Les périphériques USB constituent un moyen pratique de transférer des données entre deux ordinateurs.
Nous les utilisons depuis des années et presque tout le monde en possède un. Toutefois, nous devons nous demander s’ils offrent une sécurité suffisante lors du transfert de données à caractère personnel.
Nous décrirons les risques potentiels des clés USB dans ce blog.
1. Transfert de données à caractère personnel via une clé USB
Les données peuvent être facilement et efficacement mises sur une clé USB et sont donc utilisées par presque tout le monde depuis de nombreuses années, mais dans le contexte du PIB, nous devons nous demander si nous pouvons continuer à les utiliser.
Cependant, la petite taille physique et la grande capacité de données signifient que de grandes quantités de données personnelles peuvent être perdues ou volées relativement facilement.
Sécurité USB : risques de perte et impact sur les données sensibles de l’entreprise
Les USB nous permettent d’accéder à des informations essentielles, de faire des copies ou de traiter des fichiers à tout moment et en tout lieu. L’efficacité et la productivité s’en trouvent accrues, mais la flexibilité et la mobilité illimitées ont un prix.
Qu’est-ce que cela signifie ?
Cela signifie qu’il est important de veiller à ce que seuls VOUS et éventuellement vos clients aient accès aux données à caractère personnel.
Cependant, cela semble plus facile que cela ne l’est en réalité.
Selon une étude réalisée par
Kingston Technology
75 % des personnes interrogées sont prêtes à perdre des clés USB, dont beaucoup contiennent des données professionnelles confidentielles.
En outre, l’étude a également révélé que 80 % des entrepôts de données utilisés ne disposent pas d’un système de cryptage matériel. La perte d’une clé USB peut donc avoir d’immenses conséquences. Ainsi, la perte de données personnelles met en péril les relations avec les clients et peut nuire à la réputation de l’entreprise. Les conséquences pourraient être encore plus graves en fonction de la personne entre les mains de laquelle ces informations tombent.
Impact sur les entreprises du monde entier
Pour éviter de tels scénarios, le GDPR oblige les entreprises à prendre des mesures pour protéger les informations sensibles. Il est important de noter que les règles s’appliquent non seulement aux entreprises basées dans l’UE, mais aussi à celles qui entretiennent des relations commerciales avec des entreprises de l’UE traitant des données.
2. Pourquoi les clés USB sont-elles vulnérables ?
Pour éviter la perte de données, il est important d’analyser et d’identifier les fichiers qui contiennent des informations sensibles. Les clés USB utilisées par les employés au sein de l’entreprise et à la maison constituent souvent un risque sous-estimé.
Les entreprises devraient pouvoir montrer à tout moment quelles données sont stockées sur les différentes clés et si elles sont cryptées ou non.
Coûts, conséquences et mécanismes de protection avancée
Le GDPR stipule également que l’analyse de risque requise inclut les coûts potentiels calculés proportionnellement au risque. Cette évaluation comprend la probabilité de perte de données et les conséquences des dommages potentiels qui en découlent. Les mécanismes de protection mis en place doivent également être conformes aux derniers systèmes avancés disponibles.
Recommandations et contrôle des sites de stockage
Les recommandations d’autorités telles que l’Office fédéral de la sécurité de l’information (BSI) ou l’Agence de l’Union européenne pour la sécurité des réseaux et de l’information (ENISA) peuvent être utilisées lorsqu’il s’agit de déterminer la signification de l’expression “état de la technique”.
La première étape devrait consister à avoir une vue d’ensemble de tous les emplacements de stockage des données personnelles, afin de garder le contrôle et d’avoir une idée de l’endroit où l’action la plus urgente est nécessaire ou de l’endroit où une violation des données pourrait avoir les conséquences les plus graves.
3. Conséquences de la perte d'une clé USB
La perte d’une clé USB contenant des données à caractère personnel constitue une violation de données au sens du GDPR.
Depuis le 1er janvier 2016, l’obligation de notification des violations de données est en vigueur, ce qui signifie que les entreprises doivent immédiatement notifier l’autorité de protection des données compétente dès qu’il y a un risque de violation de données.
S’ils ne le font pas, ils violent le GDPR et l’autorité de protection des données peut imposer des amendes pouvant atteindre des millions.
Brèche dans les données de Porsche : perte d’une clé USB contenant les données de facturation des clients
La perte d’une clé USB est rapide et les conséquences sont souvent irréversibles. Par exemple, en 2020 une clé USB gestolet à ONEl’une des agences Porsche de l’entreprise.
Il s’agissait de données de facturation de clients ayant acheté une voiture avaient achetés. Sur la clé USB se trouvaient les données personnelles suivantes : noms, adresses, adresses électroniques et “données de facturation”.
4. Comment utiliser une clé USB en toute sécurité ?
Il est possible de crypter les données personnelles en plaçant les fichiers dans un conteneur crypté sur une clé USB, mais le destinataire doit avoir accès au même algorithme ou logiciel de cryptage.
Il existe également des dispositifs USB à cryptage matériel qui intègrent les capacités de cryptage nécessaires, ce qui signifie que les données peuvent être décryptées sans que l’utilisateur n’ait à installer de logiciel supplémentaire.
En raison d’un certain nombre de risques de sécurité liés à l’utilisation de périphériques USB, un certain nombre d’organisations ont mis en œuvre des politiques qui interdisent ou limitent techniquement la fonctionnalité des périphériques USB.
Clés USB : applications légitimes et mesures de sécurité pour les entreprises
Les clés USB ont de nombreuses utilisations légitimes et de nombreuses entreprises continuent de les préférer pour déplacer des fichiers volumineux, effectuer des sauvegardes, se protéger contre les attaques de ransomware et faciliter la reprise après une interruption, tout en offrant un moyen mobile d’accéder aux données.
Il est également possible d’envisager une méthode de transfert de la clé ou du mot de passe au destinataire par un canal de communication distinct.
Certaines entreprises mettent également en place des outils de visibilité qui leur permettent de gérer l’utilisation des clés USB, avec la possibilité de bloquer le mouvement des données vers les clés.
Gérer l’accès et le bloquer si nécessaire
En ajoutant la possibilité de suivre l’utilisation de ces appareils, vous pouvez contrôler qui peut ou ne peut pas y accéder. Plus important encore, il vous permet de bloquer l’accès si nécessaire. Cette méthode peut s’avérer utile pour les grandes entreprises ayant plusieurs utilisateurs.
Il existe plusieurs outils de suivi, tels que My USB Tracker et IHound. Si c’est la voie que vous souhaitez emprunter pour votre client, ces documents valent la peine d’être consultés.
Conclusion
De tout ce qui précède, nous pouvons conclure qu’une entreprise ne sera pas conforme au GDPR si elle ne s’occupe pas de la perte de données USB. Il conviendrait d’envisager des solutions alternatives ou une meilleure sécurité pour les dispositifs USB.
Si vous avez d’autres questions concernant vos processus de gestion et de sécurité des données et votre conformité au GDPR, contactez un DPO accrédité.