Clés USB au bureau : pourquoi la petite clé cadeau du salon professionnel pose problème

Les clés USB semblent inoffensives, mais elles constituent l'un des moyens les plus simples d'introduire des malwares ou de laisser fuiter des données. Une approche pratique pour les PME.

Vous les connaissez bien : la pile de clés USB distribuées dans les salons professionnels, la carte mémoire qu'un client apporte avec un « je te transfère juste ces fichiers », ou la petite clé qui traîne depuis des années dans le tiroir du haut. Elles semblent inoffensives. En pratique, elles constituent l'un des moyens les plus simples d'introduire des malwares au bureau — et de laisser sortir des données sensibles sans que personne ne s'en aperçoive.

Dans cet article : pourquoi les clés USB sont un angle mort pour de nombreuses PME, et ce que vous pouvez faire sans outils coûteux.

Pourquoi ce problème est plus grand qu'il n'y paraît

Il existe trois risques, et ils se cumulent :

• Malware via une clé trouvée ou reçue. Quelqu'un la branche pour voir ce qu'elle contient. Il suffit alors d'ouvrir un mauvais fichier.
• Fuite de données. Un collaborateur sur le départ, un collègue stressé qui « continue juste à la maison », ou quelqu'un qui copie accidentellement le mauvais dossier. Personne ne le voit, personne ne le journalise.
• Clés perdues. Une clé contenant des données clients oubliée dans un compartiment de train constitue, au sens du RGPD, une violation de données. Avec obligation de notification.

Le problème : il n'y a généralement aucun incident pour vous alerter. Jusqu'au jour où il y en a un.

Ce que font la plupart des PME aujourd'hui (et pourquoi c'est insuffisant)

Posez la question autour de vous au bureau et vous entendrez le plus souvent : « On ne fait pas vraiment quelque chose à ce sujet. » Parfois, le règlement intérieur contient une phrase du type « faites attention aux supports de données externes ». Ce n'est pas une politique, c'est un vœu pieux.

Ce qui manque, c'est quelque chose de concret : ce qui est autorisé, ce qui ne l'est pas, et comment vérifier que les règles sont respectées.

Une approche praticable en quatre étapes

1. Déterminez si vous avez vraiment encore besoin du stockage USB

Question honnête : à quoi utilisez-vous les clés ? Dans 9 cas sur 10, la réponse est « partager des fichiers », et pour ça il existe aujourd'hui SharePoint, OneDrive, Google Drive ou WeTransfer. Plus sécurisé, traçable, et vous n'avez plus à chercher cette fameuse clé.

Si le stockage USB n'est pas nécessaire pour le travail, désactivez-le tout simplement. Sous Windows, c'est une question d'un seul paramètre via une stratégie de groupe ou dans Intune. Idem sur Mac.

2. Établissez une règle claire et unique

Par exemple : « Aucun support de stockage USB externe n'est utilisé sur les ordinateurs portables professionnels. Nous partageons les fichiers via [nom de votre service cloud]. Les exceptions passent par [nom]. »

Une seule phrase. Tout le monde la comprend. Et vous savez qui appeler si c'est vraiment inévitable.

3. Anticipez les exceptions

Il y a toujours des cas légitimes : un imprimeur qui ne fonctionne que par clé USB, un notaire, un fournisseur avec son propre appareil. Pour ces situations :

• Utilisez des clés à chiffrement matériel (avec code PIN sur l'appareil lui-même). Comptez environ 40 à 80 euros pièce.
• Attribuez-les nominativement. Pas une coupelle de clés qui circulent.
• Notez qui a quelle clé. Au départ du collaborateur : restitution, comme pour l'ordinateur portable et le badge d'accès.

4. Intégrez-le à l'onboarding et à l'offboarding

À l'arrivée, vous expliquez la règle. Au départ, vous vérifiez : toutes les clés attribuées ont-elles été rendues ? Cela fait tout simplement partie de votre checklist d'offboarding, au même titre que les comptes et les clés physiques.

Et cette clé qui traîne dans le tiroir depuis des années ?

Faites un tour du bureau cette semaine. Cherchez dans les tiroirs, dans les sacs, dans cette coupelle près de l'accueil. Rassemblez tout. Ce qui appartient à l'entreprise et ne contient rien de sensible : effacez et réutilisez (ou jetez). Ce qui est inconnu : ne le branchez pas, détruisez-le simplement. Une paire de ciseaux dans une clé USB, c'est gratuit et définitif.

Pour les supports mobiles contenant potentiellement des données sensibles : effacement sécurisé ou destruction physique. Un formatage ne suffit pas — les fichiers sont souvent encore récupérables.

Le lien avec votre approche globale de la sécurité

La politique USB ne se suffit pas à elle seule. Elle fait partie de la même catégorie de mesures que votre gestionnaire de mots de passe, votre double authentification (2FA) et la gestion des accès aux systèmes. Autant de petites choses qui, ensemble, font la différence entre « on a eu de la chance » et « on a tout simplement bien fait les choses ».

Puisque vous êtes en train de faire le ménage et de renforcer votre sécurité : c'est le bon moment pour vérifier qui peut encore se connecter à vos systèmes. Les gens sont souvent surpris de ce qu'ils y trouvent.

Pour conclure

Les clés USB ne sont pas le problème majeur de votre sécurité informatique. Mais elles sont un exemple typique de sujet qui semble trop anodin pour être traité — jusqu'à ce que ça tourne mal. Une demi-heure pour poser une règle et faire un tour du bureau suffit à régler la question.

Vous souhaitez avoir une vue d'ensemble de qui accède à quoi sur vos systèmes ? Notre audit des accès est la prochaine étape logique. Et si vous avez encore des doutes sur les bases de la sécurité de votre messagerie, consultez notre page sur la configuration SPF/DKIM/DMARC — c'est souvent là que se trouve la première vraie faille.