LES DOSSIERS TECHNIQUES

Aider lauditeur pour les

revues de scurit physique

Octobre 2011

CLUB DE LA SECURITE DE LINFORMATION FRANAIS

11 rue de Mogador - 75009 Paris
Tl. : +33 1 53 25 08 80 Fax : +33 1 53 25 08 88
clusif@clusif.asso.fr www.clusif.asso.fr
La loi du 11 mars 1957 n'autorisant, aux termes des alinas 2 et 3 de l'article 41, d'une part, que les copies ou reproductions
strictement rserves l'usage priv du copiste et non destines une utilisation collective et, d'autre part, que les analyses
et les courtes citations dans un but d'exemple et d'illustration, toute reprsentation ou reproduction intgrale, ou partielle,
faite sans le consentement de l'auteur ou de ayants droit ou ayants cause est illicite (alina 1er de l'article 40)
Cette reprsentation ou reproduction, par quelque procd que ce soit, constituerait donc une contrefaon sanctionne par les
articles 425 et suivants du Code Pnal
Table des matires

Remerciements .......................................................................................................................... V
1. Introduction ......................................................................................................................... 6
2. Dfinitions........................................................................................................................... 7
3. Identifier les enjeux de la mission....................................................................................... 8
4. Dcrire les diffrents types daudit.................................................................................... 10
5. Dterminer le profil des auditeurs ..................................................................................... 11
6. Dterminer les rfrentiels ................................................................................................ 12
7. Organiser laudit................................................................................................................ 13
7.1 Documents demander au pralable........................................................................... 13
7.2 Personnes rencontrer et agenda ................................................................................ 14
7.3 Quel primtre ? .......................................................................................................... 14
7.4 Quelle dure ?.............................................................................................................. 14
7.5 Missions de lauditeur ................................................................................................. 14
7.5.1 Organiser la runion de lancement ....................................................................... 14
7.5.2 Prendre connaissance (interviews et documentation)........................................... 14
7.5.3 Raliser les contrles............................................................................................ 15
7.5.4 Rdiger le rapport................................................................................................. 15
8. Guide daudit..................................................................................................................... 16
8.1 Risques environnementaux et naturels ........................................................................ 17
8.1.1 Voisinage.............................................................................................................. 17
8.1.2 Risques naturels.................................................................................................... 18
8.2 Contrle des accs et intrusion.................................................................................... 21
8.2.1 Priphrie ............................................................................................................. 21
8.2.2 Primtrie ............................................................................................................. 21
8.2.3 Btiment ............................................................................................................... 23
8.2.4 Salles scurises ................................................................................................... 24
8.2.5 Servitudes ............................................................................................................. 25
8.3 Incendie ....................................................................................................................... 27
8.3.1 Prvention............................................................................................................. 27
8.3.1.1 Environnement du site protger.................................................................. 27
8.3.1.2 Type de construction des btiments .............................................................. 27

Aider lauditeur pour les III / 36 CLUSIF 2011

revues de scurit physique
 8.3.1.3 Compartimentage .......................................................................................... 27
8.3.1.4 Stockage des matires ou liquides inflammables .......................................... 28
8.3.1.5 Locaux spcifiques ........................................................................................ 28
8.3.1.6 Tenue des locaux ........................................................................................... 28
8.3.1.7 Travaux.......................................................................................................... 28
8.3.1.8 Protection contre la foudre ............................................................................ 28
8.3.2 Dtection incendie................................................................................................ 29
8.3.3 Extinction incendie............................................................................................... 29
8.3.3.1 Locaux sous extinction automatique dincendie ........................................... 29
8.3.3.2 Moyens de secours ........................................................................................ 29
8.3.3.3 Dsenfumage ................................................................................................. 30
8.3.3.4 Maintenance des quipements de lutte contre le risque dincendie .............. 30
8.3.3.5 Formations..................................................................................................... 30
8.3.3.6 Asservissements ............................................................................................ 30
8.4 Dgts des eaux ........................................................................................................... 31
8.5 Servitudes .................................................................................................................... 32
8.6 Gestion ........................................................................................................................ 32
8.6.1 Questions poser ................................................................................................. 32
8.6.2 Conclusion de lauditeur sur la gestion de la scurit .......................................... 33
9. CONCLUSION ................................................................................................................. 34

Aider lauditeur pour les IV / 36 CLUSIF 2011

revues de scurit physique
REMERCIEMENTS

Le CLUSIF tient mettre ici l'honneur les personnes qui ont rendu possible la ralisation de
ce document, tout particulirement :
La responsable du groupe de travail :

Muriel COLLIGNON IBM

Les contributeurs :

Jean-Franois CAPELLE UTE

Philippe LARUE CBP

Denis MANGIN France Telecom

Laurence MARCHAL France Telecom

Nous remercions aussi les nombreux adhrents du CLUSIF ayant particip la relecture.

