La situation de la sécurité des clés USB en France



Documents pareils
Comment profiter pleinement de l'informatique mobile sans mettre en péril la sécurité des données

Une protection antivirus pour des applications destinées aux dispositifs médicaux

SMARTPHONES ET VIE PRIVÉE

La reprise d'activité après sinistre est-elle assez prise en compte par les PME?

VOS DONNÉES SONT MENACÉES : PROTÉGEZ-LES AVEC LE CHIFFREMENT RECHERCHE MONDIALE SUR LA SÉCURITÉ INFORMATIQUE

Les entreprises qui adoptent les communications unifiées et la collaboration constatent de réels bénéfices

Politique de sécurité de l information et des technologies. Direction des systèmes et technologies de l information

SÉCURISEZ LE TRAITEMENT DES PAIEMENTS AVEC KASPERSKY FRAUD PREVENTION. #EnterpriseSec

Un guide LE CLOUD COMPUTING DÉMYSTIFIÉ 5 IDÉES REÇUES QUE TOUTES LES PETITES ENTREPRISES DEVRAIENT CONNAÎTRE SUR LE CLOUD COMPUTING

Charte de bon Usage des Ressources Informatiques, de la Messagerie et de l Internet

Le Business Case sur la Gestion de Contenu d Entreprise

Les principes de la sécurité

La sécurité informatique

La sécurité des systèmes d information

Recommandations de sécurité informatique

Fonctionne avec toute plate-forme de virtualisation contrôle centralisé des postes de travail et serveurs physiques, virtuels et mobiles contrôlée

PC Check & Tuning 2010 Optimisez et accélérez rapidement et simplement les performances de votre PC!

Module 8. Protection des postes de travail Windows 7

Contrôle interne et organisation comptable de l'entreprise

Convention Beobank Online et Beobank Mobile

L utilisation du genre masculin dans ce document sert uniquement à alléger le texte et désigne autant les hommes que les femmes

Comportement des consommateurs européens envers le commerce mobile

Service de certificat

Cette charte devra être lue et signée par l ensemble des utilisateurs du matériel informatique de l EPL.

Etude relative aux rapports des présidents sur les procédures de contrôle interne et de gestion des risques pour l exercice 2011

Le DSI du futur Rapport d'étude

GEWISS FRANCE S.A.S. CODE D ETHIQUE INFORMATIQUE

1. Étape: Activer le contrôle du compte utilisateur

1. En moyenne, un ordinateur sans protection connecté à Internet est infecté après... quelques minutes heures 3 jours plus d une semaine

[ Sécurisation des canaux de communication

DDN/RSSI. Engagement éthique et déontologique de l'administrateur systèmes, réseaux et de système d'informations

Solution de sauvegarde pour flotte nomade

Attention, menace : le Trojan Bancaire Trojan.Carberp!

Charte du Bon usage de l'informatique et des réseaux informatiques au Lycée St Jacques de Compostelle

Charte informatique du personnel

Offre et Contrat. Type de Contrat: Abonnement annuel ; = = =

Sondage auprès des PDG et responsables informatiques

REGLEMENT DU JEU «RDV DES SUPPORTERS»

Normes Mauritaniennes de l Action contre les Mines (NMAM) Inclus les amendements Janvier 2014

Politique de sécurité de l information

Symantec Protection Suite Enterprise Edition Protection éprouvée pour les terminaux, la messagerie et les environnements Web

TENDANCE BYOD ET SECURITE

Steganos présente Security Suite 2007, son incontournable suite de sécurité pour PC.

Guide d'initiation aux. certificats SSL. Faire le bon choix parmi les options qui s'offrent à vous en matière de sécurité en ligne. Document technique

POLITIQUE DE BIOSÉCURITÉ

IDC Risk Management 2009 Quelles démarches pour satisfaire les exigences de la norme PCI DSS?

