Dans votre entreprise, tout le monde fait circuler des clés USB d'un poste à l'autre sans et d'un endroit à un autre sans que personne ne se méfie de ce petit objet banal par lequel les cybercriminels infiltrent vos systèmes et lancent des attaques dévastatrices.

Clé USB, SSD ou disques durs externes, mais aussi cartes SD peuvent transmettre des virus à votre entreprise - ©Dontree_M / Shutterstock
Clé USB, SSD ou disques durs externes, mais aussi cartes SD peuvent transmettre des virus à votre entreprise - ©Dontree_M / Shutterstock
Proton Business SuiteProton Business Suite
8.7/10

Offre partenaire

Des solutions simples et chiffrées pour protéger votre entreprise

Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.

Essayer Proton Business Suite gratuitement !

Offre partenaire

Elle est probablement plus présente que vos collaborateurs, que ce soit sur vos postes ou bien sur les leurs quand ils sont en télétravail ou en déplacement. Vos collaborateurs utilisent des clés USB chaque jour. L'un ramène du travail chez lui, un autre partage une démonstration client, votre comptable récupère des factures scannées. Le tout est stocké dans ce espace amovible bien pratique.

Pourtant, les supports amovibles sont idéaux pour transmettre virus et autres moyens d'infection au sein de votre entreprise. Contrairement aux e-mails, protégés par les filtres antispam ou les pare-feu, la clé USB échappe à tout contrôle au moment où on l'insère. Votre système ne voit qu'un périphérique de stockage, il ne détecte pas ce qui se cache dedans. Un malware peut alors s'exécuter automatiquement, un fichier infecté se propager à votre réseau, vos données sensibles disparaître sans laisser de trace.

Pourquoi vos équipes utilisent encore des clés USB

Bien souvent, la clé USB est la solution la plus simple et rapide à disposition de vos équipes pour échanger des fichiers ou données d'un service à l'autre, et parfois hors-les-murs. Vos commerciaux transfèrent des fichiers CAO trop volumineux pour le serveur mail. Votre assistant fait une sauvegarde rapide avant une mise à jour système. Votre technicien doit partager des documents entre deux postes non connectés au même réseau. Si vous n'avez pas déployé d'infrastructure cloud parce que ça coûte cher ou que ça vous paraît complexe, il n'y a pas d'alternative.

Mais vous ne savez pas d'où viennent ces clés ni ce qu'elles contiennent vraiment. Un de vos employés en reçoit une lors d'un salon, il la range dans son sac, il la retrouve trois mois plus tard et la branche sans réfléchir. Votre stagiaire achète un lot de clés bon marché sur internet, il les distribue à l'équipe pour partager des documents. Votre responsable administratif utilise la même clé pour son usage personnel et professionnel, il la connecte sur son PC familial infecté avant de l'utiliser au bureau le lendemain matin.

Vous n'avez probablement pas non plus mis en place de politique claire sur l'usage des supports amovibles. Pas de procédure de validation, pas de liste de périphériques autorisés, pas de formation sur les risques pour vos collaborateurs. Ils agissent selon leur bon sens, qui ne suffit jamais aux techniques des cybercriminels. Une clé USB peut paraître neuve, elle peut arborer le logo d'une marque connue, elle peut provenir d'un partenaire de confiance. Rien ne garantit qu'elle soit saine pour autant.

Enfin, vous pensez peut-être que votre antivirus suffit à vous protéger. Vous supposez que le logiciel analysera automatiquement le contenu de la clé au moment de la connexion. Tous les antivirus ne fonctionnent pas de cette manière, et les malwares évoluent plus vite que les bases de signatures. Un virus peut rester indétectable pendant des semaines avant qu'une mise à jour le repère.

Entre-temps, il aura eu le temps de se propager et de causer des dégâts considérables dans votre système.

Ce qui se passe vraiment quand on branche une clé infectée

Si votre pare-feu bloque les connexions suspectes venues d'internet, rien ne filtre ce qui arrive par un port USB, tout comme le filtre antispam détecte les pièces jointes dangereuses, rien ne contrôle ce qu'un employé branche sur son ordinateur.

Les attaquants exploitent exactement cette faille. La clé devient à la fois l'appât et le piège.

Ils déposent des clés infectées dans des lieux stratégiques. Le parking de votre entreprise, l'entrée de votre immeuble de bureaux, la salle d'attente de votre expert-comptable. Ils comptent sur la curiosité humaine. Un de vos collaborateurs trouve la clé, se demande à qui elle appartient, veut vérifier son contenu pour la restituer à son propriétaire. Il la branche et déclenche l'infection.

Les malwares embarqués exploitent des vulnérabilités connues mais non corrigées dans vos systèmes, ou utilisent des techniques d'ingénierie sociale pour inciter votre utilisateur à exécuter un fichier. Une fois lancé, le malware peut installer un ransomware qui chiffre tous les fichiers du poste et se propage à votre réseau, ou un cheval de Troie qui ouvre une porte dérobée pour permettre aux attaquants de revenir plus tard voler vos données.

Tout comme une clé USB, les disques durs et SSD externes, que vous les ayiez fournis à vos collaborateurs ou qu'ils utilsent le leur, permettent aussi à quelqu'un d'exfiltrer vos données. Un employé mécontent, un concurrent mal intentionné, un prestataire indélicat. Il suffit de quelques secondes pour copier des milliers de vos fichiers. Vos systèmes de détection d'intrusion ne voient rien partir, car le transfert se fait en local, sans passer par le réseau. Les journaux d'événements enregistrent bien la connexion d'un périphérique, mais qui prend le temps de les vérifier quotidiennement dans votre entreprise ?