Aider lauditeur pour les V / 36 CLUSIF 2011

revues de scurit physique
 1. Introduction
Ce document est destin tous les auditeurs dsirant mener un audit de scurit physique dans
les domaines de lincendie, de lintrusion, des risques de voisinage, et des risques lis aux
vnements naturels ou environnementaux.
Le document est compos de huit parties. Aprs lintroduction (paragraphe 1), le second
paragraphe donne quelques dfinitions.
Les paragraphes trois, quatre, cinq et six identifient les enjeux de la mission, dcrivent les
diffrents types daudit, prcisent le profil des auditeurs et dcrivent les diffrents rfrentiels
sur lesquels peut se baser laudit.
Lobjectif du septime paragraphe est de fournir aux auditeurs un guide mthodologique pour
les aider mener des audits de scurit physique. Le groupe de travail a class par thme les
questions poser ainsi que les conclusions tirer face chaque problmatique de scurit.
Quant au huitime paragraphe, il est un guide dorganisation de laudit (comment organiser
les entretiens, comment prsenter le rapport daudit)
Ce document est une aide lauditeur.
Il ne se veut pas exhaustif mais est crit en mlant les diverses expriences des participants au
groupe de travail.

Aider lauditeur pour les 6 / 36 CLUSIF 2011

revues de scurit physique
 2. Dfinitions
Les dfinitions ci-dessous sont issues de la norme ISO/IEC 19011 et sadaptent parfaitement
aux audits de scurit physique.

Auditeur
Personne ayant la comptence pour conduire un audit.

Audit
Processus systmatique, indpendant et document pour obtenir les preuves et les valuer
objectivement pour vrifier si les critres de laudit sont respects.

Note : les audits internes (ou revues) sont conduit(e)s par ou sous la responsabilit de
lorganisation elle-mme pour des revues de management ou autres besoins internes et
constituent les auto-valuations pour les dclarations de conformit. Dans la plupart des cas,
dans les petites organisations, lindpendance peut tre dmontre par le fait que lauditeur
nest pas responsable de lactivit audite.

Comptence
Qualits personnelles et capacit dmontre appliquer des connaissances et des aptitudes.

(Source : ISO/IEC 19011 : Guidelines for quality and/or environmental management systems auditing)

Aider lauditeur pour les 7 / 36 CLUSIF 2011

revues de scurit physique
 3. Identifier les enjeux de la mission
Le mandataire dune mission daudit doit prciser aux auditeurs quels sont les enjeux et les
objectifs de laudit. Un audit est ralis essentiellement pour aider amliorer les processus.

Quels enjeux ?
Les enjeux seront dfinis en termes :
de stratgie dentreprise (aspects conomiques, assurance, infogrance, etc.),
de conformit aux nouvelles lgislations,
de matrise des risques,
dobjectifs de certification,
de restructuration,
de continuit dactivit,
etc.

Quels objectifs ?
Les objectifs doivent tre clairement identifis par le mandataire :
Conformit par rapport un ou plusieurs rfrentiels:
la lgislation,
la rglementation,
un standard,
un rfrentiel interne,
des exigences contractuelles
etc.
Faisant suite :
une demande du management (valuation du niveau de matrise, de lefficacit des
mesures, de leur robustesse et de leur efficience),
une volution du rfrentiel,
un incident,
une restructuration,
une demande daudit externe (commissaires aux comptes, clients, organismes de
contrle, etc.),
etc.
Dans le cadre :
dun nouveau projet,
dun schma directeur,
dun tat des lieux,
dune tude scurit,

Aider lauditeur pour les 8 / 36 CLUSIF 2011

revues de scurit physique
 de sensibilisation,
dun plan de prvention,
du plan daudits internes ou externes,
etc.
Enfin, le primtre doit tre dfini prcisment car il peut avoir une influence sur les profils
des auditeurs et les rfrentiels qui seront utiliss.

Aider lauditeur pour les 9 / 36 CLUSIF 2011

revues de scurit physique
 4. Dcrire les diffrents types daudit
Plusieurs types daudit peuvent tre mens. Tandis que les uns peuvent tre internes (du mme
service, dun autre dpartement voire dun autre pays), dautres peuvent tre externes
(autorits, clients, prestataires indpendants externes, etc.)
Les audits simples sont consacrs une visite rapide des installations et lanalyse
documentaire, compltes par la prparation et le rapport hors site avec tests et contrles
rapides.
Les audits approfondis sont mens avec une visite complte des installations et analyse
documentaire, compltes par la prparation et le rapport hors site avec ralisation de tests
et de contrles.
Selon les entreprises, des programmes daudits sont labors et valids par le Comit de
Direction.
Les parties (audits et auditeurs) se mettent daccord sur les risques et responsabilits lis
laudit (choix des techniques, choix du primtre, etc.) et prcisent les aspects logistiques de
laudit (documents, changes auditeurs/audits, etc.).
Par ailleurs :
Des revues peuvent tre galement ralises par le RSSI titre de vrification ou de pr-
audit (auto-valuation). Elles ne sont pas forcment ralises par un auditeur
professionnel.
Tout audit est bas sur des constats dcarts entre ce qui est constat et analys et les
exigences du rfrentiel de laudit. Un audit ne fournit jamais de jugement de valeur, nest
que factuel et sappuie sur les constats.

