Clés USB: priorité à la sécurité Juin 08

2 Clés USB: priorité à la sécurité

Au sujet de l’ENISA

L’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) est

une agence européenne qui a été créée pour servir le fonctionnement du marché intérieur.
L’ENISA est un centre d’excellence en matière de sécurité des réseaux et d’information
pour les États membres et les institutions de l’Union européenne. Elle prodigue conseils et
recommandations et agit comme une centrale d’informations en matière de bonnes
pratiques. En outre, elle facilite les contacts entre les institutions européennes, les États
membres, les entreprises privées et les acteurs de l’industrie.

Coordonnées:

Pour toute information générale ou concernant la sensibilisation à la sécurité de

l’information, veuillez nous contacter à l’adresse électronique suivante:

Courriel: Isabella Santa, Responsable Sensibilisation — awareness@enisa.europa.eu

Internet: http://www.enisa.europa.eu/

Avertissement juridique

Nous tenons à signaler que cette publication reflète le point de vue et les interprétations
des auteurs et éditeurs, sauf avis contraire. Ce document ne doit pas être considéré
comme une action de l'ENISA ou de ses organes, sauf s'il est adopté dans le respect du
règlement (CE) n° 460/2004 de l'ENISA. Cette publication ne reflète pas nécessairement
l’état actuel des choses et est, de ce fait, susceptible de faire l’objet de mises à jour.

Les sources tierces sont citées chaque fois que cela est nécessaire. L’ENISA ne peut être
tenue responsable du contenu des sources externes, y compris les sites web externes cités
dans cette publication.

Cette publication n’a qu’un objectif purement éducatif et informatif. Ni l’ENISA, ni

quiconque agissant en son nom, ne peut être tenu responsable de l’usage qui pourrait être
fait des contenues dans la présente publication.

La reproduction de la présente publication est autorisée, pourvu que les sources soient
citées.

© Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA),

2008
 Clés USB: priorité à la
sécurité

Juin 2008
4 Clés USB: priorité à la sécurité

Remerciements

Plusieurs personnes ont soutenu ce travail et y ont contribué directement ou indirectement et de

diverses façons.

L’auteur tient à remercier Dror Todress de San Disk et Louis Marinos de l’ENISA pour leur prompt
soutien, leur précieuse contribution et le matériel qu'ils ont fourni pour rédiger ce document.

L’auteur tient également à remercier toutes les personnes qui ont contribué à l’élaboration de ce
document par leurs analyses informelles, leurs précieuses idées, observations, suggestions et
solutions. Sans leur contribution, le contenu présenté ici ne pourrait être ni complet ni correct.
Clés USB: priorité à la sécurité 5

Table des matières

AU SUJET DE L’ENISA ............................................................................................................. 1
REMERCIEMENTS .................................................................................................................... 4
RÉSUMÉ .............................................................................................................................. 7
PARTIE 1: CLÉS USB ET PROBLÈMES DE SÉCURITÉ ............................................................. 9
UTILISATION D'APPAREILS MOBILES ......................................................................................10
CLÉS USB ............................................................................................................................11
DÉFINITION .........................................................................................................................11
INCIDENTS RÉCENTS ...............................................................................................................13
PRINCIPAUX RISQUES LIES A L'UTILISATION DE CLES USB ....................................................................15
PREOCCUPATIONS DES ENTREPRISES ............................................................................................15
INCIDENCE DU NIVEAU DE SÉCURITÉ .....................................................................................16
RISQUES ET MENACES .............................................................................................................17
PARTIE 2: ORIENTATIONS DE BONNES PRATIQUES.......................................................... 19
NOS ORIENTATIONS .............................................................................................................20
RECOMMANDATIONS ET SOLUTIONS LOGICIELLES OU MATERIELLES A ENVISAGER ...........................................20
LISTE DE POINTS A VERIFIER ......................................................................................................26
PARTIE 3: CONSEILS DE SÉCURITÉ ET AVANTAGES POUR L’ENTREPRISE ......................... 27
QUELQUES CONSEILS PRATIQUES POUR EVITER LE VOL DE CLES USB .......................................28
AVANTAGES .........................................................................................................................28
CONCLUSIONS .................................................................................................................. 29
RÉFÉRENCES ET LECTURES CONSEILLÉES ......................................................................... 30
6 Clés USB: priorité à la sécurité
Clés USB: priorité à la sécurité 7

Résumé
Depuis ces dernières années, les utilisateurs de matériel informatique, dans les entreprises,
éprouvent de plus en plus le besoin d’être totalement mobiles et connectés. En effet, ils travaillent
fréquemment à partir de leur domicile ou hors de l’entreprise afin de maintenir leur niveau de
productivité. Le personnel doit être en mesure de synchroniser les fichiers entre un ordinateur et un
lecteur de données afin de sauvegarder les données les plus importantes et de pouvoir y accéder
1
hors du bureau ou à partir d'autres ordinateurs ( ). Les appareils mobiles tels que des ordinateurs
portables, des blocs-notes électroniques, des clés de bus série universel (USB), des assistants
numériques personnels (PDA), des téléphones mobiles perfectionnés ou d’autres dispositifs se sont
2
multipliés depuis quelques années ( ).

En particulier, les appareils de stockage personnels tels que les clés USB ont vu leur capacité
s’accroître et sont utilisés à tous les niveaux de l'entreprise (3). Le niveau de sécurité de ces
appareils laisse néanmoins souvent à désirer, de même que leurs outils de contrôle et de gestion. La
plupart du temps, leur utilisation ne fait pas l’objet de contrôles, de sauvegardes, de cryptages ou de
procédures de gestion du parc informatique prévus dans la politique d’entreprise.

Des événements récents ont suscité une réflexion dans les organisations, qui comprennent
désormais qu'il est nécessaire de mettre en œuvre de nouvelles politiques et technologies afin de
sécuriser les informations d'entreprise stockées sur des clés USB personnelles (4). Les mesures
prises par les organisations en vue de sécuriser les informations stockées sur des appareils mobiles
sont souvent inadéquates. Les entreprises manipulant des données particulièrement sensibles ou
faisant l’objet de réglementations strictes doivent envisager de contrôler l’utilisation de ces
périphériques prêts à l’emploi. Pour assurer un niveau de sécurité suffisant, il faut cependant
commencer par prendre conscience des risques et des garde-fous disponibles (5).

Ce document propose une brève description des données d’entreprises susceptibles de subir des
problèmes de sécurité. Il souligne également les risques potentiels liés à l'utilisation de clés USB par
les employés d'entreprises, tant à des fins honnêtes que malhonnêtes, par exemple, pour faire sortir
clandestinement des informations de l'entreprise. Il présente en outre orientations de bonnes
pratiques qui visent à aider le lecteur à surmonter les obstacles présents dans son organisation. Il
s'agit tout d’abord de définir des politiques claires en matière de sécurité et d'y sensibiliser les
employés.

Le présent document s’adresse aux départements informatiques et plus particulièrement aux

responsables et aux professionnels de l’informatique et entend leur donner la capacité de sécuriser
les informations sur le réseau ainsi que la possibilité de contrôler les données qui entrent et sortent
de l’entreprise via ces appareils mobiles. Il vise également à mieux sensibiliser les utilisateurs finaux
des entreprises aux risques liés à l'utilisation des clés USB.

Ce document ne se penche pas sur les aspects juridiques du problème. Il ne doit pas non plus être
assimilé à un relevé exhaustif de tous les risques liés à l’utilisation de clés USB personnelles pour
raisons professionnelles ni à des recommandations techniques indiquant des normes ou des solutions
de sécurité.

() DataTraveler Secure et DataTraveler Secure — Privacy Edition White Paper, Kingston Technology, Rév. 2.0,
juin 2007.
() Determine the appropriate level of ITAM controls for mobile assets [Définir le niveau adéquat des contrôles
ITAM pour les biens mobiles], Jack Heine, Gartner, 15 novembre 2005.
(3) Seven steps to secure USB drives [7 étapes pour sécuriser votre clé USB], SanDisk, juillet 2007.
(4) Seven steps to secure USB drives [7 étapes pour sécuriser votre clé USB], SanDisk, juillet 2007.
(5) Un guide utilisateur: comment améliorer la sensibilisation à la sécurité de l’information, ENISA, juin 2006.
8 Clés USB: priorité à la sécurité
Clés USB: priorité à la sécurité 9

PARTIE 1:
Clés USB et problèmes de sécurité
10 Clés USB: priorité à la sécurité

Utilisation d'appareils mobiles

À l'ère numérique dans laquelle nous vivons et travaillons, les utilisateurs en entreprise se doivent
de voyager léger et d’être connectés en permanence. C’est la raison pour laquelle les appareils
mobiles tels que les ordinateurs portables, les ordinateurs blocs-notes, les clés de bus série universel
(USB), les assistants numériques personnels (PDA), les téléphones mobiles perfectionnés ou d’autres
dispositifs mobiles se sont multipliés depuis quelques années.

