Comment sécuriser une clé usb ou un disque dur externe ?

Le vol de données confidentielles est le cauchemar de toute entreprise et ce n’est pas sans raison. En effet, selon le baromètre “data breach” de PwC et de la CNIL, au premier semestre 2020, le nombre de fuites de données a augmenté de 20%.

Dans 15% des cas, ce sont les périphériques (clé usb, disque dur, ordinateur portable) qui sont dérobés. Dans 26% des cas, ces fuites de fichiers sensibles se font de manière accidentelle (perte du support de stockage, publication par erreur sur internet, envoi des fichiers à un mauvais destinataire).

En sachant que les périphériques USB (clé USB, disque dur externe) ainsi que les cartes-mémoires (carte SD) peuvent être facilement dupliqués, volés ou perdus. Il est impératif de définir une stratégie pour sécuriser les clé usb et les disques.

Les entreprises doivent donc mettre en place des règles de gestion dans l’utilisation de ces périphériques de stockage et peuvent pour cela s’appuyer sur les préconisations de l’ANSSI (agence nationale de la sécurité des systèmes d’information).

Les supports de stockage USB (disque dur, clé USB) sont communément utilisés dans l’environnement professionnel.

Que ce soit pour une sauvegarde de données ou un échange de fichiers d’un poste de travail à un autre, l’utilisation des clés USB doit être encadrée et sécurisée au travers de règles et de bonnes pratiques.

Durant ces dernières années, de nombreux malwares se sont diffusés dans les entreprises, infectant les postes de travail et serveurs. Dès le branchement sur un port USB, le malware présent sur la clé infecte la machine puis se propage à travers le réseau informatique de l’entreprise.

Ce mode d’attaque est particulièrement convoité par les hackers puisque dans ce cas, c’est le salarié qui à son insu va implanter la clé infectée au sein de l’entreprise.

Que ce soit sous la forme d’une clé USB trouvée dans un transport en commun par exemple ou d’une clé offerte sur un salon professionnel, les scénarios d’attaques pouvant cibler votre entreprise sont nombreux. Pour se prémunir de cette menace, des machines appelées stations blanches peuvent être utilisées avant l’utilisation d’une nouvelle clé USB sur le réseau informatique.

Une station blanche est un ordinateur ayant pour fonction de scanner la clé USB dans le but de trouver un virus informatique en son sein.

Cette méthode permet d’éviter toute compromission du réseau informatique via des périphériques infectés.

Une traçabilité technique et organisationnelle des supports amovibles (disque externe, périphériques USB) permet de garantir que l’utilisation de ces équipements respecte les règles établies par l’entreprise.

Une bonne pratique réside dans le fait de marquer visuellement l’équipement par un marquage de couleur (une étiquette) et un numéro d’identification. Chaque équipement est inscrit dans un registre et assigné à un usage spécifique.

Ces équipements amovibles peuvent également être sécurisés dans un coffre fermé dédié à cet effet. Il est également recommandé de boucher physiquement ou de désactiver les ports USB sur les machines n’en ayant pas l’utilisation.

Si les thèmes de traçabilité et de sécurité physique des équipements vous intéressent, l’ANSSI a publié le guide de protection des systèmes essentiels dans lequel vous pouvez retrouver des exemples de scénarios d’attaques et des recommandations de sécurisation des équipements USB.

Quelle que soit la cause de la perte de vos données, les données stockées sur votre périphérique de stockage doivent être systématiquement chiffrées. Le chiffrement (communément appelé cryptage) permet de rendre sous une forme indéchiffrable n’importe quel format de fichier (texte, vidéo, audio).

Ainsi pour déchiffrer (décrypter) vos données, seuls une clé d’authentification ou un mot de passe permettent d’accéder au contenu du fichier .

À l’aide d’un chiffrement symétrique comme AES (chiffrement de niveau militaire), votre fichier sera ainsi sécurisé contre des attaques avancées. Dans l’hypothèse où votre clé USB serait volée ou consultée par une personne non autorisée, aucune réutilisation des fichiers préalablement chiffrés ne serait possible. Seuls les fichiers non chiffrés pourraient être lus.

Notons ici que ce n’est pas le périphérique qui est chiffré mais la donnée elle-même. N’importe quelle clé USB ou disque dur du marché peuvent stocker indifféremment et simultanément des données chiffrées ou non chiffrées.

En entreprise, il est préférable d’imposer le chiffrement total du supports amovibles usb afin de garantir qu’aucune donnée sensible ne puisse sortir de l’entreprise par ce biais. Une solution de chiffrement de qualité peut proposer différents comportements face à l’introduction d’une clé usb ou d’un disque dur sur un PC du réseau de l’entreprise.

Avec la mobilité des collaborateurs et la forte adoption du télétravail, le risque de perte ou de vol d’un équipement informatique est important. Dans le but d’éviter de divulguer des informations confidentielles présentes sur la machine, il est recommandé de chiffrer les partitions de l’équipement (système et données). 

Avec la solution CRYHOD développée par PRIM’X, l’ensemble de la machine est chiffré.

L’accès à la machine se fait par une authentification pré-boot ( avant le démarrage du système d’exploitation) par un mot de passe, un certificat ou un token usb de sécurité.

Le déploiement de cette solution se fait via les outils d’administration courants comme le Microsoft System Center Configuration Manager (SCCM) et peut s’appuyer sur l’Active Directory.

L’équipement est ainsi sécurisé tout au long de son cycle de vie : si aucun mot de passe ou secret n’est fourni à la machine, elle ne démarre pas et les données restent inaccessibles. Cette protection s’étend jusqu’à la phase de recyclage de l’équipement.

Pour en savoir plus sur la solution CRYHOD, n’hésitez pas à consulter la fiche produit de la solution.