Aider lauditeur pour les 10 / 36 CLUSIF 2011

revues de scurit physique
 5. Dterminer le profil des auditeurs
Le profil minimum que doit avoir un auditeur :
Avoir le niveau de formation ncessaire : comptences en tant quauditeur, comptences
dans les diffrents domaines de la scurit physique.
Eviter les conflits dintrts et sastreindre au secret professionnel (dontologie).
Choisir les quipes dauditeurs (au moins un expert du domaine et un auditeur confirm).
Etre pdagogue
Avoir les habilitations supplmentaires requises (exemple : lectrique H0-B0).
Etc.
La conduite daudit ncessite les qualits humaines requises en management :
Qualit dcoute.
Gestion du temps.
Comptences de conduite dentretiens et de runions.
Curiosit.
Force de conviction, mise en confiance, voire talent de ngociation.
Gestion du stress, de la pression et des conflits.
Etc.
Les contraintes de temps et la non-coopration ventuelle de certains audits imposent de
telles qualits relationnelles et professionnelles.

Aider lauditeur pour les 11 / 36 CLUSIF 2011

revues de scurit physique
 6. Dterminer les rfrentiels
Le rfrentiel est dtermin en accord avec le mandataire qui doit prciser quelles sont les
exigences de son entreprise.
Le rfrentiel est, la plupart du temps, lun des rfrentiels normatifs (type ISO), techniques,
rglementaires et lgislatifs ou les rfrentiels des assureurs mais il peut aussi tre propre
lentreprise.
Lauditeur doit, avant toute chose, prendre connaissance du rfrentiel et lintgrer dans sa
mthode daudit.
Quelques exemples de rfrentiels, une liste plus complte est fournie en annexe du document
Salles Serveurs Scurises, Critres et Contraintes de Conception publi par le Clusif.
Lois et rglements (Code du Travail, ERP (Etablissements recevant du public), IGH
(Immeuble de Grande Hauteur), Sarbanes-Oxley, etc.).
ISO/IEC 27002 - ISO/IEC 27001.
ISO/IEC 14001.
PCI (Payment Card Industry).
Rfrentiel de mthode danalyse de risques (EBIOS, Mhari, Octave, Cram, etc.).
Standards mtier.
Rglement interne et politique de scurit de lentreprise.
Rfrentiels stipuls dans le contrat sil sagit dun audit externe.
Etc.

Aider lauditeur pour les 12 / 36 CLUSIF 2011

revues de scurit physique
 7. Organiser laudit
Avant de commencer un audit, lauditeur doit se renseigner sur les conditions daccs au site
(engagement de confidentialit, habilitations diverses, demande daccs pralable, lettre de
mission, contrat).
Conseil : Il est souhaitable pour un auditeur de demander un interlocuteur privilgi sur le site
audit, qui sera le facilitateur pour la prise de rendez-vous et les autorisations daccs. Il sera
utile pour prciser le nom des personnes rencontrer, selon la taille du site, prvoir une demi-
journe ou une journe.
Il est fortement recommand de raliser les audits deux auditeurs :
Pour recouper les constats et les rponses
Pour optimiser le temps pendant les visites
Pour se rpartir les tches ( tour de rle, un conduit lentretien, lautre prend les notes)
Pour assurer une formation continue des juniors (associer de prfrence un junior et un
senior)
Pour la rdaction du rapport

7.1 Documents demander au pralable

La plupart du temps les documents seront consulter sur place. Quels sont les documents
demander ( consulter sur place, en avance de phase, etc.)
Les plans de masse, cblage, dispositif du systme de scurit incendie, camras, etc.
Les procdures : contrles daccs, traitement des alarmes, consignes de scurit (aux
gardiens et au personnel, gestion des media, gestion des cls, procdures de revalidation
des accs, suivi des capacits (lectrique, frigories, faux plancher (poids support),
gestion des incidents, etc.
Les contrats de maintenance et compte rendu de visite, agenda annuelle des visites de
maintenance
Les autres documents : rsultats de tests, registre de scurit, main courante du PC
scurit, certificats de conformit, rsultats de ventitest , politique de scurit, les
rsultats daudits prcdents, le suivi des plans daction, des comptes rendus de runion
de suivi, historique des incidents, suivi de la capacit de la salle (mtres carrs, nergies
lectriques et frigoriques).
La liste des personnes habilites (lectricit, incendie, secourisme)

Aider lauditeur pour les 13 / 36 CLUSIF 2011

revues de scurit physique
7.2 Personnes rencontrer et agenda
Qui aller voir ?
Choix des personnes, galement lexcutant et pas uniquement les responsables.
Le chef de centre qui est linterlocuteur privilgi et qui va demander ses quipes de bien
rpondre aux auditeurs, les responsables des salles, les responsables des servitudes, des
contrles daccs, de lincendie, du PC Scurit, etc.
Faire un tableau : interlocuteur, thmes, lieu et heure de RDV, n tlphone et email fournir
lorganisateur des entretiens (qui peut tre lauditeur lui-mme).
Avoir un interlocuteur unique qui organise les rendez-vous, qui rcupre les documents et
les preuves demands.
locaux visiter (nature, besoin dhabilitation (dfense, lectrique, etc.))
autorisations en particulier pour les tests ou les photographies
quipements ncessaires (EPI: Equipements de protection individuelle)

7.3 Quel primtre ?

Lensemble du site, le btiment, une activit, une ou plusieurs salles, les servitudes, contrles
daccs, incendie, dgts des eaux, ICPE (installations Classes pour la Protection de
lEnvironnement), ERR (Etablissements Rgime Restrictif), PIV (Point dimportance
vitale), pollution, courrier risques, etc.