Les employés utilisent des appareils mobiles, emportent des données en voyage, ramènent du
travail à la maison. Les entreprises sont donc constamment
confrontées aux risques liés à l’absence de protection des données
placées sur des clés USB non sécurisées. Cette situation peut
avoir des conséquences dramatiques en termes de perte sur la
réputation, les emplois et les bénéfices d'une entreprise (6).
Données relatives à la clientèle, informations financières, plans
d'affaires, données relatives à des patients, informations
confidentielles ne sont que quelques exemples des données
habituellement stockées et transportées. Les utilisateurs finaux
sont extrêmement nombreux à ignorer quels risques ils courent en
effectuant ces opérations, comme l'ont montré de récents
incidents récents (7).

Par exemple, au Royaume-Uni, un ordinateur portable contenant

des données relatives à quelque 2 000 personnes et à leurs

(6) DataTraveler for Enterprise, Kingston, 2008, disponible sur

http://www.kingston.com/flash/DataTravelers_enterprise.asp (dernière visite du site le 30 mai 2008).
(7) McAfee encrypted USB — Fiche technique, McAfee.
Clés USB: priorité à la sécurité 11

comptes d’épargne a été dérobé à un employé de l’administration fiscale et douanière britannique;

cette même administration a perdu les informations personnelles de 6 500 bénéficiaires de pensions
privées; neuf prestataires de services de santé nationaux ont perdu des dossiers de patients
conservés sur un CD-ROM; les informations relatives à 1 500 étudiants ont été perdues dans le
courrier; les dossiers de trois millions de candidats britanniques au permis de conduire ont été
perdus aux États-Unis (8); une clé USB contenant les noms, les notes et les numéros de sécurité
sociale de 6 500 anciens étudiants a été égarée (9); des clés USB contenant des informations
militaires confidentielles de l’armée américaine ont été mises en vente sur un marché proche de
Bagram, en Afghanistan (10).

Le préjudice potentiel de la perte ou du vol de données sensibles d'entreprise s’accroît de manière

exponentielle chaque jour, ce qui souligne la nécessité de prendre des mesures de sécurité
adéquates par rapport à ces appareils de stockage portables (11). Les pertes de données ne
constituent pas seulement un problème de sécurité ou un problème informatique. Il s’agit d’une
thématique qui concerne de nombreux aspects de l’entreprise (12).

Selon le rapport Datamonitor commandé par McAfee, 60 % des 1 400 responsables informatiques
interrogés dans le monde entier disent avoir connu un problème de fuite de données, tandis que
seuls 6 % pouvaient affirmer avec certitude n’avoir subi aucun problème de ce type au cours des
deux dernières années. En outre, 61 % estiment que ces fuites de données sont imputables à des
membres de l’entreprise (13).

Clés USB
Définition

Les clés USB servent à stocker et gérer des données d’entreprise dans et hors de l’entreprise. Les
clés USB sont également appelées clés de mémoire ou clés de stockage. Il s’agit d’appareils de
stockage portables prêts à l’emploi utilisant une mémoire flash et suffisamment légers pour être
attachés à un porte-clés. La première clé USB a été vendue en 2000.

Les clés USB sont des outils puissants et très appréciés des personnes qui travaillent dans des
entreprises ou des agences gouvernementales et qui sont soucieuses de leur mobilité, dans la
mesure où elles présentent les caractéristiques suivantes:
 petite taille et légèreté;
 rapidité – 24 MB/s
 capacité importante
 faible coût
 prêtes à l’emploi.

(8) «Timetable of missing data blunders» [«Calendrier des problèmes de pertes de données»], The Times, 20
février 2008; «Disc listing foreign criminals lost for year» [«Un disque reprenant les coordonnées de criminels
étrangers égaré depuis un an»] The Times, 20 février 2008.
(9) «Small drives cause big problems», [«De petites clés à l’origine de gros problèmes»], John Swarts, USA
Today, 16 juin 2006.
(10) «US military secrets for sale at Afghanistan bazaar» [«Des secrets militaires américains en vente sur un
marché afghan»], Watson, Los Angeles Times, 10 avril 2006.
(11) Seven steps to secure USB drives [7 étapes pour sécuriser votre clé USB], SanDisk, juillet 2007 et Mobile
device security in 2006 [Sécurité des appareils mobiles en 2006], Forrester, février 2006.
(12) Getting started with McAfee host data loss prevention [Découvrir la prévention de la perte de données hôtes],
McAfee, 2008.
(13) «New report chronicles the cost of data leaks» [«Un nouveau rapport indique le coût des fuites de données»],
Physorg.com, 2007, disponible sur http://www.physorg.com/news96708147.html (dernière visite le 2 juin 2008).
12 Clés USB: priorité à la sécurité

Elles continuent à foisonner et bénéficient d’une demande conséquente en termes de livraisons à

l’unité. En 2006, Gartner avait prévu des ventes de plus de 114 millions d'unités ( 14). En 2005,
85 millions de clés ont été vendues mais peu d'acheteurs ont réfléchi aux conséquences de celles-ci
en termes de sécurité (15). Une enquête Gartner a établi que 22 % des clés USB étaient vendues à
des entreprises et qu’environ 80 à 90 % n’étaient pas cryptées (16).

Les clés USB constituent un moyen pratique et peu onéreux d’extraire des données d’un ordinateur
et une alternative avantageuse à l’ordinateur portable ou au disque dur externe (17). Une étude
récente réalisée par SanDisk met en évidence les éléments suivants (18):
 La majorité des utilisateurs finaux en
entreprise (77 %) ont utilisé une clé
USB personnelle à des fins
professionnelles. Parmi ces
utilisateurs, un sur cinq n’était pas ou
peu conscient des risques liés au
transport de données d’entreprise
placées sur une clé USB (21 %), ce
qui révèle un potentiel conséquent de
pertes de données.
 Les responsables informatiques
estiment qu’environ 35 % du
personnel dont ils s’occupent utilisent
des clés USB personnelles pour
transporter des données d’entreprise.
 Environ 41 % des responsables
informatiques sont inquiets du niveau
actuel d'utilisation des clés USB dans
leur organisation.

Une étude réalisée par le Ponemon Institute révèle que plus de la moitié des employés déclarent
copier des informations sensibles sur des clés USB en dépit du fait que 87 % des entreprises
analysées disposent de politiques interdisant cette pratique (19). Il apparaît ainsi clairement que les
employés connaissent mal les politiques d'entreprise en matière d'utilisation de clés USB.
L’évaluation des formations proposées par les entreprises au sujet des politiques régissant
l’utilisation de clés USB suffit à nous convaincre qu'elles ont une part de responsabilité dans ce
manque de connaissance. L'étude SanDisk révèle que les employés bénéficient de formations
relatives à l’utilisation de clés USB, soit une fois par an (33 %), soit plus d’une fois par an (24 %);

