Utilisation et promotion des clés USB chiffrées dans votre organisation

Conseils pour aider votre organisation à protéger des informations confidentielles et à se conformer aux réglementations, telles que la RGPD de l'UE et les NYDFS de New York

Développer un plan de clés USB chiffrées : Protection et conformité

  • Il est de loin préférable de développer un plan d'utilisation de clés USB chiffrées avant d'en avoir besoin, afin de pouvoir les incorporer dans vos réglementations et dans la stratégie de sécurité globale de votre entreprise.
  • Associez une clé USB avec chaque badge d'employé, ou chaque ordinateur portable, comme une pratique généralisée de l'entreprise.
  • Définir un plan d'urgence pour récupérer des clés perdues.

NOTE : En l'absence de plan d'utilisation de clés chiffrées et de réglementations, vous n'avez aucune base de sécurité et votre entreprise est exposée à de nombreux risques à tous les niveaux, en plus du manque de conformité aux réglementations. Une simple recherche sur Google concernant les pertes de données liées à des clés USB non chiffrées permet de voir les organisations qui n'avaient pas mis en place un plan fiable. Lire notre récent livre blanc.

Identifier les meilleures clés USB pour votre entreprise

Sélectionner les clés USB qui répondent aux besoins de votre organisation. Les actions conseillées incluent :

  • Déterminer la fiabilité et l'intégrité des clés USB en vérifiant leur conformité aux principales normes de sécurité, telles que le chiffrement AES 256, FIPS 197 ou FIPS 140-2 Niveau 3 et des options de solution gérées. Kingston fournit une option personnalisée aux entreprises qui ont des besoins plus spécifiques.
  • Comprendre les nombreuses options disponibles qui permettent de créer un équilibre entre coûts, sécurité et productivité. Vous devez avoir le bon niveau de sécurité des données pour le bon prix. Si vous n'avez pas besoin d'un chiffrement ou d'un boîtier de niveau militaire, vous n'avez pas besoin de le payer.
  • Si nécessaire, adressez-vous à votre service d'achat et demandez l'assistance de la direction.

Stockage des données chiffrées USB 100% conforme

Simple, facile à utiliser, sans nécessité d'un logiciel ou de pilotes

Conçu pour assurer des déploiements rapides et efficaces

NOTE : Sans de solides préparations, la justification et la réalisation des programmes de sécurité peuvent devenir très difficile. Une analyse simple des besoins de votre entreprise et la disponibilité d'une gamme de clés USB chiffrées faciles à utiliser et économiques contribueront largement à gérer les risques et réduire les coûts pour vos utilisateurs et votre organisation.

Former et éduquer

Mettre en place un programme de formation pour que les employés comprennent les utilisations acceptables et inacceptables des clés USB et des terminaux personnels (Apportez vos propres terminaux - BYOD).

  • Présenter aux utilisateurs des exemples de violations et d'autres conséquences négatives liées aux clés USB non chiffrées.
  • Obtenir la participation du service RH et de la direction supérieure pour soutenir vos programmes de sécurité des données USB. Tous les employés, nouveaux et existants, doivent être formés pendant leur induction dans l'entreprise et recevoir la formation continue aux normes et exigences des politiques d'entreprise.
  • Créer un programme d'échange. Impliquer les employés en échangeant leurs clés USB personnelles ou celles qu'ils utilisent au travail ou comme dispositifs de stockage acquis pendant des expositions, etc. contre des clés USB agréées par l'entreprise.

NOTE : Si vous ne formez pas et n'éduquez pas les utilisateurs, vous n'avez pas de stratégie de prévention efficace des pertes des données. Votre entreprise est donc plus exposée aux risques de violation. Une récente étude sur la sécurité USB réalisée par Ponemon* indique que 72% des employés utilisent des clés gratuites provenant de conférences et d’expositions, réunions professionnelles, etc. même dans des entreprises qui offrent des options USB agréées.

*Studie des Ponemon Instituts

Établir et appliquer les politiques

Mettre en place des politiques régissant l'utilisation des dispositifs de stockage portables, incluant les clés USB. Pour commencer :

  • Identifier les personnes et les groupes qui ont besoin d'accès et/ou qui téléchargent des données sensibles et confidentielles sur des clés USB chiffrées. Définir une politique qui autorise leurs accès.
  • Documenter les politiques des utilisateurs et des équipes de services informatiques
  • Obliger tous les employés à suivre une formation et à signer un accord de post-formation indiquant qu'ils ont compris les politiques d'utilisation acceptable et les conséquences du non-respect des directives.