Pire encore : des clés USB spécialement conçues imitent le comportement d'un clavier dès leur branchement. En quelques millisecondes, des scripts créent des comptes administrateur cachés, désactivent vos protections ou téléchargent des logiciaux malveillants depuis internet. Votre utilisateur ne voit rien, votre antivirus ne détecte rien, et pourtant les attaquants ont déjà compromis votre système.
Vos données stockées sur ces clés échappent à vos sauvegardes centralisées, à vos politiques de chiffrement, à vos systèmes de gestion documentaire. Un de vos collaborateurs garde des informations sensibles sur une clé qu'il transporte dans sa poche, il la perd dans les transports, elle tombe entre de mauvaises mains. Les fichiers ne sont pas protégés, n'importe qui peut les lire. Une liste de vos clients, vos devis confidentiels, les données personnelles de vos employés. Tout se retrouve exposé sans que vous le sachiez immédiatement.

Enfin, et vous le savez désormais, les données personnelles que vous traitez sont soumises au respect du RGPD qui vous impose de les protéger. Si elles sont stockées sur une clé USB perdue, alors vous êtes en infraction et devez le notifier à la CNIL dans les 72 heures. Ne perdez pas de vue que ces incidents entachent votre image auprès de l'écosystème qui gravite autour de votre entreprise.

On le sait, les habitudes se prennent et se perdent très vite. Lorsqu'on comprend les risques pour vos données, celles de vos clients et prestataires que vous prenez en autorisant la manipulation, le stockage et le transfert de fichiers via des supports amovibles, la décision la plus sage et efficace est de les interdire au sein de votre entreprise.

Vos DSI peuvent interdire tous les supports amovibles, à confidtion de proposer des alternatives efficaces et sécurisées - ©ecuadorplanet / Shutterstock

Pourquoi et comment interdire les supports amovibles dans votre entreprise

De la même manière qu'une unité de stockage amovible était un moyen simple et à moindre coût de stocker et échanger les données de votre organisation, son interdiction pure et simple, même si elle peut paraître radicale, fait largement pencher la balance bénéfices-risques en votre faveur. Les avantages pratiques des clés USB ou de SSD ne compensent jamais les dangers qu'ils représentent pour vos systèmes.

Commencez par rédiger une politique écrite que vous diffusez à tous vos collaborateurs. Expliquez-leur les raisons de la mesure, définissez les exceptions éventuelles, précisez les sanctions en cas de non-respect. Vos employés doivent comprendre que vous ne leur compliquez pas la vie pour le plaisir, mais que vous protégez leur outil de travail et l'avenir de l'entreprise.

Ensuite, vous mettez en place des contrôles techniques. Demandez à votre prestataire informatique de désactiver les ports USB sur les ordinateurs ou de configurer les systèmes pour n'accepter que des périphériques spécifiquement autorisés. Windows et les systèmes Linux permettent de gérer finement ces restrictions via des stratégies de groupe ou des règles udev. Votre prestataire saura faire ça en quelques heures.

Vous pouvez aussi opter pour une solution intermédiaire si l'interdiction totale vous semble trop brutale. Autorisez uniquement des clés USB que vous fournissez à vos collaborateurs, préalablement vérifiées et chiffrées par votre service informatique. Imposez l'analyse antivirus systématique de tout support avant utilisation. Installez un poste dédié, isolé du réseau, pour vérifier le contenu des clés provenant de l'extérieur.

Quelles alternatives de stockage à la clé USB ?

Interdire les supports amoviblles suppose que vous offriez autre chose à vos équipes. Les solutions cloud permettent de partager des fichiers volumineux de manière sécurisée. Les services de transfert chiffré remplacent avantageusement les clés pour échanger avec vos partenaires externes. Les sauvegardes réseau centralisées garantissent que vos données importantes ne dépendent pas d'un support physique qui peut tomber en panne ou se perdre. Pensez également à investir dans un système de stockage cloud sécurisé sur lequel vos collaborateurs ou toute personne autorisée pourra déposer, échanger, consulter ou télécharger dossiers et données.

Ces solutions ont un coût, certes, mais beaucoup moins élevé qu'une cyberattaque réussie. Selon une étude du cabinet Asterès publiée en 2023, le coût moyen d'une cyberattaque réussie s'élevait 59 000 euros pour les organisations françaises. Des données plus récentes montrent même qu'en moyenne, chaque PME attaquée perd 466 000 euros. Sans compter l'interruption de votre activité, la perte de vos données…. Une infection via une clé USB peut paralyser votre entreprise pendant des jours, parfois des semaines.

Vous pouvez commencer par auditer l'usage actuel des clés USB dans votre structure. Combien de vos collaborateurs en utilisent ? Pour quels usages ? D'où viennent ces clés ? Qui contrôle ce qui transite par ces supports ? Les réponses à ces questions vous révéleront des pratiques dangereuses dont vous n'aviez probablement pas conscience.

Organisez ensuite une formation pour vos équipes. Expliquez-leur pourquoi les clés USB représentent un danger réel, montrez-leur des exemples concrets d'attaques réussies, présentez-leur les alternatives que vous mettez à leur disposition.