Blocage des ports USB et des lecteurs USB

Le blocage des ports USB et le contrôle des supports connectés à un ordinateur permettent de réduire le risque de copie non autorisée de données en dehors de l’entreprise. En pratique, cela concerne surtout les clés USB, les lecteurs USB externes et les téléphones mobiles connectés comme périphériques de stockage de masse. Cette fonction fait partie du mécanisme de surveillance disponible dans Ewida Audit.

Pour utiliser cette partie de la configuration, l’Agent doit être installé sur l’ordinateur surveillé. Ewida Audit est une solution de bureau Windows, c’est pourquoi le blocage et l’autorisation des périphériques s’effectuent directement sur les postes de travail où l’Agent est en fonctionnement.

En pratique, deux modèles de fonctionnement de base peuvent être adoptés :

  • blocage complet de l’accès USB — tous les périphériques USB sélectionnés sont bloqués,
  • autorisation des supports USB — seuls les périphériques approuvés au préalable peuvent être utilisés.

Où configurer l’autorisation et le blocage USB

Pour configurer les règles d’accès aux supports USB, ouvrez Paramètres du programme dans Ewida Audit, allez dans la section Agent, puis sélectionnez les paramètres liés à la surveillance USB. C’est ici que vous définissez si l’Agent doit seulement enregistrer l’utilisation des périphériques ou aussi la restreindre activement.

Dans cette partie de la configuration, trois zones principales sont disponibles :

  • USB - Autorisation,
  • USB - Désactivé,
  • Hôtes exclus.

Cette structure permet de gérer séparément la liste des supports autorisés, les ordinateurs avec USB entièrement bloqué et les exceptions aux règles générales.

Autorisation de nouveaux supports USB

Pour n’autoriser que les périphériques approuvés au préalable, sélectionnez l’option Autoriser uniquement l’utilisation des lecteurs autorisés. Après son activation, le bouton Autoriser un nouveau lecteur USB devient actif.

Après le lancement de cette fonction, le programme attend que le périphérique à autoriser soit connecté. Lorsqu’une clé USB ou un téléphone est détecté, son numéro de série est automatiquement ajouté à la liste des périphériques autorisés. Cela permet ensuite d’utiliser ce support conformément à la politique adoptée par l’entreprise.

Cette solution est pratique, car elle ne nécessite pas de saisie manuelle des identifiants des périphériques. L’administrateur connecte simplement le support à autoriser, et le programme enregistre ses données d’identification.

Surveillance et blocage - une différence importante

Par défaut, la fonction d’autorisation des supports USB est désactivée. Cela signifie que l’Agent autorise tous les périphériques à fonctionner, sauf si une règle supplémentaire limitant l’accès a été activée.

Il est important de distinguer la surveillance USB du blocage USB. Par défaut, la surveillance active se limite à enregistrer des logs d’utilisation des supports et des téléphones mobiles, mais elle ne bloque pas leur fonctionnement. Si l’entreprise veut bloquer complètement les périphériques USB ou n’autoriser que le matériel approuvé, ces fonctions doivent être activées volontairement dans les paramètres.

C’est une distinction importante, car la simple présence de logs ne signifie pas encore que l’utilisateur a été empêché de connecter un périphérique.

Hôtes avec blocage et hôtes exclus

Le paramètre USB - Désactivé permet d’indiquer les hôtes, c’est-à-dire les ordinateurs, sur lesquels l’accès USB doit être complètement bloqué. C’est une bonne solution pour les postes de travail où la politique de sécurité exige une désactivation totale de l’accès USB.

La section Hôtes exclus, quant à elle, permet d’indiquer les ordinateurs pour lesquels la surveillance USB doit être totalement désactivée. Ce type d’exception peut être nécessaire, par exemple, pour des postes administratifs, de service ou de test où les règles standard ne doivent pas s’appliquer.

Grâce à cela, la configuration peut être ajustée non seulement globalement, mais aussi individuellement pour certains ordinateurs. En pratique, c’est généralement l’approche la plus efficace : une politique générale pour la plupart des postes de travail et des exceptions là où elles sont réellement nécessaires.