Contrôler l'accès aux périphériques USB

Cette protection permet de contrôler l'usage des périphériques USB sur les postes de travail des utilisateurs.

Les règles peuvent porter sur des classes de périphériques USB (imprimante, vidéo, audio, stockage) et/ou sur des vendeurs, des modèles ou des numéros de série de périphériques.

Pour chaque catégorie de périphérique USB, vous avez la possibilité de :

• Autoriser leur utilisation,
• Bloquer leur utilisation,
• Afficher un message à l'utilisateur pour qu'il confirme ou non l'utilisation du périphérique lorsqu'il le branche. La demande de confirmation est affichée à l'utilisateur actuellement connecté localement sur le poste. Dans les autres cas de branchement du périphérique (connexion à distance, session locale verrouillée, démarrage de la machine, session fermée), le message de confirmation ne s'affiche pas et le périphérique est systématiquement bloqué.
• Surveiller l'utilisation des périphériques USB dans un jeu de règles d'audit.

EXEMPLE 1
SES Evolution permet notamment de détecter les clés USB de type Rubber Ducky. Cette clé qui joue le rôle d’un clavier, exécute des scripts malveillants et sauvegarde des informations sur une carte micro SD. Si vous créez une règle qui demande confirmation à l'utilisateur à chaque branchement d'un périphérique de type HID (claviers, souris par exemple), un message l'informera qu'un clavier vient d'être branché. L'utilisateur pourra alors refuser l'accès à ce périphérique malveillant ayant l'aspect d'une clé USB.

EXEMPLE 2
Vous pouvez choisir de n'autoriser que les casques, enceintes et téléphones mobiles fournis par le service informatique de votre entreprise.

ATTENTION
Un clavier ou une souris (périphérique de type HID) branché avant le démarrage du poste de travail est automatiquement autorisé afin de ne pas rendre le poste inutilisable.
Cependant sur les systèmes d'exploitation Microsoft Windows 10 et 11, si l'option Activer le démarrage rapide est sélectionnée sur un ordinateur, lorsqu'on l'éteint, il passe en mode Veille prolongée. Cela signifie que si vous avez défini une règle sur un périphérique HID avec une action de blocage ou de confirmation par l'utilisateur, le périphérique est bloqué à la sortie de la mise en veille prolongée. Vous devez alors opérer un redémarrage complet de l'ordinateur via les menus classiques ou bien en effectuant un appui long sur le bouton d'allumage.

Si vous choisissez d'adopter un mode de fonctionnement "liste blanche", vous allez créer des règles pour autoriser l'usage de certains périphériques sur votre parc. Vous devez alors créer une règle en dernière position bloquant tous les autres périphériques. Nous vous recommandons de choisir le mode Règle passive pour cette dernière règle afin de ne pas bloquer des périphériques nécessaires au bon fonctionnement des postes de travail. Ainsi vous pouvez tester en production vos règles sur les périphériques USB et les affiner par la suite en consultant les logs.

Pour créer des règles sur les périphériques USB :

1. Choisissez le menu Sécurité > Politiques et cliquez sur votre politique.
2. Sélectionnez un jeu de règles.
   
3. Cliquez sur l'onglet Périphériques > USB.
4. Si vous êtes en lecture seule, cliquez sur le bouton Modifier dans le bandeau supérieur.
5. Cliquez sur Ajouter > Règle (Périphérique USB). Une nouvelle ligne s'affiche.
6. Dans la partie gauche de la règle, cliquez sur l'icône pour indiquer un ou plusieurs identifiants de périphériques sur lesquels la règle porte. Selon que vous souhaitez filtrer un périphérique précis ou une catégorie de périphériques, remplissez tout ou partie des propriétés suivantes :
   • Indiquez un nom pour le périphérique.
   • Sélectionnez la classe USB du périphérique dans la liste déroulante. Si nécessaire, cliquez sur l'icône pour entrer une valeur manuellement.
   • Entrez la sous-classe USB, composée de deux caractères hexadécimaux.
   • Entrez les premières lettres du nom du vendeur pour afficher la liste et sélectionner le vendeur souhaité. Vous pouvez aussi saisir les quatre caractères hexadécimaux normalisés correspondant au vendeur.
   • Sélectionnez le produit dans la liste des produits de ce vendeur ou saisissez les quatre caractères hexadécimaux.
   • Entrez le numéro de série du produit.
7. Dans le champ Accès, sélectionnez l'action Autoriser, Bloquer ou Demander si vous êtes dans un jeu de règles de protection ou Autoriser ou Audit si vous êtes dans un jeu de règles d'audit. Ne pas évaluer le jeu de règles permet d'ignorer toutes les règles contenues dans ce jeu de règles et évaluer le jeu de règles suivant.

8. Dans le bandeau supérieur de la règle, vous pouvez :
   • Choisir de rendre la règle passive. Une règle passive agit comme une règle classique mais ne bloque pas véritablement les actions. L'agent émet uniquement des logs indiquant quelles actions auraient été bloquées par la règle.
     Utilisez ce mode pour tester de nouvelles règles de restriction, en connaître les impacts, et procéder à des ajustements avant de désactiver le mode Règle passive. Pour plus d'informations sur les tests de règles et de politiques, reportez-vous à la section Tester une politique de sécurité.
   • Sélectionner les paramètres des logs qui seront émis par cette règle.
   • Spécifier si une action doit être effectuée lors de l'émission d'un log pour cette règle.
   • Saisir un commentaire.
   • Saisir une description pour expliquer l'objectif de la règle.
9. Chaque règle affiche sur sa gauche son numéro de rang. Si besoin, réagencez l'ordre de vos règles en cliquant sur les flèches en dessous et au-dessus du numéro.
10. Cliquez sur Enregistrer en haut à droite pour enregistrer vos modifications.

Pour connaître les identifiants de vendeur ou de produit, ou les numéros de série des périphériques, vous pouvez consulter le Gestionnaire des périphériques Windows lorsque le périphérique concerné est branché ou bien utiliser des utilitaires dédiés.

Pour connaître les identifiants de sous-classe des périphériques USB, consultez la norme internationale USB.