(14) Dataquest insight: USB flash drive market trends, worldwide, 2001–2010 [Informations Dataquest:
tendances mondiales du marché de la clé USB, 2001-2010], Joseph Unsworth, Gartner, 20 novembre 2006;
Forecast: USB flash drives, worldwide, 2001–2011 [Prévisions: clés USB au niveau mondial, 2001-2011], Joseph
Unsworth, Gartner, 24 septembre 2007.
(15) «Thumb drives are too often the victims of convenience» [«Les clés USB, trop souvent victimes de leur
simplicité d'utilisation»], John Zyskowski, GCN, 14 décembre 2006, disponible sur
chttp://www.gcn.com/online/vol1_no1/44136-1.html (dernière visite le 30 mai 2008).
() «Data breaches are ―everyday incidents‖» [«Les violations de données sont quotidiennes»], Matt Chapman,
vnunet.com, 15 novembre 2007, disponible sur http://www.vnunet.com/vnunet/news/2203540/security-
breaches-everyday (dernière visite le 30 mai 2008).
(17) «The portable risk of high capacity USB drives» [«Le risque portable des clés USB à forte capacité»], Allan
Leinwand, GigaOM, 5 décembre 2007, disponible sur http://gigaom.com/2007/12/05/the-portable-risk-of-high-
capacity-usb-drives/ (dernière visite le 30 mai 2008).
(18) SanDisk endpoint security survey [enquête SanDisk sur la sécurité d’extrémité], SanDisk, avril 2008.
(19) Survey of US IT practitioners reveals data security policies not enforced [une enquête auprès de spécialistes
informatiques révèle que les politiques en matière de sécurité des données ne sont pas appliquées], Ponemon
Institute et RedCannon Security, décembre 2007, disponible sur
http://www.ponemon.org/press/RC_PonemonSurvey_FINAL.pdf (dernière visite le 2 juin 2008).
Clés USB: priorité à la sécurité 13

soit une seule fois lorsqu’ils sont engagés (22 %); soit qu’ils sont formés s’ils le demandent (17 %)
ou qu’ils ne reçoivent jamais une telle formation (3 %) ( 20). Il faut donc absolument souligner que la
formation et la sensibilisation aux risques liés à l’utilisation de clés USB, mettant l’accent sur
l’utilisation sûre de ces appareils au quotidien, influencent de manière conséquente le comportement
des employés.

Incidents récents

Les incidents impliquant des clés USB se multiplient: elles sont égarées, perdues, empruntées sans
21 22
autorisation ou volées( ). Voici quelques exemples d’incidents récents ( ).
 Une clé USB égarée a été retrouvée sur un ordinateur public et remise aux forces armées
suédoises. Cette clé, contenant deux documents confidentiels, a été rapportée par une
personne qui l’a trouvée dans un centre informatique public de Stockholm. Un employé des
forces armées a reconnu que la clé USB lui appartenait. Certaines des données enregistrées
sur cette clé USB étaient non confidentielles mais d’autres l’étaient, comme des informations
relatives à la menace représentée par les EEI (engins explosifs improvisés) ou les mines en
Afghanistan (23).
 Le service de santé national britannique a perdu deux clés USB non cryptées contenant les
dossiers de 148 patients. Cet incident est intervenu peu de temps après que l’administration
fiscale et douanière britannique ait perdu un CD-ROM non crypté contenant des données
relatives à quelque 25 millions de contribuables (24).
 Au début du mois de mai 2008, une clé USB contenant les dossiers de l’hôpital Prince de
Galles (PWH) de Hong Kong a été égarée. Des documents de travail comprenant les
informations personnelles de patients, notamment leur nom, leur numéro de carte d’identité
et des résultats de tests en laboratoire, se trouvaient sur cette clé. On estime le nombre de
dossiers concernés à environ 10 000 (25).
 Un professeur de mathématiques a perdu, lors d’un séjour à Madagascar, une clé USB
contenant des informations au sujet de 8 000 étudiants de l’université A&M de Corpus Christi
au Texas. Cette clé USB contenait les numéros de sécurité sociale et d’autres
renseignements sur des étudiants de tous les niveaux et de tous les départements inscrits à
l'université au cours du printemps, de l’été et de l’automne 2006. La clé appartenait au
responsable du département de mathématiques qui l’a emmenée en vacances et a découvert

(20) Enquête SanDisk sur la sécurité d’extrémité, SanDisk, avril 2008.

(21) DataTraveler Secure et DataTraveler Secure — Privacy Edition White Paper, Kingston Technology, Rév. 2.0,
juin 2007.
(22) Pour en savoir plus sur des incidents récents touchant à la sécurité, consultez «Educational security incidents
(ESI) — Sometimes the free flow of information is unintentional» [«Problèmes de sécurité dans le secteur de
l’enseignement – Quand la disponibilité des informations est involontaire»], disponible sur
http://www.adamdodge.com/esi/month/2008/01; «Privacy and identity theft» [«Vol d’informations privées et
d’identité»], Dave Jevans, IronKey, disponible sur http://blog.ironkey.com/?cat=9&paged=2 (dernière visite le
20 mai 2008); et «Thumb drives are too often the victims of convenience» [«Les clés USB, trop souvent victimes
de leur simplicité d'utilisation»], John Zyskowski, GCN, 14 décembre 2006, disponible sur
http://www.gcn.com/online/vol1_no1/44136-1.html (dernière visite le 30 mai 2008); Plugging the leaks: best
practices in endpoint security [«Combler les lacunes: bonnes pratiques en matière de sécurité d’extrémité»],
SanDisk, 2008.
(23)«Privacy and identity theft» [«Vol d’informations privées et d’identité»], Dave Jevans, IronKey, disponible sur
http://blog.ironkey.com/?cat=9&paged=2 (dernière visite le 20 mai 2008).
(24)«Privacy and identity theft» [«Vol d’informations privées et d’identité»], Dave Jevans, IronKey, disponible sur
http://blog.ironkey.com/?cat=9&paged=2 (dernière visite le 20 mai 2008).
(25) «Prince of Wales Hospital announced an incident of loss of USB flash drive containing hospital files»
[«L’hôpital Prince de Galles annonce la perte d’une clé USB contenant des dossiers médicaux»], communiqués de
presse, 6 mai 2008, disponible sur http://www.info.gov.hk/gia/general/200805/06/P200805060232.htm
(dernière visite le 30 mai 2008).
14 Clés USB: priorité à la sécurité

sa disparition deux semaines plus tard en faisant ses bagages pour rentrer chez lui (26).
 Une clé USB contenant des informations confidentielles de l’armée américaine s'est retrouvée
en vente sur un marché proche de Bagram, en Afghanistan. La clé contenait également des
listes de déploiement et d’autres documents dévoilant les noms et les numéros de sécurité
sociale de près de 700 membres de l’armée américaine, autant d’informations que des
voleurs d’identité pourraient utiliser pour ouvrir des comptes de cartes de crédit au nom de
soldats (27).
 Quelques 13 000 employés de Pfizer Inc., dont environ 5 000 résidant au Connecticut, ont
vu la confidentialité de leurs renseignements personnels compromise lorsqu'un ordinateur
portable et une clé USB de l’entreprise ont été volés. Cette atteinte à la confidentialité s’est
produite le 12 mai 2008 et était la seconde touchant les employés Pfizer Inc. depuis le début
et la sixième révélée en un an, à compter de mai 2007. Pfizer a envoyé plus de 65 000
notifications de violations de la confidentialité de données concernant plus de 10 000
employés au Connecticut. L’entreprise a affirmé que l’ordinateur portable ne contenait aucun
numéro de sécurité sociale. Cependant, la confidentialité des informations telles que le nom,
l'adresse et le numéro de téléphone du domicile, le numéro de carte d’identité, le poste et le
salaire des employés a pu être compromise. Parmi d'autres informations susceptibles d’avoir
été perdues, on peut également citer le département, le site de Pfizer sur lequel travaillaient
les employés, le nom d'employés, de responsables et leur description de fonction ( 28).
 Un ordinateur portable contenant des renseignements personnels sur quelque 8 000
étudiants a été volé dans la voiture d’une employée de Spring ISD. La voiture d’une
coordinatrice de tests a été cambriolée alors qu’elle avait fait un bref arrêt en rentrant chez
elle. Les cambrioleurs ont emporté son ordinateur portable professionnel et une clé USB. La
clé USB contenait les numéros de sécurité sociale des étudiants, des renseignements
personnels, les noms des écoles qu’ils fréquentaient ainsi que leur niveau et leur date de
naissance. Elle contenait également les résultats du test d’évaluation des connaissances et
des aptitudes pour le Texas (29).
 Le vol des renseignements personnels de 6 500 étudiants (actuels et anciens) de l’université
du Kentucky, comprenant leurs noms, leurs niveaux et leurs numéros de sécurité sociale, a
été déclaré le 26 mai 2006 après que la clé USB d’un professeur a été dérobée. La clé n’a
pas été retrouvée et l’université remet actuellement en question l’utilisation des clés
USB (30).
 En octobre 2005, le Wilcox Memorial Hospital de Lihue, à Hawaii, a informé 120 000 patients
et anciens patients qu’une clé USB contenant leurs renseignements personnels (noms,
adresses, numéros de sécurité sociale et numéros de dossier médical) avait été perdue. Elle
n’a pas encore été retrouvée. L’hôpital a décidé de ne plus utiliser de clés USB alors qu’il
avait adopté ce système quelques mois seulement auparavant.