7.4 Quelle dure ?

Selon le degr de granularit, le primtre, le nombre dentretiens et de contrles, la
disponibilit des intervenants, etc.
La dure dun audit de scurit physique peut aller dune demi-journe une semaine.

7.5 Missions de lauditeur

7.5.1 Organiser la runion de lancement

Pendant cette runion, prciser le primtre, les personnes rencontrer, linterlocuteur
privilgi qui facilitera les prises de rendez-vous et la communication des documents.

7.5.2 Prendre connaissance (interviews et documentation)

du rapport prcdent ou au moins des plans daction ou des recommandations
de lexistant
des consignes
des dispositifs techniques
de la politique

Aider lauditeur pour les 14 / 36 CLUSIF 2011

revues de scurit physique
 7.5.3 Raliser les contrles
Tests (intrusion, techniques, portes ouvertes, raction des alarmes, camras : demander
se voir sur le film)
Vrification du bon fonctionnement des camras (lauditeur peut demander voir la
portion de film o il se trouve => lauditeur doit noter lheure de son passage devant une
camra)
Vrifier le positionnement des quipements de dtection (incendie, prsence, intrusion,
etc.)
Test de portes ouvertes ; test de fentres ouvertes
Test dintrusion, test de dtecteurs ;
Noter la raction aprs les tests => que se passe-t-il ?
Vrification de ltat des actions du plan dactions.
Contrles des faux planchers (propret, terre, dtection)
Contrle du cloisonnement (rebouchage des trmies, passage par le faux plancher et le
faux plafond, tanchit, ouvertures des fentres dans les salles sous extinction.)
Contrle de laffichage des consignes.
Analyse des rapports
Analyse des registres
Existence et contenu des documents de conformit ou de maintenance
Existence et la connaissance des documents valides
Bon fonctionnement des dispositifs et des procdures => Preuves Comment recueillir les
preuves ?
Revue de la main courante du PC scurit
Vrification de laccessibilit des extincteurs.
Vrification de laccessibilit des boutons de sorties.
Faire constater par laudit
Faire valider le CR dentretiens (ventuellement)

7.5.4 Rdiger le rapport

Dans le rapport, lauditeur devra faire apparatre les constats, les points forts, les points faibles
et mettre des recommandations
Constats
Points forts
Points amliorer
Recommandations
Plan daction
Propritaire de laction
Date de fin
Faire valider le rapport final

Aider lauditeur pour les 15 / 36 CLUSIF 2011

revues de scurit physique
 8. Guide daudit
Eventuellement, laudit peut se drouler partir de questionnaires existants en fonction du
type daudit raliser : Mhari, contrle interne, issus des normes, issus de la rglementation,
etc.
Plan du guide
Grands thmes de mtiers
Risques environnementaux et naturels
Voisinage
Risques naturels
Contrle des accs et intrusion
Priphrie
Primtrie
Btiment
Salles scurises
Servitudes
Incendie
Prvention incendie
Environnement du site protger
Type de construction des btiments
Compartimentage
Stockage des matires ou liquides inflammables
Locaux spcifiques
Tenue des locaux
Travaux
Protection contre la foudre
Dtection incendie
Extinction incendie
Locaux sous extinction automatique dincendie
Moyens de secours
Dsenfumage
Maintenance des quipements de lutte contre le risque dincendie
Formations
Asservissements
Dgts des eaux
Dtection dhumidit
Joints de dilatation
Etanchit des terrasses

Aider lauditeur pour les 16 / 36 CLUSIF 2011

revues de scurit physique
 Etanchit gnrale du btiment
Risques lis limplantation des quipements.
Servitudes
Electricit (courant fort et courant faible)
Climatisation
Fluides
Gestion
Organisation
Moyens
Gestion des alarmes,
Procdures (alarmes, accs, comportement, etc.)
Installation et maintenance des quipements
Gestion des schmas dinstallation

8.1 Risques environnementaux et naturels

8.1.1 Voisinage
Il sagit de lenvironnement du site audit et qui concerne lensemble du site (le terrain, le toit,
les murs, les voisins, le sous-sol).
Dterminer de quel type de voisinage il est question :
Sites industriels risques (Seveso (plan de prvention vis--vis des voisins ?), ICPE
(Installation Classe pour la Protection de lEnvironnement), etc.).
Aroports : le site est-il sur la trajectoire des pistes ?
Fumes diverses issues du voisinage immdiat voire interne (dans ce cas, ne pas oublier
de prendre en compte la direction des vents dominants).
Question poser :
Y a-t-il eu une analyse de risques pralable limplantation du site ?
Si oui, pouvons-nous voir le rapport ?
Quelles sont les observations visuelles de lauditeur ?
Proximit de zones criminognes = > Question ou observation visuelle de lauditeur.
Connaissez-vous les types dactivits des entreprises voisines ?
Conclusion de lauditeur :
Quelle est ladquation entre les dispositifs de scurit mis en uvre et les risques constats ?