NOTE : Si les politiques appropriées ne sont pas en place et appliquées par tous, les clés USB peuvent ruiner votre stratégie de sécurité des données. Définir une politique est la première étape, mais elle est incroyablement importante. Confirmant la nécessité des politiques USB, l'étude Ponemon révèle que près de 50% des organisations admettent avoir perdu des clés USB contenant des informations sensibles ou confidentielles au cours des 24 derniers mois.

Fournir des clés USB agréées par l'entreprise

Fournir aux employés des clés USB chiffrées et agréées pour leurs activités professionnelles. Les clés USB agréées présentent les caractéristiques suivantes :

  • Chiffrement matériel éprouvé et conforme à la norme AES 256 (Advanced Encryption Standard). La sécurité basée sur le matériel apporte une portabilité et un chiffrement supérieurs au chiffrement logiciel hébergé.
  • La totalité de l'espace de stockage est chiffrée. Aucun espace de stockage non sécurisé n'est disponible sur les clés.
  • L'authentification par mot de passe basée sur le matériel limite le nombre de tentatives d'accès consécutives erronées en verrouillant les dispositifs lorsque le nombre maximal de tentatives erronées est atteint.
  • Est conforme aux normes FIPS pour les besoins de votre entreprise ou secteur d'activité. FIPS 197 et/ou FIPS 140-2 Niveau 3
FIPS logo   TAA logo

NOTE : Si vous ne fournissez pas de clés chiffrées et que vous ne mettez pas en place des politiques qui assurent la productivité des utilisateurs, ils trouveront par nécessité des solutions pour contourner ces systèmes de sécurité.

Gérer les clés USB agréées et bloquer les dispositifs non agréés

Utiliser un logiciel de gestion sur dispositif pour gérer les dispositifs de stockage USB. Installé sur chaque dispositif, un logiciel de gestion centralisée permet de contrôler les clés à l'aide de connexions LAN et Internet connections. C'est un excellent outil pour :

  • Définir et appliquer des politiques d'utilisation des clés USB au niveau individuel et/ou groupe.
  • Auditer les activités pour mieux suivre les données entrant et sortant de votre entreprise.
  • Fournir une sauvegarde à distance des contenus pour les utilisateurs qui transportent des données critiques.
  • Désactiver à distance des dispositifs perdus ou exposés, avec une fonction de réinitialisation à distance des mots de passe oubliés.

NOTE : Si vous ne gérez pas les clés agréées, des données sensibles peuvent être copiées sur ces dispositifs et partagées avec des tiers non autorisés. Votre entreprise figurera alors dans les prochaines statistiques de vols ou de pertes de données.

Chiffrer les données confidentielles

  • Pour être certain que vos données sont protégées, elles doivent être chiffrées avant d'être envoyées par e-mail ou enregistrées sur des dispositifs de stockage amovibles.
  • Dans les entreprises qui utilisent des données confidentielles ou sensibles pour leurs activités dans les secteurs de la finance, de la santé, de l'administration publique, etc., le chiffrement constitue le moyen de protection le plus digne de confiance.
  • En suivant les conseils ci-dessus, l'entreprise sera à l'abri des pénalités et/ou des actions en justice justifiées par des divulgations de données conformément à une nouvelle réglementation.

NOTE : Si vous ne chiffrez pas les données avant de les enregistrer sur vos clés USB, des pirates peuvent contourner votre anti-virus, votre pare-feu, ou d'autres protections, pour accéder à ces informations vulnérables. Les IronKey utilisent une puce “On-Device Cryptochip” pour bénéficier d'une couche de protection supplémentaire.

Certifier la protection anti-virus à chaque point d'accès

  • Vérifier que tous les accès aux systèmes d'hébergement sont protégés par un logiciel anti-virus actualisé.
  • Il est également nécessaire de tenir compte de la nécessité d'une protection contre les malware ou logiciels malveillants sur les dispositifs USB connectés à des PC non gérés par l'entreprise.

NOTE : De nouvelles menaces émergent constamment et peuvent provenir de toutes les sources imaginables, incluent les e-mails, les sites internet, les médias amovibles, tels que les clés USB et les CD. Un logiciel anti-virus actualisé joue donc un rôle critique pour protéger le réseau contre les menaces connues et inconnues.