À l’échelle mondiale, les responsables de la sécurité de l’information (RSI) ont porté une plus grande attention à la sécurité physique. La sécurité physique fait référence à la protection des personnes, des biens et des actifs physiques contre le risque d’actions et d’événements physiques, tels que les incendies, les inondations, les catastrophes naturelles, les cambriolages, les vols, le vandalisme et le terrorisme1. En raison de plus en plus d’organisations externalisant leur infrastructure informatique et intégrant le travail hybride et à distance, la sécurité physique a été reléguée à l’arrière-plan de nombreuses initiatives de travail à distance mises en œuvre par les entreprises. Cela dit, la bonne garde des entreprises et leur sécurité physique demeurent un élément fondamental permettant aux organisations de protéger leurs actifs, leurs employés et leurs clients. Selon les résultats du Rapport 2020 de IBM sur la violation des données (Cost of Data Breach 2020 Report), 10 % des violations malveillantes examinées dans cette étude analytique ont été provoquées par une atteinte à la sécurité physique2.
[1] The Importance of Physical Security and Its Implications on Cybersecurity | New Jersey Cybersecurity & Communications Integration Cell (nj.gov)
[2] IBM. https://www.ibm.com/reports/data-breach
De par ce fait, garantir la sécurité physique, et promouvoir les assurances connexes sont primordial pour maintenir la confiance des parties prenantes, ainsi que pour éviter les répercussions juridiques et financières.
Pourtant, nombreux sont les avantages de considérer la sécurité physique. La sécurité physique relative à la technologie informatique ne devrait pas être perçue comme une variable « loin des yeux, loin du cœur ». Des mesures efficaces de sécurité d’entreprise peuvent empêcher l’accès non autorisé aux informations confidentielles et protéger les organisations contre les cyberattaques, la fraude, le vol et d’autres activités criminelles.
Les mesures de sécurité physique, telles que les contrôles d’accès, les systèmes de surveillance et d’alarme, sont indispensables pour protéger les personnes, les biens et les équipements. La sécurité physique des systèmes informatiques peut dissuader les activités non autorisées, faciliter la détection des brèches de données par cyber intrusion, et permettre une intervention rapide face aux incidents de cybersécurité.
Par ailleurs, il convient de prendre en compte la confiance que les membres du personnel ont envers la sécurité de leur entreprise. Offrir un lieu de travail sécurisé peut améliorer le moral des employés, augmenter la productivité et attirer les meilleurs talents. Les clients et les parties prenantes s’attendent également à ce que les organisations aient mis en place des mesures de cybersécurité appropriées pour protéger leurs intérêts, mais le non-respect de ces mesures peut nuire à la réputation et à l’image de marque de l’organisation.
Cela étant dit et par conséquent, la mise en œuvre de contrôles de sécurité physique de l’infrastructure TI est cruciale pour le bien-être administratif et financier des entreprises. Vous trouverez ci-après quelques bonnes pratiques en matière de sécurité physique que les organisations devraient envisager d’appliquer. Ces bonnes pratiques sont inspirées de la norme ISO 27001 :
Périmètre de sécurité et contrôles d’accès
Les organisations doivent définir des périmètres de sécurité physiques où elles doivent mettre en œuvre des mesures de contrôle d’accès. Les contrôles d’accès peuvent englober des barrières physiques telles que des serrures, des barrières de sécurité et des tourniquets, ainsi que des contrôles électroniques tels que des cartes-clés, des numériseurs à balayages biométriques et des codes d’accès.
Surveillance
Les périmètres susmentionnés doivent être surveillés par des systèmes de surveillance tels que des caméras de vidéosurveillance, des détecteurs de mouvement et des alarmes pour aider les entreprises à détecter en temps réel les accès non autorisés, les vols ou les activités suspectes. Les entreprises peuvent embaucher du personnel de sécurité tel que des gardes, des réceptionnistes et des patrouilleurs pour maintenir une présence physique et dissuader les menaces potentielles. Le personnel de sécurité peut également intervenir rapidement en cas d’urgences et d’incidents.
Emplacement et protection du matériel
Un emplacement sécurisé pour le matériel doit être choisi et protégé.
Menaces physiques et environnementales
Les organisations doivent veiller à protéger leurs actifs contre les menaces physiques et environnementales grâce à l’utilisation de contrôles environnementaux tels que les systèmes d’extinction d’incendie, les systèmes de chauffage, de ventilation et de climatisation (CVC), et les capteurs d’humidité pour protéger leurs ressources contre les risques environnementaux naturels tels que les incendies, les inondations, les dégâts des eaux, la foudre, les tornades et les températures extrêmes, ou les dangers d’origine humaine tels que les troubles civils, les fuites d’eau des installations, la sécurité du réseau de câblage, la maintenance des équipements, l’élimination sécurisée ou la réutilisation des équipements, etc.
