Secu
IBM veut interdire les clés USB, et après ?
Par Jacques Cheminat, publié le 14 mai 2018
Souvent montrée du doigt comme moyen pour pirater une entreprise, la clé USB refait parler d’elle. IBM évalue son interdiction totale pour ses salariés. En privilégiant le cloud ?
Le test est souvent cité par les spécialistes de la sécurité : placez des clés USB par terre dans un parking d’entreprise et attendez de voir ce qui se passe. Très souvent, elles sont ramassées et la curiosité l’emportant, un salarié l’installe sur son ordinateur pour regarder son contenu et tenter de découvrir le nom du propriétaire. Un bonheur pour les pirates. On peut évoquer aussi les collaborateurs qui téléchargent sur un disque dur externe des documents sensibles pour travailler dessus chez eux. Les entreprises mènent régulièrement des formations de sensibilisation sur l’usage des supports externes de stockage et les risques d’infection et d’intrusion au sein du système d’information. Mais l’humain reste l’humain.
Certaines sociétés ont décidé d’aller plus loin en réfléchissant à l’interdiction totale de l’usage des supports de stockage externe comme les clés USB ou les cartes SD. C’est le cas d’IBM, comme l’indique The Register qui a déniché un message de Shamla Naidoo, global chief information security officer de Big Blue. Elle justifie sa décision par le risque de « dommages financiers et de réputation » encourus en cas de fuite et/ou perte de données issues de ces supports de stockage.
Accompagner le changement et contrôler l’accès au cloud
Sur le principe, cette décision est pertinente au regard des exigences de sécurité, mais un accompagnement au changement doit être mené en parallèle. Pour la plupart des salariés, l’utilisation de solution de collaboration et de messagerie interne peut parfaitement remplacer les clés USB ou les cartes SD. Par contre, d’autres collaborateurs ont encore besoin de ces supports. On pense notamment aux services IT qui mettent à jour des équipements informatiques à travers des clés USB. Les services supports pour les clients d’IBM sont dans le même cas pour installer les correctifs sur du matériel IBM. Shamla Naidoo est consciente des limites de l’exercice et envisage des exceptions à son oukase sur les supports de stockage externe.
Pour éviter d’utiliser des clés USB, le recours au cloud est souvent mis en avant. En cas de transfert de gros fichier, il existe des solutions gratuites disponibles sur Internet. Une mauvaise idée pour les spécialistes de la sécurité comme le CESIN qui voit se développer du shadow IT à travers ces services. Les outils de collaboration se sont fortement développés au sein des entreprises pour éviter d’avoir recours au stockage externe. Enfin pour les irréductibles, l’USB évolue vers plus de sécurité. Apple travaille par exemple sur un USB restricted, quand le téléphone n’est pas déverrouillé pendant une semaine, iOS désactivera le port USB. La sensibilisation reste toujours de mise, y compris auprès des plus jeunes. Les professeurs demandent chaque année aux enfants d’amener une clé USB pour mettre leur exercice informatique dessus. Aux Etats-Unis, des établissements scolaires interdisent aussi l’usage des ports USB aux élèves. Pour des questions de sécurité ? Non, les étudiants bloquent les ports en rechargeant leur cigarette électronique….