Bien que différents, ces incidents sont tous imputables, d’une part, au manque de sensibilisation aux
risques liés à l’utilisation de clés USB lors du transport de données sensibles et, d’autre part, à une

(26) «TAMU Corpus Christi prof loses flash drive with 8 000 student records» [«Un prof de la TAMU de Corpus
Christi perd sa clé USB contenant les dossiers de 8 000 étudiants»], Paul McCloskey, Campus Technology, 18
août 2007, disponible sur http://campustechnology.com/articles/48635 (dernière visite le 30 mai 2008).
(27) «Afghan market sells US military flash drives» [«Un marché afghan met en vente des clés USB appartenant
l’armée américaine»], Paul Watson, Los Angeles Times, 18 avril 2006, disponible sur
http://www.veteransforcommonsense.org/ArticleID/7120 (dernière visite le 28 mai 2008).
(28) «Another laptop stolen from Pfizer, employee information compromised» [«Encore un ordinateur portable
contenant des informations sur les employés volé chez Pfizer»], Lee Howard, 12 mai 2008, disponible sur
http://attrition.org/dataloss/2008/05/pfizer01.html (dernière visite le 30 mai 2008).
(29) «Spring students' info at risk after laptop theft» [«La confidentialité de renseignements sur des étudiants
compromise après le vol d'un ordinateur portable»], rapport de notation de KHOU.com, 16 mai, 2008, disponible
sur http://attrition.org/dataloss/2008/05/spring01.html (dernière visite le 30 mai 2008).
(30) «Small drives cause big problems», [«De petites clés à l’origine de gros problèmes»], John Swarts, USA
Today, 16 août 2006, disponible sur http://www.usatoday.com/tech/news/computersecurity/2006-08-15-
thumbdrives-stolen_x.htm (dernière visite le 27 mai 2008).
Clés USB: priorité à la sécurité 15

politique de sécurité d’extrémité peu rigoureuse.

Principaux risques liés à l'utilisation de clés USB

Sans un contrôle adéquat, l'utilisation de clés USB peut se révéler particulièrement dangereuse car
elle comporte une menace impossible à quantifier mais néanmoins conséquente pour la
confidentialité des informations. Il s’agit dès lors de tenir compte des considérations suivantes pour
sécuriser efficacement les clés USB:
 Rangement: les clés USB sont généralement conservées dans des sacs, des sacs à dos, des
mallettes d’ordinateur, des vestes, des poches de pantalon ou sont laissées sans surveillance
près de postes de travail.
 Utilisation: les données d’entreprise sont conservées sur des clés personnelles non
sécurisées et sont donc constamment déplacées. Plus les départements informatiques des
entreprises utilisent les clés USB, plus la probabilité de violation ou de perte de données
augmente. De nombreuses entreprises ont adopté des politiques strictes de gestion en
matière d’utilisation des clés USB et certaines ont même décidé de les interdire afin de
réduire les risques au minimum. Certains logiciels peuvent contribuer à réduire ces risques
en permettant aux grandes entreprises d’enregistrer les interactions entre la clé et
31
l’ordinateur ou le serveur et de les sauvegarder dans une base de données centralisée ( ).
 Coût: le coût moyen de chaque perte de données varie de 100 000 à environ 2,5 millions
dollars des États-Unis(32).
 Type de documents conservés sur la clé: documents publics, internes, confidentiels, à accès
limité ou protégés. Les informations enregistrées sur la clé peuvent différer selon le secteur
(banques, assurances, etc.). Les données que les utilisateurs finaux d’entreprise copient le
plus souvent sont des données relatives à la clientèle (25 %), suivies par les informations
financières (17 %), les plans d'affaires (15 %), les données relatives aux employés (13 %),
les plans de marketing (13 %), les informations liées à la propriété intellectuelle (6 %) et les
33
codes sources (6 %) ( ).

Type de documents

 Informations publiques: consultables par tous

 Informations internes: diffusées librement au sein de l’entreprise
 Informations confidentielles: diffusées dans des départements et/ou des
unités de l’entreprise moyennant la signature d’un accord de non-divulgation
 Informations à diffusion restreinte: partagées par des employés précis de
l’entreprise
 Informations protégées: à sécuriser à tout prix.

Préoccupations des entreprises

Voici quelques-unes des principales préoccupations des entreprises par rapport à l’utilisation de clés
34
USB ( ).
 Fuites de données: pour limiter les fuites de données, les entreprises doivent réguler
l’utilisation de clés USB, en autorisant uniquement l’utilisation de clés USB agréées par
35
l’entreprise ( ).
 Difficultés liées à la conformité aux normes réglementaires et de sécurité: le fait que les

(31) Tendances mondiales du marché de la clé USB, 2001-2010, Joseph Unsworth, novembre 2006, Gartner.
(32) Enquête SanDisk sur la sécurité d’extrémité, SanDisk, avril 2008.
(33) Enquête SanDisk sur la sécurité d’extrémité, SanDisk, avril 2008.
(34) Seven steps to secure USB drives [7 étapes pour sécuriser votre clé USB], SanDisk, juillet 2007.
(35) Protection des clés USB, Ron LaPedis, SanDisk, Forum sur le cryptage de disque, 13 février 2007.
16 Clés USB: priorité à la sécurité

entreprises veillent à la sécurité de l’utilisation des clés USB contribuera à remplir les trois
critères de sécurité (à savoir: la confidentialité, la disponibilité et l’intégrité) et à garantir el
respect de certains cadres de conformité et/ou normes de sécurité (p. ex.: la loi Sarbanes-
Oxley, les normes PCI en matière de sécurité de données, etc.);

 Coût des pertes de données et du support: en adoptant une politique de sécurité, les
entreprises pourraient plus facilement récupérer des données suite à une perte ou à un vol
(ce qui peut se produire même si des mesures de sécurité sont appliquées), réduisant ainsi
leurs coûts de propriété et de support.

Incidence du niveau de sécurité

En conservant des informations d’entreprise sur des clés USB
personnelles et non sécurisées, les employés, qu’ils se trouvent au
sein ou en dehors de l’entreprise, mettent leur employeur en
danger. Le niveau de risque et de menace s’accroît cependant
lorsque des informations sensibles sortent de l’entreprise car elles
36
peuvent alors plus aisément tomber entre de mauvaises mains ( ).

Les clés USB posent un important problème de sécurité: en effet,

elles sont de plus en plus nombreuses à être perdues ou volées.
Une enquête, réalisée à la demande de l’entreprise de protection de
données Vontu, indique que plus de la moitié des 484 techniciens
professionnels interrogés ont affirmé que les clés USB contiennent
des informations confidentielles non protégées. Selon 20 % des
personnes interrogées, au moins une clé USB contenant des
données est perdue chaque mois dans le cadre professionnel. Les entreprises ont beaucoup de mal à
découvrir où ces données se trouvent et où elles sont emmenées. En outre, la plupart du temps, les
employés ne signalent pas la perte d’une clé USB. Un employé peut charger des informations valant
25 millions de dollars sur une clé USB pouvant être ensuite achetée pour à peine 25 dollars (37).

(36) Getting started with McAfee host data loss prevention [Découvrir la prévention de la perte de données hôtes],
McAfee, 2008.
(37) «Small drives cause big problems», [«De petites clés à l’origine de gros problèmes»], John Swarts, USA
Today, 16 août 2006, disponible sur http://www.usatoday.com/tech/news/computersecurity/2006-08-15-
thumbdrives-stolen_x.htm (dernière visite le 27 mai 2008).
Clés USB: priorité à la sécurité 17

Les incidences du niveau de sécurité d’appareils de stockage personnels peuvent être classées
38
comme suit ( ):
 divulgation de données suite à la perte, au vol ou à l'utilisation inadéquate de la clé;
 extraction non autorisée de données;
 introduction de codes malveillants.