LES FICHES Domaines. Domaine D1. Travailler dans un environnement numérique

Contrat d'hébergement

DISPOSITIONS GENERALES CONCERNANT LE SERVICE INTERNET DANS LA BIBLIOTHEQUE

CONDITIONS GENERALES D'UTILISATION DU LOGICIEL SYNCHRONISATION ET PARTAGEUBIKUBE / B CLOUD

CONDITIONS GENERALES DE VENTE EN LIGNE SUR LE SITE INTERNET Applicables au 25 février 2013.

B2i. LE B2i Brevet Informatique et Internet. Niveau : tous. 1 S'approprier un environnement informatique de travail. b2ico1.odt.

Conditions générales d utilisation

Konica Minolta, un leader aux standards de sécurité les plus élevés du marché

CONDITIONS GENERALES DE VENTE ET D UTILISATION DE SNCF TER NFC

Résumé de l étude. Citoyenneté et participation. Les motivations à participer TABLEAU - PRINCIPALES MOTIVATIONS À PARTICIPER AUX

Compte rendu de recherche de Websense. Prévention de la perte de données et conformité PCI

Description du Service Service de suppression certifiée des données :

Pourquoi choisir ESET Business Solutions?

AdBackup Laptop. Solution de sauvegarde pour flotte nomade. Société Oodrive

Etude RSA / IFOP : Nos ados sont-ils vigilants sur Internet?

Nom : Prénom : Fait à : PESSAC Le : SIGNATURE :

ADDENDA AU CONTRAT BLACKBERRY SOLUTION DE LICENCE POUR WATCHDOX CLOUD DE BLACKBERRY («le ADDENDA»)

5.4. Sécurité des réseaux sans fil. Rapport du vérificateur général de la Ville de Montréal au conseil municipal et au conseil d agglomération

Politique de sécurité de l actif informationnel

GARANTIE DE LA PARTIE UTILISATRICE DES CERTIFICATS SSL TBS INTERNET X509

Annexe de la fiche technique HP Datacenter Care - Flexible Capacity Service

Une sécurité de pointe pour les imprimantes et multifonctions Lexmark

Data Breach / Violation de données

R É S U M É É T A T D E S L I E U X. L e s d é f i s a c t u e l s d e s P M E e n m a t i è r e d e d o n n é e s. Sponsorisé par : Mozy

Management de la sécurité des technologies de l information

La sécurité informatique d'un centre d imagerie médicale Les conseils de la CNIL. Dr Hervé LECLET. Santopta

CHARTE INFORMATIQUE LGL

Notre planète mobile : Canada

Baromètre Gemalto - TNS Sofres. Les Français et les Américains exigent une amélioration de la sécurité et de la flexibilité du monde numérique

La pratique de l ITSM. Définir un plan d'améliorations ITSM à partir de la situation actuelle

AGENT LÉGER OU SANS AGENT. Guide des fonctionnalités Kaspersky Security for Virtualization

Conformité aux exigences de la réglementation "21 CFR Part 11" de la FDA

Rôle des FAI et des Datacenters dans les dispositifs de cyber-sécurité Ou comment tenter de rendre l Internet plus sûr.

Questionnaire Entreprises et droits humains

Faites vos achats en ligne en toute confiance

Etude OpinionWay pour Axys Consultants Les Réseaux Sociaux d Entreprise : degré d appropriation & bénéfices perçus par les utilisateurs

Article 2 : Conseils et meilleures pratiques pour gérer un cloud privé

Meilleures pratiques de l authentification:

XTRADE TRADING CFD EN LIGNE. XTRADE - XFR Financial Ltd. CIF 108/10 1

SOFTCORNER SAS 44 rue Cauchy ARCUEIL Tél :

La sauvegarde (backup) de votre comptabilité a pour but de vous permettre de retrouver vos données si un incident est survenu.

