Revue SMART DSI Connexion Newsletter
iTPro.fr

Actualités, Dossiers et Ressources IT Professionnelles - jeudi 25 avril 2024

> Sécurité > La sécurité physique, une question de bon sens ?

La sécurité physique, une question de bon sens ?

Sécurité - Par Arnaud Lorgeron - Publié le 15 décembre 2015
email

Comme chacun peut le constater tous les jours, la sécurité physique, celle des accès, est une priorité à ne surtout pas négliger. Que ce soit dans le domaine privé ou dans le monde professionnel, rares sont les coins où vous pourrez vivre en laissant la porte ouverte…

La sécurité physique, une question de bon sens ?

Concentrons-nous sur le monde de l’entreprise. Comment entrer dans les bâtiments ? Comment y circuler ? Comment en sortir ? Toutes ces questions doivent être posées et les réponses associées doivent bien sûr être formalisées en restant cohérentes avec un cadre pratique.

Périmètres de sécurité

D’emblée, la notion de périmètre de sécurité nous permet de rentrer dans le vif du sujet. Dans ce périmètre, l’entreprise se doit de retarder ou d’empêcher l’accès physique aux locaux, aux systèmes et aux informations par des acteurs non autorisés. La contrainte est perceptible et il ne s’agit donc pas d’oublier de maintenir la disponibilité des accès pour les acteurs légitimes !

Les périmètres de sécurité vont notamment vous permettre de définir des zones sensibles contenant vos systèmes vitaux. La protection des accès physiques devra y être suffisante pour répondre aux scénarios de menaces identifiés.

Sécuriser une entrée, c’est aussi contrôler l’accès physique des personnes et matériels aux différentes zones (en fonction de la sensibilité de ces zones). C’est une question de supervision de l’activité humaine puisqu’aucun passage ne doit être transparent.

Il va de soi que seules les personnes autorisées doivent pouvoir accéder aux zones sensibles. Le contournement du contrôle d’accès par une personne non autorisée devant par conséquent être détecté. En outre, les accès temporaires aux zones sensibles doivent être tracés.

Tout cela n’est que bon sens ? Oui, en partie. Et pour le confirmer, pour consolider et optimiser votre vision des choses, le bon sens veut aussi que vous documentiez la définition des périmètres à respecter.

Il vous faut distinguer les zones publiques, accessibles à tous, les zones privées, dont les accès sont limités, et les zones sensibles, dont les accès sont limités et contrôlés. Un plan incluant le marquage des zones et les différents moyens de contrôle devra être réalisé.

Entre zone privée et zone sensible

Pour accompagner votre réflexion, je vous rappelle ici ce qui est considéré comme zone privée et zone sensible. Sachant que le cloisonnement est de rigueur

Les zones privées sont à protéger contre les accès non autorisés. Pour ce faire, un contrôle d’accès doit être mis en place, basé sur la détention d’un secret (code d’accès par exemple) ou la détention d’un moyen (badge personnel par exemple).

L’aspect pratique se matérialisera par l’affichage aux entrées d’un avertissement relatif aux limites d’accès sur zone. En parallèle, des plages horaires d’accès devront être déterminées conformément aux besoins des intervenants. Pour contrôler l’ensemble, un dispositif de détection et de surveillance sera mis en place et opéré y compris en dehors des heures d’accès autorisées.

Pensez aussi aux exceptions ! Des mesures d’accès dérogatoires en cas d’urgence doivent être établies et documentées. Enfin, les visiteurs devront toujours être accompagnés lors de leurs accès tandis que les pièces inoccupées seront systématiquement verrouillées.

Les zones sensibles sont bien entendu elles-aussi à protéger contre les accès non autorisés, mais de façon renforcée via un contrôle d’accès à deux facteurs personnels. Dans le cas de la création d’une telle zone, vous pourrez réutiliser la même base que pour une zone privée.

Avertissement sur les limites d’accès, plages horaires d’accès, mesures dérogatoires, accompagnement des visiteurs… En outre, un système de vidéo-protection devra être adjoint aux dispositifs de détection et de surveillance. Ajoutons qu’il vous faudra organiser le contrôle mensuel des journaux des accès aux zones sensibles.

Voici le B.A.-BA, mais n’hésitez pas à optimiser et compléter les procédures relatives au travail en zone privée/sensible avant de les diffuser aux personnels concernés.

Procédures et outils

Parmi les différents éléments évoqués ci-dessus, nous venons de voir que les procédures doivent notamment distinguer employés et tiers. Les cas sont multiples : titulaires, intérimaires, stagiaires, partenaires, clients, fournisseurs, etc.

Vous devrez par exemple réfléchir à la nécessité ou non d’imposer l’émission d’un avis de visite anticipé grâce auquel vous demanderez à connaître par avance les informations principales du visiteur annoncé. Aide ou contrainte supplémentaire, de nombreux outils vont vous permettre de mettre en œuvre toutes les procédures soigneusement élaborées.

Le badge est un grand classique. Il est souvent multifonction (identification, accès, paiement…). Mais est-il bien utilisé ? Pour en tirer pleinement profit, il vous faut gérer des droits différenciés, imposer un port permanent, vérifier l’usage et empêcher la fraude. Ne croyez-vous pas qu’à notre époque il est devenu extrêmement facile de créer un badge ou d’en modifier un déjà existant (ré-encodage) ?

L’accès à un bâtiment, à un couloir, à une pièce, est protégé par un digicode ? Veillez bien à ce que la connaissance dudit code soit limitée aux seules personnes en ayant réellement besoin et qu’il soit régulièrement changé.