Risques et menaces

L’utilisation de clés USB personnelles non sécurisées, le transfert et le transport de données

d’entreprise entraînent un nombre quasi-infini de risques et de menaces, parmi lesquels:
 la fuite de données (39): il est impossible d’estimer les conséquences de la fuite de données
précieuses hors des entreprises, mais il s’agit d’un problème en constante évolution;
 la perte d'informations: des clés USB sont sans cesse perdues ou oubliées quelque part. Il
est fort possible que d’autres personnes consultant des informations (p. ex. des données
relatives à des clients et/ou des employés), indiquées comme confidentielles, conservent ces
données à titre personnel puis finissent par reformater la clé afin de l’utiliser à des fins
privées. Cela peut avoir des conséquences en termes de responsabilité juridique;
 confidentialité des informations: lorsque des informations tombent entre de mauvaises
mains, l’entreprise subit un préjudice bien supérieur au simple coût du remplacement de la
clé;
 intégrité des informations: lorsque le contenu de la clé est modifié;
 corruption des données: si la clé USB est placée à proximité de champs magnétiques et/ou si
elle est démontée de manière inadéquate. Le système d'exploitation cherchera généralement
à traiter toute déconnexion involontaire au mieux afin d'éviter la corruption de données;
 sécurité des données: des informations peuvent sortir clandestinement de l’entreprise;
 préjudice aux affaires/à la réputation/à l’image de l’entreprise: lorsqu’une clé USB est volée
et utilisée en vue de nuire aux affaires/à la réputation/à l’image de l’entreprise;
 moins bon positionnement sur le marché;
 transmission de virus/vers (40): lors du transfert de fichiers entre deux machines, il existe un
risque de transmission de codes de virus ou d’autres codes malveillants. En avril 2008, un lot
de clés USB de marque HP contenant un virus a été expédié;
 logiciel espion (41): lorsque l'ordinateur hôte est infesté de logiciels espions ou d’autres
menaces. Dans ce cas, les programmes de sécurité avec protection par mot de passe
exploités sur la plupart des clés USB sont moins fiables que le cryptage car les programmes
de protection utilisent l'ordinateur hôte pour effectuer ses opérations de sécurité;
42
 vulnérabilité des logiciels ( );
 fraude/escroquerie:

(38) Seven steps to secure USB drives [7 étapes pour sécuriser votre clé USB], SanDisk, juillet 2007.
(39) Understanding data leakage [Comprendre la perte de données], Jay Heiser, Gartner, 21 août 2007; «Data-
leak security proves to be too hard to use» [«Les mesures de sécurité des données trop compliquées à
appliquer»], Infoworld.com, disponible sur http://www.infoworld.com/article/08/03/06/10NF-data-loss-
prevention-problem_1.html (dernière visite le 2 juin 2008).
(40) l’étude réalisée par SanDisk sur la sécurité d’extrémité révèle que les virus/les vers sont considérés par les
responsables informatiques comme l’un des trois principaux risques pesant sur la sécurité, SanDisk, avril 2008.
Consulter aussi McAfeeVirusScan USB — protection reconnue de votre clé USB contre les virus, McAfee, 2006,
disponible sur http://download.mcafee.com/products/manuals/fr/vsusb_datasheet_2007.pdf (dernière visite le
30 mai 2008).
(41) L’étude réalisée par SanDisk sur la sécurité d’extrémité révèle que les logiciels espions sont considérés par
les responsables informatiques comme l’une des trois principales menaces pesant sur la sécurité, SanDisk, avril
2008.
(42) L’étude réalisée par SanDisk sur la sécurité d’extrémité révèle que les logiciels espions sont considérés par
les responsables informatiques comme l’une des trois principales menaces pesant sur la sécurité, SanDisk, avril
2008. Consulter également New attacks: device vulnerabilities stand out [De nouvelles attaques révèlent la
vulnérabilité des logiciels], Avivah Litan, Don Dixon, Greg Young, Gartner, 21 juin 2005.
18 Clés USB: priorité à la sécurité

 extorsion;
 vol d’identité;
 vol de propriété intellectuelle, de secrets commerciaux, d’informations confidentielles.
Clés USB: priorité à la sécurité 19

PARTIE 2:
Orientations de bonnes pratiques

PARTIE 2: Orientations de bonnes pratiques

20 Clés USB: priorité à la sécurité

Nos orientations
Se fondant sur les informations collectées et leur analyse, ce document fournit des orientations de
bonnes pratiques sur lesquelles le lecteur et son entreprise peuvent s’appuyer afin de réduire les
risques liés à la sécurité en matière de clés USB.

Ces orientations de bonnes pratiques reposent sur trois éléments:

 des recommandations;
 des solutions logicielles ou matérielles à envisager;
 une liste de points à vérifier.

Recommandations et solutions logicielles ou matérielles à envisager

Plusieurs recommandations et solutions logicielles et matérielles permettent de sécuriser l’utilisation

de clés USB.
 Mettez en œuvre une méthodologie d’évaluation des risques afin que des contrôles adéquats
43
soient exécutés en vue de réduire les risques tout au long de la vie des appareils ( ). Une
évaluation des risques permettra de comprendre en détail les risques et les coûts liés à
l’utilisation des clés USB et d’être ainsi en mesure de développer une stratégie qui comblera
44
ces lacunes ( );
 Appliquez des politiques/des orientations portant sur la sécurité d’utilisation des clés USB et
le stockage de données d’entreprise sur une clé USB personnelle. La plupart des mesures
sont adoptées en réaction à la suite d’un problème de perte de données. Une étude récente
indique que 67 % des organisations ont appliqué ou appliquent des politiques de sécurité
45
suite à une violation de la confidentialité ou de la sécurité des données en leur sein ( );

(43) Determine the appropriate level of ITAM controls for mobile assets [Définir le niveau adéquat des contrôles
ITAM pour les biens mobiles], Jack Heine, Gartner, 15 novembre 2005.
(44) Pour en savoir plus sur les méthodes et les outils de gestion/d’évaluation des risques, consulter
http://www.enisa.europa.eu/rmra/rm_ra_methods.html et http://www.enisa.europa.eu/rmra/rm_ra_tools.html
(45) Enquête SanDisk sur la sécurité d’extrémité, SanDisk, avril 2008.
Clés USB: priorité à la sécurité 21

Mettez en œuvre des politiques de sécurité avant que la confidentialité/la sécurité des
données ne fassent l’objet de violations. Développez une politique d’entreprise en matière de
sécurité selon laquelle chaque employé s'engage, par écrit, à ne pas connecter sa clé USB
personnelle au réseau et à ne pas transporter de données. Enfin, autorisez l’utilisation de
clés USB d’entreprise, en spécifiant les responsabilités des employés et les règles de sécurité
46
d'utilisation ( ) et en prévoyant un système de blocage des appareils qui ne sont pas
47
destinés à des fins professionnelles valables ( ). Il s’agit dès lors de définir quels types
d’appareils peuvent accéder au réseau.
Les politiques d’entreprise doivent être complètes sans pour autant être restrictives au point
d’entraver la productivité des employés. C’est la raison pour laquelle de nombreuses grandes
entreprises préfèrent contrôler et enregistrer l’ouverture de fichiers sensibles plutôt que d’en
bloquer l’accès automatiquement (48). Ces règles varient en fonction des rôles et des
responsabilités de chaque employé.
 Élaborez une procédure permettant d’évaluer la perte et/ou les dégâts causés à un bien de
l'entreprise, comme une clé USB. Utilisez des formulaires permettant de collecter et
d’analyser les informations fournies par le personnel concerné, le cas échéant.
 Mettez en œuvre une politique centralisée de sécurité d’extrémité au moyen d'une solution
propre à cette problématique. Distribuer et gérer des appareils de stockage portables à tous
les niveaux d’une entreprise peut s’avérer complexe et coûteux. Une gestion centralisée
permet aux organisations de relever ces défis en:
 gérant et, finalement, en bloquant les ports – les logiciels de cryptage et d’identité
n'assureront pas une sécurité absolue des clés USB. Surveillez chaque port sur chaque
poste de travail et bloquez l’accès à tout appareil non autorisé. Il est en outre possible
d’analyser les ports et de conserver une trace de tous les appareils en cours d’utilisation
sur ceux ci ou de configurer les ports de sorte qu’ils n’acceptent que certains appareils
spécifiques, tels que des clés cryptées distribuées à certains employés uniquement ( 49);
 cherchant un système assurant le suivi de l’utilisation hors ligne de clés USB – en
comparant les fichiers placés sur les appareils portables aux originaux afin de contrôler
s’ils ont été ouverts, modifiés ou copiés vers un autre appareil;
 récupérant les mots de passe utilisateurs de manière centralisée à l’aide d’un protocole
de question/réponse;
 gérant les clés USB d’entreprise de manière centralisée;
 assurant la conformité avec les normes de sécurité;
 protégeant les biens et la marque en pouvant, grâce à des contrôles approfondis,
prouver que les appareils étaient cryptés au moment de la perte ou du vol;
 Appliquez les politiques et contrôlez-en l’application: une fois que les politiques sont
adoptées, veillez à ce qu’elles soient appliquées. Les contrôles peuvent aller de l’inspection
physique des postes de travail des employés (p. ex. surveiller l’utilisation des clés USB dans