Aider lauditeur pour les 17 / 36 CLUSIF 2011

revues de scurit physique
 8.1.2 Risques naturels
De nos jours, partir de la simple adresse postale du site auditer, lauditeur peut facilement
obtenir sur Internet des informations sur les risques du voisinage immdiat.
Attention, ces informations doivent tre recoupes et vrifies sur place soit avec les audits,
soit par une recherche locale (ex : en mairie).
Elles permettent dliminer certains risques ou au contraire de dcouvrir de possibles risques
approfondir. Sil y a eu une analyse de risques environnementaux, ces risques ont
gnralement t identifis et figurent dans le rapport fourni (cf. prcdent).
Question poser :
Avez-vous ralis ou fait raliser une analyse de risques environnementale ?
Par exemple.
Le risque naturel dinondation.
Le risque dexposition naturelle la foudre.
Le risque sismique.
Le risque volcanique (proche, consquences indirectes, etc.)
Le risque Seveso.
Le risque nuclaire.
Le risque li aux temptes.
Le risque li la nature du voisinage.
Le risque li un sous-sol instable.
En voici quelques exemples imaginaires illustrs.

Aider lauditeur pour les 18 / 36 CLUSIF 2011

revues de scurit physique
Nous pouvons observer sur la carte suivante que la SIQ (Socit Imaginaire de Quimper) nest
pas inondable car situe sur un promontoire naturel :

SIQ

Figure 1 : Source : http://www.cartes-topographiques.fr/

Aider lauditeur pour les 19 / 36 CLUSIF 2011

revues de scurit physique
Nous pouvons observer sur la carte suivante que la SIN (Socit Imaginaire du Nord) est
situe dans une zone de sismicit ngligeable :

SIN

Figure 2 : Carte franaise de lexposition au risque sismique (source prim.net)

Ces recherches doivent tre faites avant laudit.

Conclusion de lauditeur : Le site est-il sensible aux risques naturels ? et si oui, les mesures
de scurit ont-elles t prises en compte ?

Aider lauditeur pour les 20 / 36 CLUSIF 2011

revues de scurit physique
8.2 Contrle des accs et intrusion

8.2.1 Priphrie
En arrivant, lauditeur fait le tour du site pour identifier les protections physiques mises en
place (grillage, murs, concertinas, chemins de ronde (chiens), haie, plots anti-camions, foss,
accs sous-sol, accs terrasse, etc.), pour valuer les vulnrabilits lies au voisinage et
effectuer les premiers constats.
Pour chaque test effectu, noter lheure du test (utilisation ultrieure cf. Poste de garde)
Questions complmentaires poser au fur et mesure de la visite :
Quelles sont la hauteur et la qualit de la clture, nombre de camras (vrification
postrieure des crans de contrle), efficacit du portail (piton, vhicules, livraison,
personnel/visiteur y compris les flux associs)
O se trouvent les arrives des servitudes (nergie, tlcommunication, eau, cuves de
fuel, gaz, etc.) ?
Quel type dclairage lextrieur (gestion, sur intrusion)?
Quels sont les horaires dactivit des mesures de contrles (ex. H24 ? heures ouvres ?) ?
O se trouvent les cbles dans le sol ?
Vgtation ?
Frquences des rondes ?
Noter lheure de passage devant les camras (pour vrifier ultrieurement les films)
Conclusions de lauditeur concernant la priphrie.
La priphrie du site est-elle protge en fonction des risques identifis ? Quelles sont les
brches de scurit identifies ? Les mesures de scurit mises en place sont-elles en
adquation avec les risques identifis ?

8.2.2 Primtrie
Pendant le tour extrieur du site, lauditeur observe les mesures de contrle associes au
btiment (camra, barrires infrarouges, les ouvrants (portes, fentres, etc.), laccs au toit, la
structure du btiment, protection immdiate du btiment (plots anti-camions, herse, etc.)
Questions poser :
Comment sont protgs les ouvrants ? Vrifier la cohrence de la protection. Quel est le
matriau utilis pour les fentres, (verre blind, verre simple, barreaudage, etc.), les
volets, les murs (bton, pierre, brique, etc.)
Quelle protection pour les accs par le toit (skydmes, etc.) et par les sous-sols
(barreaudage, trappes verrouilles, des dispositifs anti-intrusion)?
Demander quelles sont les entres sur lextrieur : entre du personnel, entre des
visiteurs, les zones de chargement/dchargement ; les issues de secours, autres portes
donnant sur lextrieur.
Vrifier sil y a des portes maintenues ouvertes indment.
De mme noter lheure des tests raliss.
Quelles sont les vrifications faire concernant les contrles daccs ?