Portail clients GCC (GlobalSign Certificate Center) Conditions d'utilisation du service

RÈGLEMENT NUMÉRO 12 RÈGLEMENT SUR L UTILISATION DES TECHNOLOGIES INFORMATIQUES ET INTERNET

Conditions d'utilisation de la version gratuite

Sécurisation avancée des données de cartes bancaires Guide Hôtel v1.0 SECURISATION AVANCEE DES DONNEES BANCAIRES. Guide Hôtel

GESTION DE FLOTTE MOBILE (MDM), LE GUIDE DES BONNES PRATIQUES

Transcription:

La situation de la sécurité des clés USB en France Synthèse Sponsorisé par Kingston Technology Préparé indépendamment par Ponemon Institute LLC Date de publication : novembre 2011 Rapport d'étude du Ponemon Institute

La situation de la sécurité des clés USB en France Ponemon Institute, novembre 2011 Introduction Sponsorisé par Kingston Technology, Ponemon Institute est heureux de présenter les résultats de sa recherche sur la situation de la sécurité des clés USB en France. Le but de cette recherche est de mieux comprendre comment les entreprises et organisations publiques complexes gèrent les exigences de sécurité et de confidentialité des données collectées et stockées sur des clés USB. Nous sommes convaincus que la leçon à tirer de cette recherche est que les organisations comprennent qu'elles courent des risques à cause de la négligence des employés mais que trop souvent elles ne prennent pas les mesures nécessaires pour sécuriser les clés USB. Notre étude révèle aussi que, malgré la petite taille de ces dispositifs, les violations de données personnelles pouvant découler de clés USB perdues ou volées peuvent être énormes. Plus de 75 % des participants affirment qu'une violation de données personnelles a été causée par le fait que des informations sensibles ou confidentielles étaient stockées sur une clé USB perdue ou volée. Voici 10 habitudes de sécurité liées aux clés USB que de nombreuses organisations ayant participé à l'étude ne pratiquent pas : 1. Fournir aux employés des clés USB agréées et de qualité, à vocation professionnelle. 2. Créer des politiques et programmes de formation définissant les utilisations acceptables et inacceptables des clés USB. 3. S'assurer que les employés qui ont accès à des données sensibles et confidentielles utilisent uniquement des clés USB sécurisées. 4. Déterminer la fiabilité et l'intégrité des clés USB avant l'achat, en vérifiant leur conformité aux principales normes de sécurité, et s'assurer que ces outils ne contiennent pas de codes malveillants. 5. Déployer le cryptage des données stockées sur la clé USB. 6. Surveiller et suivre les clés USB dans le cadre de procédures de gestion des actifs. 7. Analyser les périphériques pour détecter les virus ou infections par des logiciels malveillants. 8. Utiliser des mots de passe ou verrous. 9. Crypter les données sensibles sur les clés USB. 10. Déployer des procédures pour récupérer les clés USB perdues. Nous avons interrogé 444 spécialistes de l'informatique en France, possédant en moyenne 10 ans d'expérience de l'informatique ou de la sécurité informatique. La plupart des participants (62 %) étaient sous la responsabilité hiérarchique du directeur informatique alors que 59 % avaient un statut de superviseur ou supérieur dans leurs organisations. 60 % de ces participants reconnaissent qu'il est très important ou important que les clés USB respectent des normes strictes en matière de sécurité des données. La section suivante présente les principales conclusions de notre enquête indépendante. Globalement, nos résultats montrent clairement que les organisations ne traitent pas les risques potentiels au niveau de la protection et de la sécurité des données découlant de la myriade de clés USB dangereuses utilisées dans de nombreuses organisations. Il faut savoir que dans de nombreuses questions de l'enquête, plusieurs réponses étaient autorisées. Les fréquences de réponses indiquées dans les principales conclusions peuvent donc dépasser 100 %. Rapport d'étude du Ponemon Institute Page 1