(46) Toolkit sample template: a sample employee agreement for the use of personal digital devices [Modèle
d’outil: un exemple d’accord régissant l’utilisation d'appareils numériques personnels par les employés], Jay
Heiser, Gartner, 1 février 2008. SANS propose un exemple de politique régissant l’utilisation d’appareils
informatiques et de sauvegarde mobiles, dont les clés USB. Vous pouvez la consulter à l’adresse
http://www.sans.org/resources/policies/Remote_Access.doc (dernière visite le 30 mai 2008).
(47) Getting started with McAfee host data loss prevention [Découvrir la prévention de la perte de données hôtes],
McAfee, 2008.
(«Data-leak security proves to be too hard to use» [«Les mesures de sécurité des données trop compliquées à
appliquer»], Infoworld.com, disponible sur http://www.infoworld.com/article/08/03/06/10NF-data-loss-
prevention-problem_1.html (dernière visite le 2 juin 2008).
(49) «Closed doors policy» [«Politique de la porte fermée], Daniel Tynan, FedTech Magazine, août 2007,
disponible sur http://fedtechmagazine.com/article.asp?item_id=352 (dernière visite le 30 mai 2008); «Thumb
drives are too often the victims of convenience» [«Les clés USB, trop souvent victimes de leur simplicité
d'utilisation»], John Zyskowski, GCN, 14 décembre 2006, disponible sur
http://www.gcn.com/online/vol1_no1/44136-1.html (dernière visite le 30 mai 2008); Protection des clés USB,
Ron LaPedis, SanDisk, Forum sur le cryptage de disque, 13 février 2007.
22 Clés USB: priorité à la sécurité

l’entreprise en restreignant finalement l’utilisation des clés USB à des appareils autorisés par
l’entreprise) à des contrôles virtuels utilisant des applications réseaux suivant les données au
50
fur et à mesure qu’elles se déplacent dans une organisation ( ). Il est inutile de simplement
élaborer des politiques d’entreprise sans prévoir de moyens de faire respecter les règles ou
51
de détecter les violations ( );
 gestion des biens: évaluez/identifiez tout le matériel et les appareils portables utilisés en vue
d’accéder au réseau. Utilisez un logiciel en vue d’identifier chaque appareil ayant été
connecté au réseau. Vous aurez besoin de ces informations pour définir votre politique
relative au type d’appareils pouvant être utilisés dans l’organisation (notamment les clés
USB), les employés autorisés à les employer et le type de protection nécessaire.
 Évaluez le degré de préparation de l’entreprise par rapport à la perte de données en cas de
perte ou de vol de clés USB.

Évaluation

 Connaissez le système de définition de la sensibilité

du contenu?
 Savez-vous quelles sont les informations sensibles de l’entreprise et
les informations à protéger?
 Savez-vous quels utilisateurs/quelles unités de l’entreprise ont accès
à ces informations, comment et à quelle fréquence?
 Savez-vous qui est autorisé à utiliser une clé USB pour copier et
transporter des informations? En outre, savez-vous quels employés
ont reçu une clé USB d’entreprise?
 Disposez-vous de politiques ou d'orientations écrites en matière de
sécurité régissant l’utilisation des clés USB?
 Proposez-vous des formations aux utilisateurs et, si oui, à quelle
fréquence?
 Sauvegardez-vous les informations qui se trouvent sur des clés USB?
 Bénéficiez-vous du soutien des principaux intervenants?

 Restreignez l’accès: limitez l’accès à certains types et à certaines quantités de données

sensibles à certains employés. Dans une organisation plus complexe, établissez des règles
en matière d’utilisation des données spécifiant les personnes pouvant être autorisées à
accéder à des fichiers de données sensibles, les types de fichiers pouvant être transportés et
la manière de traiter ces fichiers. Envisagez l’utilisation de logiciels capables d’automatiser ce
processus en scannant des fichiers sur des unités de réseau et des machines clients à la
52
recherche de mots clés ( ).
 Fixez les clés USB à un porte-clés ou à un cordon afin d'éviter de les perdre: la petite taille
des clés USB en facilite la perte ou le vol et leur mémoire toujours plus puissante accroît la
quantité de données potentiellement exposées à un accès non autorisé.

(50) «Closed doors policy» [«Politique de la porte fermée], Daniel Tynan, FedTech Magazine, août 2007,
disponible sur http://fedtechmagazine.com/article.asp?item_id=352 (dernière visite le 30 mai 2008).
(51) Plugging the leaks: best practices in endpoint security [«Combler les lacunes: bonnes pratiques en matière
de sécurité d’extrémité»], SanDisk, 2008
(52) Plugging the leaks: best practices in endpoint security [«Combler les lacunes: bonnes pratiques en matière
de sécurité d’extrémité»], SanDisk, 2008
Clés USB: priorité à la sécurité 23

 Invitez les utilisateurs à configurer leur clé USB en mode de lecture seule afin d’éviter la
transmission de virus: certaines clés USB comprennent un interrupteur physique permettant
de configurer la clé en mode de lecture seule afin d’éviter que l'ordinateur hôte n’écrive ou
ne modifie les données présentes sur la clé.
 Scannez la clé USB après avoir copié des fichiers à partir d'un ordinateur non sécurisé afin
d’éviter la transmission de virus.
 Authentification des utilisateurs: évitez tout accès non autorisé aux données grâce à un
mécanisme demandant aux utilisateurs de s’identifier à l’aide d’un mot de passe et/ou de
son empreinte digitale. Définissez un nombre maximum d’identifications par mot de passe ou
par biométrie afin de contrer toute attaque.
 Adoptez le cryptage logiciel ou matériel modifiant les données de manière à les rendre
inaccessibles sans la clé permettant de décrypter les données (53). Ce système rend les
données inutilisables sans la clé adéquate et en assure la sécurité où qu’elles soient
transportées. Une solution consiste à exiger que les données sensibles soient conservées
exclusivement sur des appareils cryptés tels que des clés USB d’entreprise en rendant
obligatoire la protection de tous les fichiers par mot de passe. Une autre solution,
généralement jugée comme l’une des plus efficaces, consiste à utiliser des appareils cryptés
au niveau du matériel qui effectuent un cryptage au sein même de la clé USB. Le cryptage
matériel présente l’avantage majeur de ne jamais quitter la clé USB, de ne pas être
vulnérable aux attaques extérieures et de n’entraîner pratiquement aucune perte de
performance (54). Enfin, le cryptage est une technologie puissante au service de la sécurité,
mais également un outil facile à mettre en œuvre. Il est conseillé de l’utiliser lorsque les
données sont amenées à voyager et lorsque les droits de contrôle d’accès ne sont pas
suffisamment spécifiques (55). Évaluez l’efficacité des outils de cryptage spécialisés de
données de tiers offrant une protection appropriée à tous les systèmes à haut risque, parce
qu’ils contiennent des données sensibles ou parce qu'ils sont susceptibles d'être volés et
utilisés à des fins d’espionnage industriel (56).
 Empêchez tout code malveillant de s’introduire dans vos infrastructures: utilisez une
protection antivirus afin de:
 bloquer les virus: bloquer, nettoyer et éliminer les virus et les chevaux de Troie des clés
USB;
 protégez les ordinateurs: évitez que votre clé USB ne devienne un vecteur de virus
susceptibles d’être transmis à un ordinateur au moment de la connexion avec la clé.
 Sauvegardez vos informations: soyez capable de récupérer les informations qui se trouvent
sur des clés USB.
 Formez votre personnel: formez vos employés aux politiques régissant l’utilisation des
technologies afin qu'ils soient conscients des risques liés au stockage et au transport de
données d’entreprise sur des clés USB; expliquez aux employés comment éviter toute fuite
de données et rappelez-leur de signaler tout fait de ce type. Informez-les de toute