Aider lauditeur pour les 21 / 36 CLUSIF 2011

revues de scurit physique
 Observer le comportement de laccueil (comment est fait le contrle de laccs, comment
est vrifi lidentit de la personne (visiteur, employ, livreurs, dans un vhicule, sous-
traitants, dpannage durgence, services de ltat, pompiers, etc.)
Quels sont les dispositifs de contrles daccs ? (contrles daccs par badge ou par
biomtrie, sas, tripode, carrousel, test unipersonnel, vidophone, etc.)
Quelles sont les consignes et les procdures (attribution dun badge (vrifier les
consignes), prennent-elles en compte les diffrentes autorisations daccs (personnels
permanents, visiteurs, prestataires, livreurs, services dintervention et services de ltat,
revalidation des accs, invalidation des accs, urgence, maintenance, dfaillance,
asservissements la dtection incendie, etc.)
Demander le cheminement de la demande daccs des auditeurs, les profils de badges,
vrifier si la procdure a t suivie
Demander consulter les consignes (en particulier celles des agents de scurit au
moment de la visite du poste de garde) et les procdures de contrles daccs.
Observer et poser quelques questions pour vrifier lapplication des consignes ou des
procdures fournies.
Lauditeur reoit-il un document prcisant les mesures de scurit respecter et la
conduite tenir en cas dvacuation durgence ?
Demander si le systme de contrle daccs est asservi la dtection incendie (options :
tout souvre ? tout reste en ltat ? contrles particuliers (ex. ajout de personnel) ?)
Conseil : demander visiter le poste de garde, gnralement aprs la ralisation de tous
les tests afin dobtenir les preuves des actions ralises pendant les tests.
Demander le cahier de maintenance des quipements de contrles daccs, et quels sont
les protections de ces dispositifs contre les interruptions de courant (circuit indpendant ?
batteries ou onduleur associs ?) et contre la malveillance en cas daccs la base des
donnes associe.
Le niveau de dtail des questions dpend du temps prvu et des objectifs de laudit.
Quels sont les dispositifs anti-intrusion ?
Camras, dtecteurs de prsence ou de mouvements, dtection douverture de fentre ou
de portes, dtection de bris de glace, barrires infrarouges, rayons dtecteurs, chiens, etc.
Demander les heures o ces dispositifs sont actifs et le traitement des alarmes qui en
dcoule.
Quelles sont les prcautions prises en cas de travaux ?
Comment sont faites les revalidations daccs ? quelle frquence ?
Demander lors de la visite du poste de garde consulter les films o se trouvent les auditeurs
(ne pas oublier de noter les heures de passage pour vrification).
En effet, la lgislation franaise interdit de visionner les films lis des contrles daccs
montrant dautres personnes que soi-mme.
Demander le cahier de maintenance des dispositifs anti-intrusion, et quelles sont les
protections de ces dispositifs contre les interruptions de courant (circuit indpendant ?
batteries ou onduleur associs) et la malveillance, de la base de donnes associes. Demander
quelle formation ont les agents de scurit ?

Aider lauditeur pour les 22 / 36 CLUSIF 2011

revues de scurit physique
Conclusions de lauditeur concernant la primtrie.
La primtrie est-elle protge en fonction des risques identifis ? Quelles sont les brches de
scurit identifies ? Les mesures de scurit mises en place sont-elles en adquation avec les
risques identifis ?

8.2.3 Btiment
Au moment dentrer, vrifier quels sont les contrles (camra, dtecteur de prsence,
demande de papier didentit, prsence humaine ou non, procdure daccueil des visiteurs).
Vrifier pour, chaque zone, la prsence ou non de sas. Demander consulter les plans de
zonage. Vrifier la prsence des plans dvacuation jour. Vrifier les chemins de circulation
(prsence ou non de circuit de notorit).
Vrifier les portes : portes coupe-feu, portes scurises non bloques intempestivement, issues
de secours non accessibles depuis lextrieur (dtecteur douverture), portes avec contrles
daccs (cl, digicode, badge, contrle biomtrique)
Questions poser
Quel est lorganigramme de gestion des cls, quelles sont les consignes ?
O sont les boites cls, comment sont-elles gres et accdes ? Qui dtient les passes ?
Quelle est la frquence du changement des digicodes, comment est communiqu le code et
qui ? Sait-on qui a le code linstant t ?
Y a-t-il un responsable de chaque zone contrle ? Comment sont faites les
revalidations daccs?
Quelles sont les protections propres aux issues de secours ? En particulier celles qui donnent
sur lextrieur ?
Faire les tests de porte ouverte (pour celles devant rester fermes) et noter lheure douverture.
Noter les heures de passage devant les camras. Vrifier les grooms, les gonds.
Pendant la visite :
Le port du badge est-il obligatoire ? si oui, observer si la consigne est respecte (Cf.
Procdures)
Au passage observer o sont les camras ? les dtecteurs de prsence ? les dtecteurs
incendie (existence ? emplacement ?), les dtecteurs de contrle de lair (Temprature,
hygromtrie) ? les extincteurs mobiles ?
Identifier les lieux de stockage de matriaux combustibles et plus gnralement la
prsence de cartons, papier, matires inflammables dans des endroits inadapts. (Cf.
Scurit incendie)
Poste de garde
Quelle est la localisation du poste de garde ? Sa protection : Contrle daccs, vitres
scurises ? Dispositif dalerte ? Dispositif protection de travailleur isol ?
Quelle est la formation des gardiens ? Quels sont les moyens leur disposition (plans,
consignes, outils informatiques ? etc.)
Comment sont traites les alarmes ? Comment se fait la leve de doute ?