Conclusions clés Les risques représentés par les clés USB non cryptées sont ignorés. Les participants semblent généralement être pessimistes quant aux mesures prises par leurs organisations pour protéger les informations sensibles et confidentielles sur les clés USB. Bien que 60 % des spécialistes de l'informatique ayant participé à cette étude comprennent l'importance de normes de sécurité très strictes pour les données des clés USB, moins d'un tiers (30 %) affirment que leur organisation considère que la protection des informations confidentielles et sensibles collectées et temporairement stockées sur ces périphériques est une priorité élevée. Renforçant cette absence de priorité accordée à la sécurité des clés USB, seuls 22 % des participants affirment que leur organisation a mis en place des procédures, contrôles et politiques de gestion pour mettre fin à, ou limiter, le mauvaise usage des clés USB par les employés dans leur travail. Il est encore plus grave de constater que seulement 19 % affirment posséder les technologies appropriées pour empêcher ou détecter les infections par des logiciels malveillants pouvant résider sur les clés USB avant leur utilisation par les employés au travail. 15 % affirment que leur organisation possède des technologies appropriées pour empêcher ou détecter rapidement le téléchargement de données confidentielles sur les clés USB par des parties non autorisées. Les employés sont négligents quand ils utilisent des clés USB, ce qui fait courir des risques aux données sensibles des organisations. Les employés font les choses suivantes en permanence ou très souvent : utilisation de clés USB sans obtenir l'autorisation préalable de le faire (85 %) ou perte de clés USB sans informer les autorités appropriées de ces incidents (86 %). Cependant, moins de la moitié (40 %) des personnes interrogées affirment que leur organisation fournit aux employés des clés USB agréées pour un usage professionnel. Bien au contraire, 70 % affirment que les employés utilisent habituellement ou très souvent les clés USB génériques distribuées 'gratuitement' lors des conférences, salons et autres événements. Les organisations devraient être plus nombreuses à posséder des règlements applicables définissant l'utilisation acceptable des clés USB, et appliquer ces règlements. 46 % des participants affirment que leur organisation a un règlement de sécurité relatif aux clés USB. Parmi les organisations qui ont un règlement, 40 % affirment exiger que leurs employés ayant accès aux données sensibles et confidentielles utilisent exclusivement des clés USB sécurisées. Mais plus de la moitié (53 %) des participants déclarent que leur organisation n'insiste pas sur le respect du règlement, principalement parce qu'elle fait confiance à l'intégrité des employés et ne possède pas les outils ou ressources nécessaires. Les organisations utilisent des critères similaires pour choisir les clés USB que pour d'autres technologies de mémoire ou de stockage. Les trois principaux critères dans l'achat des clés USB sont : le prix, la certification et les tests de sécurité, et la possibilité d'empêcher des attaques par des logiciels malveillants, botnets et virus. En ce qui concerne les autres périphériques de stockage de données, les organisations tiennent compte du prix, de la certification et des tests de qualité puis de la compatibilité avec les normes de cryptage de haut niveau. 58 % des organisations ne testent pas la fiabilité et l'intégrité des clés USB. 42 % affirment acheter leurs clés USB uniquement auprès de fournisseurs de confiance. Environ la moitié (49 %) ne font rien pour empêcher leurs employés d'utiliser des clés USB de mauvaise qualité. Les clés USB sont omniprésentes dans une organisation, et la plupart ne sont pas sécurisées. Sur la base de notre enquête, il y aurait en moyenne plus de 50 130 clés USB utilisées par les employés des organisations représentées dans cette étude. En moyenne, les participants estiment que moins de la moitié (43 %) de ces dispositifs sont sécurisés. Les types d'informations sensibles ou confidentielles les plus souvent mises sur une clé USB sont : les Rapport d'étude du Ponemon Institute Page 2