Supports de stockage
Les entreprises doivent gérer les supports de stockage tels que les disques et les clés USB tout au long de leur cycle de vie d’acquisition, d’utilisation, de transport et d’élimination. En général, ces supports doivent être cryptés pour empêcher l’accès à leur contenu en cas de vol ou de perte.
Sécurité du câblage
Les câbles transportant l’alimentation électrique ou les données doivent être protégés contre les interceptions, les interférences ou les dommages. En considérant que le câble est un média partagé comme Ethernet, les entreprises devraient faire tout ce qui leur est possible pour consolider ce réseau de câblage contre les pirates informatiques qui tentent d’usurper des services professionnels ou de voler des outils de qualité de service, et qui essaient d’usurper des serveurs.
Bureau propre et écran vide
Des règles bureautiques claires pour la gestion des documents en format papier et des supports de stockage amovibles, et des règles précises de gestion d’écran pour les installations de traitement de l’information doivent être définies et appliquées de manière adéquate. De telles règles devraient également s’appliquer aux travailleurs à distance.
Sécurité des actifs hors des locaux
Compte tenu des différents risques relatifs au travail en dehors des locaux des organisations, les entreprises doivent également assurer la protection des actifs situés hors site.
Maintenance du matériel
Qu’ils soient physiques ou virtuels, les équipements des systèmes informatiques doivent être correctement entretenus pour garantir la disponibilité, l’intégrité et la confidentialité des informations.
Élimination ou recyclage sécurisé du matériel
Les composantes d’équipement contenant du stockage doivent être vérifiées pour s’assurer que toutes les données confidentielles et les logiciels sous licence ont été supprimés ou écrasés en toute sécurité avant leur élimination ou leur réutilisation.
Gestion des actifs
Les entreprises doivent mettre en œuvre des politiques de gestion des stocks pour assurer le suivi de leurs actifs, équipements et fournitures, et prévenir la perte ou le vol d’informations confidentielles. Ils peuvent également utiliser des étiquettes d’inventaire, des codes-barres ou des étiquettes d’identification par radiofréquence (RFID) pour identifier et suivre leurs actifs.
Planification d’intervention en cas d’incident informatique
La planification d’intervention en cas d’incident informatique consiste en une stratégie efficace de plusieurs actions à déployer face aux incidents, stratégie dans laquelle des ensembles de personnes, de processus et de technologies sont documentés, testés et formés en cas de violation de la cybersécurité ou de cyber intrusion. L’objectif de cette planification est de prévenir les pertes de données et d’argent en ciblant la reprise des opérations normales. Les organisations doivent intégrer dans leurs plans d’intervention en cas d’incident informatique des mesures proactives pour faire face aux incidents de sécurité physique tels que le vol, le vandalisme ou les catastrophes naturelles. Ces plans devraient inclure des procédures pour aviser les autorités concernées, évacuer le personnel et rétablir les opérations.
Prudence factuelle
La sécurité physique englobe la protection des personnes, des biens et des actifs physiques contre des actions et des événements qui pourraient résulter à des dommages ou des pertes. Même si elle est souvent négligée au profit d’autres volets de la cybersécurité, la sécurité physique est tout aussi importante sinon aussi primordiale que les autres contrôles de cybersécurité. Tous les pare-feux du monde ne peuvent pas vous aider si un cyberattaquant retire votre support de stockage de la salle de stockage
Tous les pare-feux du monde ne peuvent pas vous aider si un cyberattaquant retire votre support de stockage de la salle de stockage.
La complexification croissante de la sécurité physique grâce à des technologies telles que l’intelligence artificielle (IA) et l’Internet des objets (IoT) signifie que l’infrastructure informatique et la sécurité physique sont de plus en plus étroitement reliées et ainsi, de par ce fait, les équipes de sécurité physique et de cybersécurité doivent travailler ensemble afin de sécuriser à la fois les actifs physiques et numériques.
Recommandation pour la sécurité physique
La mise en œuvre des contrôles de sécurité physique est fondamentale pour que les entreprises puissent protéger leurs actifs et leur personnel contre les menaces physiques. Les entreprises doivent tenir compte de la sécurité physique dans leurs évaluations des risques et élaborer, en conséquence, des politiques et des procédures de sécurité physique et logiques pour les traiter.
Quelques resources en anglais
US government: Cybersecurity and Physical Security Convergence Action Guide
Special Publication 800-12: An Introduction to Computer Security: The NIST Handbook – Physical And Environmental Security
SANS Institue: Physical Security and Why It Is Important