Aider lauditeur pour les 23 / 36 CLUSIF 2011

revues de scurit physique
Les rseaux dalarmes sont-ils scuriss (accs, rseau ddi, rseau secouru ?) Existe-t-il un
systme de tlsurveillance interne ou sous-traite ? Dlai de raction des intervenants (en
local, tlsurveillance, etc.) ? Dlai dintervention des autorits (pompiers, police, etc.) ?
Comment est fait laccueil (liste pralable ? consignes aux visiteurs ? aux permanents ? la
gestion des badges ? la gestion des cls ?)
Existe-il une main courante ? Comment sont passes les informations au changement de
gardien ?
A la suite de la visite
Demander rencontrer la personne capable de montrer lhistorique des alarmes et des films
concernant la priode de test des auditeurs pour vrifier les rsultats des tests faits pendant la
visite des locaux (remontes dalarmes, les films o se trouvent les auditeurs)
Conclusions de lauditeur concernant la visite
Le btiment est-il protg en fonction des risques identifis ? Quelles sont les brches de
scurit identifies ? Les mesures de scurit mises en place sont-elles en adquation avec les
risques identifis ?

8.2.4 Salles scurises

Discrtion
Noter les points suivants
La salle des serveurs est-elle signale de faon trop voyante ? (panneaux)
La mdiathque est-elle signale de faon trop voyante ? (panneaux)
Les faades vitres donnent-elles sur une rue passante ?
Y a-t-il un vis--vis qui permettrait de voir depuis lextrieur une partie de la salle ?
Protection extrieure
A vrifier pendant la visite :
La salle des serveurs a-t-elle un mur donnant sur lextrieur ou est-elle compltement
lintrieur du btiment ? A quel tage est situe la salle des serveurs ? Est-elle accessible
directement de lextrieur ?
Lenceinte de la salle des serveurs est-elle robuste vis--vis dune tentative deffraction et
de dgradation ? (en fonction de sa situation dans le btiment : solidit des murs et de la
porte, blindages, volets, barreaux, vitrage de scurit, limitation des ouvertures, protection
des bouches daration, y a-t-il continuit de faux plafond ou faux planchers du vrai sol au
vrai plafond ?
Cloisonnement lintrieur de la salle ? (plusieurs clients ou applications sensibles
sparer du reste de la salle)
Comment est protge la salle serveurs hors horaires de bureau ? (rondes, tlsurveillance,
)
Comment sont protges les ouvertures ? Les portes possdent-t-elles un ferme-porte
(groom) efficace ? Les issues de secours sont-elles protges et sous alarme ?
Quel est le type daccs ? (cl, digicode, badge, biomtrie, sas)
En cas de coupure dalimentation lectrique, le systme de contrle daccs est-il
secouru ?

Aider lauditeur pour les 24 / 36 CLUSIF 2011

revues de scurit physique
 Quelle est la procdure daccs dgrade en cas de panne lectrique prolonge ou panne
lectronique du systme de contrle daccs ?
Le systme de contrle daccs est-il asservi la dtection incendie ? (dcrire comment :
portes extrieures ? intrieures ? mesures de scurit associes ?)
Politique de gestion des accs
Poser les questions et demander consulter les procdures et vrifier leur application.
Qui a accs et quand ? Quelle est la politique dattribution des accs (permanents,
visiteurs, sous-traitants, urgence) ? Quelle est la procdure associe (attribution,
restitution, revalidation, perte, traabilit) en fonction du type de contrle daccs ?
(badges, codes, cls, biomtrie, sas...)
Demander consulter la liste nominative des personnes ayant laccs.
Porter une attention particulire au personnel non permanent.
Demander voir les journaux du systme de contrle daccs.
Protection intrieure
Quelles sont les technologies de dtection utilises ? (camras, dtecteur de prsence,
dtecteur de vibrations ou choc, dtecteurs de bris de glace)
Les dtecteurs dintrusion sont-ils positionns de faon couvrir tout le primtre
protger (angles morts) ?
Ces dtecteurs dclenchent-ils une alarme (dcrire le type dalarme) ?
Comment est traite lalarme ?

8.2.5 Servitudes
Les servitudes concernent tout ce qui sert faire fonctionner le site :
Alimentation lectrique.
Alimentation tlcom.
Climatisation.
Arrive deau.
Arrive des diffrents fluides.
Pendant la visite vrifier :
Comment sont protgs les locaux techniques (local transformateur, les locaux abritant les
groupes lectrognes, les tableaux gnraux basse tension (TGBT), local onduleurs, local
batterie)
Accs ? quel type daccs ? qui a accs ?
Protection contre lintrusion ?
Protection et dtection incendie ?
Dtection deau ?
Protection contre le sabotage ?
Comment sont protgs les arrts durgence ?
O sont situes les arrives lectriques, tlcommunications, eaux ? Comment sont-elles
protges ? Sont-elles redondantes ?

