Les supports amovibles ont toujours été un moyen pratique pour les employés d’accéder à leurs données personnelles et professionnelles en déplacement.

Les dispositifs portables tels que les clés USB, les smartphones, les cartes SD et les disques durs externes ont permis aux employés de copier et de transférer des données, de les emporter hors du site et de mener leurs activités quotidiennes en dehors des périmètres sécurisés du bureau.

Cependant, l’augmentation de l’utilisation de ces appareils s’accompagne des risques qui y sont associés. Les propriétés mêmes qui rendent ces appareils portables et leur permettent de se connecter à divers réseaux les rendent également vulnérables aux violations de la sécurité des réseaux.

L’absence de gestion efficace de l’importation et de l’exportation de données peut exposer une organisation aux risques suivants :

  • Perte d’informations – Les supports amovibles peuvent facilement être perdus, ce qui compromet de grandes quantités d’informations sensibles.
  • Introduction de logiciels malveillants – L’utilisation incontrôlée de supports amovibles peut accroître le risque de transfert de logiciels malveillants vers les systèmes critiques de l’entreprise.
  • Atteinte à la réputation – La perte de données sensibles peut éroder la confiance des clients dans l’organisation, ce qui entraîne une atteinte importante à la réputation.
  • Perte financière – Si des informations sensibles sont perdues ou compromises, l’organisation peut être soumise à des sanctions financières.

comment gérer les clés USB

Les risques de sécurité posés par l’utilisation de dispositifs amovibles sont tout simplement trop importants pour que les organisations puissent les ignorer. Ces derniers mois, la grande société informatique IBM a interdit à l’ensemble de son personnel d’utiliser des dispositifs de stockage amovibles en raison des dommages financiers et de réputation qui pourraient être causés par des dispositifs de stockage amovibles portables égarés, perdus ou utilisés à mauvais escient.

Un appareil multimédia portable apparemment inoffensif peut déclencher une cyberattaque massive, même si le système informatique visé est isolé et protégé de l’extérieur.

Il existe de nombreuses façons pour les pirates d’utiliser les supports amovibles pour infecter les systèmes informatiques et l’une des méthodes les plus courantes consiste à utiliser une clé USB infectée. Les criminels utilisent souvent une forme populaire d’ingénierie sociale, connue sous le nom de « Baiting », pour lancer une attaque.

L’appât, comme son nom l’indique, consiste à attirer quelqu’un dans un piège afin de voler ses informations personnelles ou d’infecter son ordinateur avec des logiciels malveillants. L’attaquant laisse souvent un dispositif infecté par un logiciel malveillant, tel qu’une clé USB, dans un endroit fréquenté où quelqu’un peut le trouver.

Le criminel compte alors sur la curiosité humaine pour mener à bien l’escroquerie et, dès que l’appareil est branché sur un système, il infecte l’ensemble du réseau avec des logiciels malveillants.

C’est exactement ce qui s’est passé lors de l’une des toutes premières cyberattaques menées par un État-nation en 2010. Un ver informatique connu sous le nom de Stuxnet a été placé sur une clé USB infectée et utilisé pour accéder aux systèmes informatiques iraniens.

Une fois que le ver a infecté un ordinateur, il est capable de se répliquer sur toutes les clés USB connectées à l’ordinateur, puis de se propager à partir de ces clés vers d’autres ordinateurs.

Le ver a été introduit pour cibler uniquement les ordinateurs d’une installation iranienne d’enrichissement de l’uranium, mais en raison de sa capacité de propagation rapide, il a fini par infecter des ordinateurs dans 155 pays à travers le monde.

Les conséquences de l’utilisation d’un support amovible infecté peuvent être considérables pour une entreprise. L’erreur humaine reste la première cause de cyberattaque. Il est donc essentiel que le personnel suive les bonnes procédures lorsqu’il manipule des supports amovibles en dehors du bureau.

Comment gérer les supports amovibles

Pour garantir la sécurité des données de l’entreprise, les employés doivent suivre les lignes directrices ci-dessous lorsqu’ils manipulent des supports amovibles :

Lignes directrices pour l'utilisation des supports amovibles

  • Limitez l’utilisation de tous les supports amovibles, sauf en cas d’autorisation spécifique.
  • Appliquez une protection par mot de passe. Pour protéger les informations sensibles et en restreindre l’accès, tous les supports amovibles doivent être protégés par des mots de passe forts.
  • Cryptez les informations contenues dans les supports amovibles. Si l’utilisation de supports amovibles est nécessaire, les informations contenues dans tous les appareils doivent être cryptées. Le niveau de cryptage dépendra de la sensibilité des informations stockées sur le support.
  • Ne copiez jamais de fichiers sur des supports amovibles, sauf si cela est nécessaire ou a été autorisé.
  • Recherchez les logiciels malveillants sur tous les supports. Les supports amovibles doivent faire l’objet d’une recherche approfondie de logiciels malveillants avant d’être mis en service ou d’être reçus d’une autre organisation.
  • Ne laissez jamais traîner un support amovible. Mettez-les sous clé lorsqu’ils ne sont pas utilisés.
  • Désactivez les services Bluetooth, Wi-Fi et autres lorsque vous ne les utilisez pas.
  • N’essayez jamais d’accéder aux fichiers d’un support amovible que vous auriez trouvé. Il peut contenir un virus qui infectera les systèmes informatiques avec des logiciels malveillants.
  • Lorsque vous utilisez le Bluetooth, réglez-le sur le mode « non découvrable » pour cacher l’appareil aux appareils non authentifiés.
  • Signalez immédiatement les appareils manquants afin qu’ils puissent être débarrassés de toutes les données.
  • Utilisez des logiciels de sécurité et maintenez-les à jour.

La gamme de produits MetaCompliance a été créée pour répondre aux besoins des entreprises opérant dans un paysage de cybersécurité en constante évolution. Contactez-nous pour plus d’informations sur la manière dont nous pouvons vous aider à améliorer la sensibilisation à la cybersécurité au sein de votre organisation.