet article a pour objet de présenter les conséquences qui peuvent découler de cette absence de protection en ajoutant quelques suggestions destinées à limiter les risques.

La récente divulgation par Wikileaks de télégrammes confidentiels nous rappelle les dangers que représentent les supports de données amovibles. En effet le « vol » de ces informations a pu être réalisé grâce à de simples clés USB et quelques CD gravés par un soldat désoeuvré de l'armée américaine.

Les périphériques de type clé USB, mais également les Smartphones, graveurs et disques amovibles représentent de par leur coût, leur diffusion et leurs capacités de stockage, un réel danger pour l'entreprise.

S'il est possible - et même recommandé s'agissant de données sensibles - de mettre en place un dispositif de protection des données (pour filtrer par exemple le contenu des courriels envoyés en dehors de l'entreprise), la gestion des dispositifs amovible est trop souvent négligée par les entreprises.

Les sinistres possibles

On distingue deux types de sinistre:

  •  La perte de données non intentionnelle (ex perte d'une clé USB ou de tout autre support)
  •  Le vol de données, interne (ex un salarié quittant l'entreprise) ou externe (vol par un concurrent, par une personne mal intentionnée à la suite d'une intrusion dans le système d'information de l'entreprise)

Les risques encourus

Ces sinistres ont généralement des conséquences dans les domaines suivants :

  • L'image de l'entreprise risque d'être durablement affectée (si la perte ou le vol deviennent publics)
  •  Conséquences juridiques (loi sur la protection des données personnelles)
  •  Impact sur l'activité commerciale (un fichier client aux mains de concurrents)

Dans tous les cas les coûts induits par de tels événements sont très importants, si tant est que le sinistre n'entraîne pas la disparition définitive de l'entreprise.

Les entreprises sont-elles protégées ?

Voici les résultats édifiants d'une enquête réalisée en 2010 par le Clusif (Club de la Sécurité de l'Information Français):

A la question « Quelles technologies de sécurité utilisez-vous pour lutter contre les vulnérabilités et les intrusions ? », 50% des entreprises de plus de 200 salariés répondent ne pas contrôler l'usage et l'accès des supports USB !

Source Clusif, Menaces informatiques et pratiques de sécurité en France édition 2010

Le rapport complet est téléchargeable ici: CLUSIF-rapport-2010.pdf

Si on ajoute à cela que deux tiers des employés ont déjà perdu une clé USB, il est évident que les risques existent bel et bien.

Le cabinet d'audit et de conseil KPMG estime que le vol ou la perte d'un dispositif de stockage mobile représente dix fois plus de sinistres que les vols d'ordinateurs.

Pour en savoir plus: l'étude Datalossbarometer est disponible ici: data-loss-barometer-2012.pdf

Les médias à protéger

Les clés USB

En tête de liste chapitre viennent bien sûr les clés USB, véritables compagnons numériques alliant légèreté, petite taille, durabilité et capacité élevée (couramment 32 Go et pouvant aller jusqu'à 256 Go).

Les clés USB sont très diffusées et très facile d'utilisation et doivent donc faire l'objet d'une attention particulière.

Les Smartphones

Les évolutions technologiques font que les Smartphones - outre leur grande capacité de stockage - sont de véritables mini-ordinateurs, et de ce fait contiennent de plus en plus de données sensibles (fichiers clients, CRM, PDF, fichiers Excel, ...) et d'applications exposant le système d'information de l'entreprise.

Graveurs

Les graveurs  de CD et DVD sont légion en entreprise, et ne sont pas forcément référencés de manière centralisée. De plus, l'installation d'un graveur sur un poste est assez facilement réalisable sur un poste non ou mal administré.

La plupart des portables sont aujourd'hui équipés de graveurs de DVD en standard et les gravures sont très rapides.

Supports magnétiques et sauvegardes (locales et distantes)

L'accès aux supports magnétiques contenant les sauvegardes de l'entreprise doit être protégé afin d'éviter les vols.

Il est généralement simple de restaurer des données sauvegardées, quel que soit le type de média utilisé.

Les disques durs

Il est illusoire de tenter de mettre en oeuvre des dispositifs de protection partiels en l'absence d'une stratégie de sécurité globale.

Par exemple, quelle est l'utilité de crypter le contenu d'une clé USB alors qu'un employé peut quitter l'entreprise avec un disque dur, si celui-ci n'est lui-même pas protégé ?

Les ordinateurs portables

Un soin particulier doit être apporté à la définition et à la mise en oeuvre d'une politique de sécurisation des données sur les ordinateurs portables.

La problématique des impressions de documents ou fichiers confidentiels

Même si la sécurisation ou la traçabilité des copies de fichiers est mise en oeuvre, il faut savoir qu'un des supports les plus utilisés pour emporter des informations confidentielles hors de l'entreprise  reste l'impression papier.

En cas de protection de l'impression de fichiers, il reste souvent possible d'effectuer des impressions écran, sans oublier la possibilité de prendre une photo de l'écran avec son smartphone ou un APN (appareil photo numérique).

Comment se prémunir des risques ?

Voici une liste non exhaustive des solutions vous permettant, souvent à peu de frais, de diminuer les risques de fuites de données:

  •  Définir une  stratégie de sécurité globale incluant les droits des personnes (utilisateurs), des dispositifs (Clés USB, Smartphones...) et des processus (ex filtrage de contenu des mails)
  •  Dans un environnement Windows Server, définir et implémenter des politiques de groupe restreignant la possibilité de copier des données en direction de supports amovibles.
  •  Identifier les fichiers sensibles (clients, données personnelles, secrets industriels...)
  •  Mise en place de protections restreignant l'usage de fichiers sensibles (liste de destinataires autorisés, interdiction de transfert par email, impossibilité d'imprimer, date limite de consultation des données, ...)
  • Crypter les données sur les supports de stockage fixes comme mobiles (en utilisant par exemple Bitlocker to go intégré à Windows 7 édition Intégrale et Entreprise)
  •  Implémenter une solution de contrôle des contenus des mails (y compris les accès aux webmails)
  •  Implémenter une solution de traçabilité des copies de fichiers et des impressions
  •  S'assurer d'une politique de mots de passe efficace (mais pas trop contraignante, "trop de sécurité tue la sécurité") ou mieux des dispositifs d'identification forte (carte à puce, lecteur d'empreinte ...)
  •  Sensibiliser les employés à leurs droits et devoirs vis-à-vis de l'entreprise en insistant sur ces risques particuliers
  •  S'assurer du verrouillage automatique du terminal en cas de non utilisation
  •  S'assurer de la possibilité  d'effacement des données sur les terminaux mobiles en cas de perte ou de vol

Nous nous tenons à votre disposition pour étudier avec vous les risques liés à votre activité et vous présenter les moyens de sécurisation des données les plus sensibles de votre entreprise.
Lettre d'information N° 4 - AT&MIS Nantes           Infogérance - Intégration & Déploiement - Maintenance informatique retour