La vidéo-protection est un autre outil très présent. Particulièrement visibles à l’extérieur (protection périmétrique), les caméras s’installent de plus en plus en intérieur pour compléter les autres dispositifs de gestion des accès (protection en profondeur). Ne nous le cachons pas, la notion de « vidéo-surveillance » demeure et il vous faut obligatoirement savoir exploiter les images en direct ou a posteriori pour confirmer l’utilité de votre investissement. Pour plus de détails, vous pourrez vous reporter au guide proposé par l’ANSSI sur le thème « Sécurité des dispositifs de vidéo-protection ».

Comme d’autres, ces différents moyens ne peuvent se soustraire au cadre légal. La réglementation est très stricte, notamment sur les données personnelles, et vous devrez vous soumettre aux décisions de la CNIL. A ce propos, avez-vous un Correspondant CNIL au sein de votre entreprise ?

Ainsi, si vous envisagez la mise en œuvre d’un système biométrique, sachez que vous toucherez là le summum actuel en termes de complexité, non pas technique mais « humaine ». Il existe tellement de réticences que cette technologie n’est pas parvenue à s’imposer. Par exemple, j’ai encore récemment rencontré un cas où tout était prêt, avec même le matériel livré, mais où le projet a été abandonné au dernier moment pour calmer les craintes de certains personnels.

Quelques réactions

Dernière point, la réaction. J’englobe ici la réponse immédiate à un incident et la réponse a posteriori suite à la découverte d’une anomalie. Cette dernière implique une analyse préalable des traces : les logs, les vidéos… Il vous faut un plan ! Combien de temps allez-vous conserver ces traces, qui sera habilité à les exploiter, comment les exploiter au mieux ?

Un examen plus ou moins minutieux, peut-être en partie automatisé, vous conduira à déceler une activité suspecte ou à mettre le doigt sur un risque manifeste. Pour illustrer cela on peut penser à des accès en dehors des heures normales, des accès répétés à des zones habituellement sans trop d’activité, ou encore à des accès étrangement longs.

Anomalie avérée ou simple suspicion, il vous faudra agir en conséquence sur la base des éléments rassemblés. Prévenir une autorité interne et/ou externe, convoquer le « présumé coupable », revoir votre système pour l’améliorer ? Quoi qu’il en soit, tout doit être parfaitement légal, encadré à l’avance, et associé à la Direction et aux Ressources Humaines.

En fait, nous nous trouvons sur le terrain de la gestion d’incident. Il en va de même pour la réponse « réflexe » à donner à un incident immédiat. Avez-vous déjà pensé à votre réaction à la vue d’une personne « badgeant » sans succès avant de passer le tourniquet derrière quelqu’un d’autre voire de sauter par-dessus ? Vous courrez après, vous prévenez un gardien ?! Et ceci est valable pour la sortie avec quelqu’un qui passe en force avec un sac ou du matériel sous le bras…

D’où l’intérêt de l’anticipation, de la formalisation  de procédures, et de la rédaction de fiches réflexe présentant au moins les cas les plus probables.

En conclusion …

La sécurité physique, ce n’est pas si simple qu’il y paraît. En temps normal, tout semble aller au mieux dans le meilleur des mondes mais vous savez bien que notre monde est justement différent et qu’il faut donc être prêt à toute éventualité.

Si vous réfléchissez à votre cas particulier, si vous anticipez les imprévus, alors vous serez capable de préparer le terrain pour non seulement rentabiliser vos investissements sécuritaires mais aussi minimiser les risques et savoir gérer la plupart des événements.

Une dernière chose : les vérifications à l’entrée de votre société ont été récemment revues ? De deux choses l’une, soit le renforcement des contrôles à l’entrée des grandes entreprises et autres sites industriels est inutile, soit ces contrôles sont insuffisants en temps normal…

Téléchargez cette ressource

Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.

Sécurité - Par Arnaud Lorgeron - Publié le 15 décembre 2015
Découvrir tous les articles de la chaîne Sécurité

Les articles les plus consultés

A travers cette chaîne
A travers ITPro

Les plus consultés sur iTPro.fr

Sur le même sujet

Les 6 recommandations pour les RSSI

Les 6 recommandations pour les RSSI
Maintenez votre sécurité dans le temps

Maintenez votre sécurité dans le temps
Vol de propriété intellectuelle: détecter les copies de répertoires

Vol de propriété intellectuelle: détecter les copies de répertoires
Cybercriminalité : des attaques de plus en plus sophistiquées

Cybercriminalité : des attaques de plus en plus sophistiquées
Cybersécurité : Techniques de cartographie Active Directory avec BloodHound

Cybersécurité : Techniques de cartographie Active Directory avec BloodHound

A lire aussi sur le site

Teams Live Event: Kollective ou Microsoft ECDN ?

Diffuser de l’information en direct via Live Event est techniquement simple sauf si vous possédez un grand nombre d’utilisateurs. Cette diffusion peut se révéler catastrophique pour vos réseaux et plus particulièrement pour vos interconnexions internet.
Revue Smart DSI

La Revue du Décideur IT

Comment financer votre entreprise dans la deeptech ? 

Vous êtes une entreprise dans les deeptech et souhaitez maximiser vos financements ? Voici quelques sources qui pourraient grandement vous intéresser.

A la Une des Ressources IT

Inscrivez-vous !
Les mégatendances cybersécurité et cyber protection 2024

Les mégatendances cybersécurité et cy...

Découvrir Guide de technologie 5G pour l’entreprise

Guide de technologie 5G pour l’...

Découvrir Guide inmac wstore pour l’équipement IT de l’entreprise

Guide inmac wstore pour l’équipement ...

Découvrir Guide de Sécurité IA et IoT

Guide de Sécurité IA et IoT

Découvrir Préparer l’entreprise aux technologies interconnectées

Préparer l’entreprise aux techn...

Découvrir