documents confidentiels non financiers, les données des clients et les données des consommateurs. Même si ces dispositifs sont de petite taille, les violations de données personnelles découlant de la perte de clés USB peuvent être dévastatrices. La vaste majorité des participants (75 %) affirment être absolument certains (34 %) ou être convaincus qu'il était très probable (41 %) qu'une violation de données personnelles avait été causée par la présence d'informations sensibles ou confidentielles stockées sur une clé USB perdue ou volée. Au cours des 24 derniers mois, en moyenne, 4,6 incidents séparés mettant en jeu la perte d'informations sensibles ou confidentielles se trouvant sur une clé USB perdue ou volée se sont produits dans les organisations ayant participé à cette étude. 46 % des participants sont absolument certains ou pensent que ces clés contenaient des données relatives aux clients, aux consommateurs ou aux employés. C'est souvent la négligence des utilisateurs plutôt que leur malveillance qui est à l'origine de la perte de clés USB. En moyenne, 66 % de toutes les clés USB manquantes sont le résultat d'une négligence plutôt que d'une fraude, d'un vol ou d'autres actes malveillants. Ces résultats montrent que des programmes et politiques de formation et de sensibilisation devraient être les premières mesures prises par les organisations pour améliorer la situation de la sécurité des clés USB. Conclusion Les clés USB sont devenues une technologie indispensable pour les employés dans toutes les organisations.mais comme le montre cette étude, les clés USB perdues ou volées représentent de grands risques pour les informations les plus sensibles et confidentielles d'une organisation. Même si les organisations semblent comprendre qu'elles doivent devenir plus proactives pour éviter la négligence des employés, les pratiques de sécurité des clés USB ne semblent pas faire partie de leur stratégie globale de protection des données. Dans notre introduction à ce rapport, nous mentionnons 10 habitudes de sécurité relatives aux clés USB que les organisations devraient mettre en pratique sans le faire. Malheureusement, notre étude montre que cela peut représenter un défi pour les spécialistes de l'informatique et de la sécurité informatique car seulement 30 % déclarent que leur organisation considère la protection des données confidentielles et sensibles collectées et temporairement stockées sur des lecteurs USB comme une priorité élevée. En présentant les résultats de cette étude, nous souhaitons montrer que, même si les clés USB peuvent avoir l'air inoffensives, les conséquences d'une violation de données provenant d'une clé USB perdue ou volée peuvent être énormes. 75 % des participants à cette étude affirment être absolument certains ou convaincus qu'il était très probable qu'une violation de données personnelles dans leur organisation était due à des informations sensibles ou confidentielles stockées sur une clé USB perdue ou volée. En moyenne, au cours des 24 derniers mois, les organisations ayant participé à cette enquête ont perdu 10 691 enregistrements relatifs aux clients, consommateurs et employés stockés sur des clés USB. D'après l'étude 2010 du Ponemon Institute intitulée «Coût annuel d'une violation de données personnelles», les conséquences financières d'une violation de données confidentielles suite à la perte ou au vol d'enregistrements peuvent être significatives. Selon notre recherche, le coût moyen par enregistrement perdu ou volé en France est de 138. Nous estimons que cette somme énorme est suffisante pour convaincre les entreprises de la nécessité d'introduire des politiques, des procédures et des programmes de formation pour atténuer les risques d'une violation de données confidentielles se trouvant sur une clé USB. Rapport d'étude du Ponemon Institute Page 3

Ponemon Institute Advancing Responsible Information Management Ponemon Institute se consacre à la recherche indépendante et à l'éducation faisant progresser les pratiques responsables de gestion des informations et de la vie privée dans le secteur privé et public. Notre mission est d'organiser des études empiriques de haute qualité sur des questions critiques touchant à la gestion et la sécurité des informations sensibles relatives aux personnes et organisations. En tant que membre du Council of American Survey Research Organizations (CASRO), nous respectons des normes strictes en matière de confidentialité des données, respect de la vie privée et normes éthiques de recherche. Nous ne recueillons pas d'informations permettant d'identifier les personnes physiques (ou d'informations permettant d'identifier les personnes morales dans nos études auprès des entreprises). Nous appliquons aussi des normes de qualité strictes pour faire en sorte que les participants ne se voient pas poser de questions superflues, non pertinentes ou déplacées. Rapport d'étude du Ponemon Institute Page 4

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back