(53) Use the three laws of encryption to properly protect data [utiliser les trois lois du cryptage pour protéger
efficacement les données], Rich Mogull, Gartner, 24 août 2005; «Thumb drives are too often the victims of
convenience» [«Les clés USB, trop souvent victimes de leur simplicité d'utilisation»], John Zyskowski, GCN, 14
décembre 2006, disponible sur http://www.gcn.com/online/vol1_no1/44136-1.html (dernière visite le 30 mai
2008) et Assessing the security of hardware-based vs. software-based encryption on USB flash drive [Mérites
comparés de la sécurité offerte par le cryptage logiciel et matériel sur clé USB], SanDisk, mai 2008.
(54) Assessing the security of hardware-based vs. software-based encryption on USB flash drive [Mérites
comparés de la sécurité offerte par le cryptage logiciel et matériel sur clé USB], SanDisk, mai 2008.
(55) Use the three laws of encryption to properly protect data [Utiliser les trois lois du cryptage pour protéger
efficacement les données], Rich Mogull, Gartner, 24 août 2005 et Prepare for DRAM threat to encrypted data
storage [Soyez prêt à contrer la menace DRAM pesant sur votre mémoire cryptée], John Girard, Ray Wagner,
Eric Ouellet, Gartner, 25 février 2008.
(56) Le cyberespionnage est désormais classé en troisième position sur la liste des 10 principales cybermenaces
de l’Institut SANS pour 2008. Pour en savoir plus, consulter la liste des 10 principales cybermenaces pour 2008,
SANS Institute, disponible sur http://www.sans.org/2008menaces/ (dernière visite le 2 juin 2008).
24 Clés USB: priorité à la sécurité

modification apportée aux politiques et veillez à ce qu’ils respectent les lignes de conduite
dans leur travail quotidien. La formation, la sensibilisation et l’acceptation des règles par les
utilisateurs sont des facteurs essentiels du succès de toute politique de sécurité ou solution
technique mise en œuvre.
 Réalisez une enquête afin de vérifier si les utilisateurs connaissent bien les politiques de
l’entreprise en matière d’utilisation de clés USB.
 Faites descendre l'information: commencez par former les cadres et le personnel voyageant
avec des données sensibles avant de former le reste du personnel. Un personnel bien formé
constitue la meilleure défense contre les fuites de données.
 Rassemblez les remarques des utilisateurs en vue d’affiner les solutions et les politiques
appliquées pour parvenir à une adéquation maximum entre les mesures de protection et les
réalités de l’entreprise et bien comprendre les schémas qui favorisent le risque de perte de
données.

Le tableau suivant propose une synthèse des recommandations et des solutions logicielles et
matérielles décrites ci-dessus:
Clés USB: priorité à la sécurité 25
26 Clés USB: priorité à la sécurité

Liste de points à vérifier

Vous pouvez consulter cette liste pour vous rappeler les principales mesures à adopter lors de toute
activité visant à sécuriser l’utilisation des clés USB dans votre organisation. Une fois qu’une
entreprise a reconnu l’importance de protéger les données d’entreprises et commence à classifier les
données, elle doit veiller à prendre les principales mesures suivantes:
 Secure USB Flash Drives June

PARTIE 3:
Conseils
PARTIE de
3: Conseils de sécurité et avantages
sécurité et avantages pour l’entreprise

pour l’entreprise
28 Clés USB: priorité à la sécurité

Quelques conseils pratiques pour éviter le vol de clés USB

Conseils pratiques

 Veiller à ce que les employés signalent tout vol ou perte de clés USB
au service informatique
Procéder à une évaluation du préjudice pour chaque clé USB
manquante
 Établir comment et quand la clé a disparu
Analyser vos politiques/orientations afin de veiller à ce qu'elles prévoient
des dispositions par rapport aux principales causes de pertes
Mettre l’accent sur les risques potentiels liés à l’utilisation de clés USB
par des employés à des fins honnêtes et malhonnêtes comme
faire sortir clandestinement des informations de l’entreprise
Adopter des mesures spécifiques pour les unités/les services de l’entreprise
amenés à manipuler des données sensibles
 Surveiller et signaler régulièrement tout incident
 Former les employés et leur envoyer des rappels
 Comparer vos performances à celles d’autres entreprises similaires
Rassembler les remarques du personnel en vue d'affiner les solutions
et les politiques adoptées afin de les adapter au mieux à l’entreprise
et de mieux comprendre les schémas accroissant le risque de perte de données

Avantages
Une vue d'ensemble des nombreux avantages qu’offre l’utilisation sécurisée des clés USB permettra
aux entreprises de prendre les meilleures décisions en la matière. Nous avons identifié les avantages
suivants.
 Amélioration de la productivité des employés grâce à la mobilité et à la possibilité de se
connecter à distance
 Des solutions flexibles et sûres permettant de:
 protéger les biens de l’entreprise;
 réduire le coût total de propriété;
 prouver que les appareils étaient cryptés lors de la perte ou du vol
 Protection de l’entreprise de toute fuite de données
 Application de politiques de sécurité obligatoires à tous les niveaux de l’entreprise.
 Assainissement de tous les ordinateurs, où qu’ils se trouvent. Autoriser la connexion
d’appareils agréés aux ordinateurs
 Extension de la politique de sécurité au-delà du périmètre:
 suivre toutes les activités liées aux clés USB
 Conformité avec les trois piliers ou catégories de la sécurité de l’information – confidentialité,
disponibilité et intégrité – et avec les normes de sécurité
Clés USB: priorité à la sécurité 29

Conclusions
Les organisations d’aujourd’hui conservent des données sensibles et y accèdent au moyen de
différents appareils mobiles, notamment des clés USB. Leur capacité de mémoire, leur taille, leur
faible coût et leur fonctionnalité prête à l’emploi sont quelques-unes des raisons de leur popularité
croissante. Les clés USB contiennent souvent des données d’entreprise, telles que des informations
financières, des formulaires, des documents concernant le personnel ou encore des données
relatives à la clientèle. Ces appareils mobiles, dans une large mesure, ne sont ni protégés ni
contrôlés par les départements informatiques, ce qui expose les entreprises à des conséquences
potentiellement désastreuses telles que la perte d'une réputation, d'emplois ou de bénéfices.

La perte d’informations d’entreprise résulte du manque de connaissance des employés par rapport
aux risques liés à l’utilisation de clés USB ou de leur tendance à contourner les politiques appliquées
afin d’accroître leur propre productivité. La plupart des actions ne sont donc ni intentionnelles ni
malveillantes mais bien accidentelles et involontaires.

Bien que les risques et les coûts entraînés par une utilisation non sécurisée des clés USB soient de
mieux en mieux connus, il reste encore beaucoup d’efforts à consentir. Il est dès lors essentiel que
les gestionnaires des équipements informatiques se préparent et préparent leurs entreprises à
réglementer, gérer et contrôler l’utilisation de clés USB dans la mesure où toute organisation,
indépendamment de sa taille ou de sa maturité, devra impérativement être capable de sécuriser les
informations placées sur son réseau et gérer les données qui entrent et sortent de l’entreprise.

Étant donné le nombre accru d’appareils portables utilisés dans les entreprises et dans la mesure où
les employés voyagent et ramènent du travail à la maison, l’utilisation sûre des clés USB et la
connaissance des risques qui y sont liés doivent faire partie intégrante de la stratégie générale d’une
entreprise en matière de sécurité.

L’ENISA espère que ce document constituera un outil précieux pour les entreprises soucieuses
d’éliminer toute entrave à la sécurité en leur sein.
30 Clés USB: priorité à la sécurité

Références et lectures conseillées

Un guide utilisateur: comment améliorer la sensibilisation à la sécurité de l’information, ENISA, juin
2006.

«Afghan market sells US military flash drives» [«Un marché afghan met en vente des clés USB
appartenant l’armée américaine»], Paul Watson, Los Angeles Times, 18 avril 2006, disponible sur
http://www.veteransforcommonsense.org/ArticleID/7120 (dernière visite le 28 mai 2008).

«Analysis of USB flash drives in a virtual environment» [«Analyse des clés USB dans un
environnement virtuel»] Derek Bem et Ewa Huebner, Small Scale Digital Device Forensics Journal,
Vol. 1, n° 1, juin 2007.

