Le temps presse : le 25 mai 2018 au plus tard, le nouveau règlement général de l’UE sur la protection des données (RGPD) entrera en vigueur et son non-respect pourra entraîner des sanctions sévères. Par conséquent, il est important pour les entreprises de toutes tailles d’adapter leurs mesures de sécurité ou de mettre en place de nouveaux systèmes de protection. Parmi les sources potentielles de fuite de données, on a souvent tendance à oublier les clés USB. Celles-ci représentent pourtant d’énormes risques si elles ne répondent pas aux normes de sécurité.
Clés USB avec données sensibles, un risque pour les entreprises
Les moyens de stockage et de transport de données universels nous permettent d’avoir accès à des informations essentielles, de faire des copies ou de manipuler des fichiers à tout moment et en tout lieu. Bien que nous permettant d’être plus efficaces et plus productifs, la flexibilité et la mobilité illimitées ont un prix.
Selon une étude de Kingston Technology, près des trois quarts des personnes interrogées affirment perdre des clés USB de temps à autre, et les données confidentielles de l’entreprise avec. Mais ce n’est pas tout : selon cette même étude, 80% des systèmes de stockage de données n’utilisent pas de cryptage matériel. La perte de ces petits supports de données peut donc avoir des conséquences dramatiques. La perte de données personnelles peut par exemple mettre en danger la relation client et la réputation de l’entreprise, et si ces informations viennent à tomber entre de mauvaises mains, d’autres conséquences sont à craindre.
De manière à éviter ce genre de scénario, un ensemble de règles ont été inscrites dans la réglementation, obligeant les entreprises à protéger ces informations sensibles. Ces règles s’appliquent non seulement aux entreprises de l’Union européenne mais également aux entreprises qui entretiennent des relations d’affaires avec celles-ci et traitent ainsi leurs données.
La clé USB et ses vulnérabilités
Un risque souvent sous-estimé est celui représenté par les clés USB que l’on trouve un peu partout en entreprise, et qui se retrouvent parfois au domicile des employés. À partir du 25 mai 2018, il faudra être en mesure de présenter sur demande, à n’importe quel moment, la liste des données stockées sur les clés individuelles et de pouvoir prouver si elles étaient cryptées ou non.
Le RGPD stipule également que, dans le contexte d’une analyse de risque obligatoire, des mesures avec un coût proportionnel à l’évaluation des risques doivent être prises. Cette évaluation comprend la probabilité de survenance et les conséquences matérielles et immatérielles d’un éventuel dommage. Les systèmes de protection doivent également utiliser des techniques de pointe.
Il est possible de se référer aux recommandations d’autorités telles que l’Agence européenne chargée de la sécurité des réseaux et de l’information (AESRI) pour ce qui est de l’interprétation du terme « techniques de pointe ».
La première étape est d’avoir une vue d’ensemble complète de tous les emplacements de stockage de données personnelles afin de garder de contrôle, et de pouvoir déterminer où il est le plus urgent d’agir ou quelles sont les endroits où une fuite de données occasionnerait les conséquences les plus lourdes.
Comment rester prudent
Comme actions concrètes pour se prémunir des risques de sécurité imminents et agir conformément à la nouvelle réglementation, le RGPD recommande la pseudonymisation et le cryptage des données personnelles. Lors du processus de pseudonymisation, les noms sont remplacés par des codes numériques aléatoires et la clé est stockée dans une table primaire.
À elle seule, cette mesure ne constitue pas cependant une protection fiable. La table doit, par exemple, être disponible à tout moment et ne doit pas être écrasée. De plus, d’autres éléments peuvent fournir des indications sur l’identité des personnes concernées. Un encodage supplémentaire des données est donc essentiel.
Selon Kingston Technology, spécialiste de produits de stockage, les certifications volontaires comme les standards FIPS 197 ou FIPS 140-3 sont un bon critère de qualité en matière d’encodage. Dès lors que les données personnelles sont encodées de manière sécurisée (le standard AES 256-bit correspondant au nec plus ultra en matière d’encodage), l’information n’est pas exploitable, même en cas de vol ou de violation de données. Dans ce cas, l’obligation d’informer les personnes concernées ne s’applique plus, puisqu’il n’y a pas de danger.
Les clés USB cryptées de Kingston minimisent les risques
Les gammes DataTraveler DTVP3.0, DT4000G2, et IronKey D300 de Kingston Technology proposent des clés USB qui répondent aux normes de sécurité les plus élevées et vous permettent de sauvegarder vos données en conformité avec le RGPD. Les informations stockées sont 100% cryptées et protégées grâce à un système de protection par mot de passe complexe avec exigences minimales pour les accès non-autorisés. Après dix tentatives de connexion non-valides, il n’est plus possible d’accéder aux données.
Les clés USB de Kingston sont encodées en mode XTS, conformément au standard de sécurité AES 256 actuel. Les certifications FIPS 197 ou 140-3 garantissent la sécurité complète de vos données en cas de vol ou de perte. Les modèles DataTraveler 4000G2 et IronKey D300 offrent également une protection physique contre les altérations.
Certaines clés USB de l’offre Kingston, comme celles des gammes DTVP3.0, DTVP3.0AV, DT4000G2 avec management et D300, proposent également un programme de personnalisation vous permettant d’intégrer les numéros de série et les références produit à une solution de gestion des points d’extrémité ou de définir vous-même le nombre de tentatives d’accès.
Kingston Technology s’est associé à DataLocker, fournisseur de solutions de gestion centralisée, afin de fournir des solutions de gestion adaptées et de répondre plus facilement aux exigences de conformité. DataLocker équipe les clés USB cryptées Kingston DataTraveler et IronKey des logiciels SafeConsole et Enterprise Management System (EMS), qui facilitent et centralisent la gestion des clés USB dans l’entreprise. Ainsi, les employés ont par exemple accès à des fonctionnalités telles que la réinitialisation de mot de passe à distance ou le scan anti-malware automatique, et les administrateurs système conservent le contrôle de toutes les clés USB de l’entreprise.