«Another laptop stolen from Pfizer, employee information compromised» [«Encore un ordinateur
portable contenant des informations sur les employés volé chez Pfizer»], Lee Howard, 12 mai 2008,
disponible sur http://attrition.org/dataloss/2008/05/pfizer01.html (dernière visite le 30 mai 2008).

«Closed doors policy» [«Politique de la porte fermée], Daniel Tynan, FedTech Magazine, août 2007,
disponible sur http://fedtechmagazine.com/article.asp?item_id=352 (dernière visite le 30 mai 2008).

«Data breaches are ―everyday incidents‖» [«Les violations de données sont quotidiennes»], Matt
Chapman, vnunet.com, 15 novembre 2007, disponible sur
http://www.vnunet.com/vnunet/news/2203540/security-breaches-everyday (dernière visite le 30
mai 2008).

«Data-leak security proves to be too hard to use» [«Les mesures de sécurité des données trop
compliquées à appliquer»], Infoworld.com, disponible sur
http://www.infoworld.com/article/08/03/06/10NF-data-loss-prevention-problem_1.html (dernière
visite le 2 juin 2008).

Informations Dataquest: Tendances mondiales du marché de la clé USB, 2001-2010, Joseph

Unsworth, Gartner, 20 novembre 2006.

DataTraveler à usage professionnel, Kingston, 2008, disponible sur

http://www.kingston.com/flash/DataTravelers_enterprise.asp (dernière visite du site le 30 mai
2008).

DataTraveler Secure et DataTraveler Secure — Privacy Edition White Paper, Kingston Technology,
Rév. 2.0, juin 2007.

Determine the appropriate level of ITAM controls for mobile assets [Définir le niveau adéquat des
contrôles ITAM pour les biens mobiles], Jack Heine, Gartner, 15 novembre 2005.

«Disc listing foreign criminals lost for year» [«Un disque reprenant les coordonnées de criminels
étrangers égaré depuis un an»] The Times, 20 février 2008.

«Educational security incidents (ESI) — Sometimes the free flow of information is unintentional»
[«Problèmes de sécurité dans le secteur de l’enseignement – Quand la disponibilité des informations
est involontaire»], disponible sur http://www.adamdodge.com/esi/month/2008/01

Prévisions mondiales en matière de clés USB, 2001-2011, Joseph Unsworth, Gartner, 24 septembre
2007.
Clés USB: priorité à la sécurité 31

Getting started with McAfee host data loss prevention [Découvrir la prévention de la perte de
données hôtes], McAfee, 2008.

Carré magique de la protection des données mobiles, 2007, John Girard, Ray Wagner, Gartner.

McAfee encrypted USB — Fiche technique, McAfee.

McAfee VirusScan USB — protection reconnue de votre clé USB contre les virus, McAfee, 2006,
disponible sur http://download.mcafee.com/products/manuals/fr/vsusb_datasheet_2007.pdf
(dernière visite le 30 mai 2008).

New attacks: device vulnerabilities stand out [De nouvelles attaques révèlent la vulnérabilité des
logiciels], Avivah Litan, Don Dixon, Greg Young, Gartner, 21 juin 2005.

«New report chronicles the cost of data leaks» [«Un nouveau rapport indique le coût des fuites de
données»], Physorg.com, 2007, disponible sur http://www.physorg.com/news96708147.html
(dernière visite le 2 juin 2008).

Plugging the leaks: best practices in endpoint security [«Combler les lacunes: bonnes pratiques en
matière de sécurité d’extrémité»], SanDisk, 2008

Prepare for DRAM threat to encrypted data storage [Soyez prêt à contrer la menace DRAM pesant
sur votre mémoire cryptée], John Girard, Ray Wagner, Eric Ouellet, Gartner, 25 février 2008.

«Prince of Wales Hospital announced an incident of loss of USB flash drive containing hospital files»
[L’hôpital Prince de Galles annonce la perte d’une clé USB contenant des dossiers médicaux],
communiqué de presse, 6 mai 2008, disponible sur
http://www.info.gov.hk/gia/general/200805/06/P200805060232.htm (dernière visite le 30 mai
2008).

«Privacy and identity theft» [«Vol d’informations privées et d’identité»], Dave Jevans, IronKey,
disponible sur http://blog.ironkey.com/?cat=9&paged=2 (dernière visite le 20 mai 2008).

Plugging the leaks: best practices in endpoint security [«Combler les lacunes: bonnes pratiques en
matière de sécurité d’extrémité»], SanDisk, 2008

Enquête SanDisk sur la sécurité d’extrémité, SanDisk, avril 2008.

Seven steps to secure USB drives [7 étapes pour sécuriser votre clé USB], SanDisk, juillet 2007.

«Small drives cause big problems», [«De petites clés à l’origine de gros problèmes»], John Swarts,
USA Today, 16 août 2006, disponible sur
http://www.usatoday.com/tech/news/computersecurity/2006-08-15-thumbdrives-stolen_x.htm
(dernière visite le 27 mai 2008).

«Spring students' info at risk after laptop theft» [«La confidentialité de renseignements sur des
étudiants de Spring compromise après le vol d'un ordinateur portable»], rapport de notation de
KHOU.com, 16 mai, 2008, disponible sur http://attrition.org/dataloss/2008/05/spring01.html
(dernière visite le 30 mai 2008).

Survey of US IT practitioners reveals data security policies not enforced [une enquête auprès de
spécialistes informatiques révèle que les politiques en matière de sécurité des données ne sont pas
appliquées], Ponemon Institute et RedCannon Security, décembre 2007, disponible sur
http://www.ponemon.org/press/RC_PonemonSurvey_FINAL.pdf (dernière visite le 2 juin 2008).
32 Clés USB: priorité à la sécurité

«TAMU Corpus Christi prof loses flash drive with 8 000 student records» [«Un prof de la TAMU de
Corpus Christi perd sa clé USB contenant les dossiers de 8 000 étudiants»], Paul McCloskey, Campus
Technology, 18 août 2007, disponible sur http://campustechnology.com/articles/48635 (dernière
visite le 30 mai 2008).

«The portable risk of high capacity USB drives» [«Le risque portable des clés USB à large capacité»],
Allan Leinwand, GigaOM, 5 décembre 2007, disponible sur http://gigaom.com/2007/12/05/the-
portable-risk-of-high-capacity-usb-drives/ (dernière visite le 30 mai 2008).

«Thumb drives are too often the victims of convenience» [«Les clés USB, trop souvent victimes de
leur simplicité d'utilisation»], John Zyskowski, GCN, 14 décembre 2006, disponible sur
http://www.gcn.com/online/vol1_no1/44136-1.html (dernière visite le 30 mai 2008).

«Timetable of missing data blunders» [«Calendrier des problèmes de pertes de données»], The
Times, 20 février 2008.

Toolkit sample template: a sample employee agreement for the use of personal digital devices
[Modèle d’outil: un exemple d’accord régissant l’utilisation d'appareils numériques personnels par les
employés], Jay Heiser, Gartner, 1 février 2008.

Top 10 Cyber menaces for 2008 [les 10 principales cyber-menaces pour 2008], SANS Institute,
disponible sur http://www.sans.org/2008menaces/ (dernière visite le 2 juin 2008).

Understanding data leakage [Comprendre la fuite de données], Jay Heiser, Gartner, 21 août 2007

«US military secrets for sale at Afghanistan bazaar» [«Des secrets militaires américains en vente sur
un marché afghan»], Watson, Los Angeles Times, 10 avril 2006.

Tendances mondiales du marché de la clé USB, 2001-2010, Joseph Unsworth, Gartner, novembre
2006.

Protection des clés USB, Ron LaPedis, SanDisk, Forum sur le cryptage de disque, 13 février 2007.

Use the three laws of encryption to properly protect data [utiliser les trois lois du cryptage pour
protéger efficacement les données], Rich Mogull, Gartner, 24 août 2005

http://www.enisa.europa.eu/rmra/rm_ra_methods.html

http://www.enisa.europa.eu/rmra/rm_ra_tools.html

Assessing the security of hardware-based vs. software-based encryption on USB flash drive [Mérites
comparés de la sécurité offerte par le cryptage logiciel et matériel sur clé USB], SanDisk, mai 2008.
Clés USB: priorité à la sécurité 33

Clés USB: priorité à la sécurité

ISBN: 978-92-9204-012-3

Catalogue number: TP-30-08-571-FR-C

34 Clés USB: priorité à la sécurité

TP-30-08-571-FR-C

ISBN 978-92-9204-012-3