Aider lauditeur pour les 25 / 36 CLUSIF 2011

revues de scurit physique
 Vrifier les chemins de cbles ? O sont-ils ? Comment sont-ils protgs ? Sont-ils
facilement accessibles ?
La situation par rapport aux salles serveurs ? Spare ? Flux de circulation entre la
maintenance des quipements techniques et la gestion des salles ?
Conclusions de lauditeur concernant les locaux abritant les servitudes
Les locaux sont-ils protgs en fonction des risques identifis ? Quelles sont les brches de
scurit identifies ? Les mesures de scurit mises en place sont-elles en adquation avec les
risques identifis ?

Aider lauditeur pour les 26 / 36 CLUSIF 2011

revues de scurit physique
8.3 Incendie

8.3.1 Prvention

8.3.1.1 Environnement du site protger

Lenvironnement du site peut tre gnrateur dincendie, il faut donc :
Observer la distance de stationnement des vhicules par rapport au btiment.
Noter la distance approximative.
Vrifier que le stationnement dun vhicule ne se situe pas au droit dune bouche de
ventilation.
Questions poser pour analyser le risque de voisinage :
Qui sont les voisins, quelles sont leurs activits (risques par rapport lincendie et
lexplosion), (ex. aroports, usines risques)
Se renseigner sur les sites Seveso et ICPE alentours.

8.3.1.2 Type de construction des btiments

Poser des questions concernant le type de construction :
Quel est le type de construction des btiments ? En bardage double peau avec une me en
matriau combustible ? en parpaing ? Type entrept ? autres ?
Quelles sont les protections incendies ?
Vrifier la distance entre deux btiments (pour viter la propagation entre deux
btiments) [exp. 8m (rglement du 25/06/1980 et code de la construction applicable aux
ERP), 10m (APSAD, INRS), plus pour les sites risque (normes Atex,)]

8.3.1.3 Compartimentage
Vrifier si la propagation du feu est encourage, en posant les questions :
Quelle est la rsistance au feu des cloisons et portes ?
Quelle est la nature des revtements ?
Le recoupement des locaux est-il assur du plancher bas au plancher haut de la structure
du btiment ?
Les portes coupe-feu sont-elles fermes (pour celles qui doivent tre maintenues
fermes) ?
Quelle est la nature des matriaux des gaines ?
Les trmies sont-elles rebouches au moyen du produit adapt ?
Pendant la visite, vrifier que tous les passages de cbles ou autres sont rebouchs au
moyen du produit adapt. (Ex. ouvrir les gaines techniques, les faux planchers, etc.)

Aider lauditeur pour les 27 / 36 CLUSIF 2011

revues de scurit physique
 8.3.1.4 Stockage des matires ou liquides inflammables
Le stockage des matires ou liquides inflammables doit tre contrl. Pendant la visite,
vrifier :
Lexistence dune rtention aux endroits o des risques de fuite sont possibles.
Les aires de stationnement pour les vhicules livrant le fuel.
Les dispositifs de coupure durgence des fluides.

8.3.1.5 Locaux spcifiques

Certains locaux comme les parkings, les cuisines, etc., peuvent gnrer des risques dincendie
particulier il est important de noter quelles sont les protections installes.
Pour les parkings, vrifier leur cloisonnement par rapport aux activits du site (cloisons
CF 2h).
Pour les parkings souterrains, vrifier les dispositifs de protection.
Vrifier :
quil ny a pas de stockage dans les combles sous toiture,
les protections contre le risque dincendie dans les cuisines,
les tests dtanchit des locaux : cloisons, fentres,
la rsistance la pression des murs et cloisons.

8.3.1.6 Tenue des locaux

Vrifier visuellement la propret des locaux (poubelles, cartons)
Demander quelle frquence passent les services de nettoyage (poussires notamment)
Vrifier que des mobiliers ou machines ou quipements ne trainent pas dans des salles ou
ils pourraient prsenter un risque.
Vrifier le matriau composant les poubelles (prfrez les poubelles mtalliques
couvercle).
Regarder les matriaux composant les armoires de stockage, notamment dans des salles
sensibles et des salles sous extinction automatique gaz.

8.3.1.7 Travaux
Pendant les priodes de travaux, il arrive que la scurit soit moins stricte, que ce soit au
niveau de la protection incendie ou de celui des contrles daccs.
Demander sil existe des procdures concernant le travail par point chaud.
Si des travaux sont en cours, vrifier que les travaux se font dans le respect des
quipements de lutte contre lincendie (dtecteurs incendie protgs, zone o se droulent
les travaux isole, extinction automatique dsactive). Sinon, demander les procdures
suivre en cas de travaux.
Demander sil y a des permis de feu et demander en voir quelques uns (vrifier quils
sont remplis, signs et saccompagnent des visites qui simposent).

8.3.1.8 Protection contre la foudre

Demander quelle est la protection en place. Vrifier les documents associs (installation,
maintenance).

Aider lauditeur pour les 28 / 36 CLUSIF 2011

revues de scurit physique
 8.3.2 Dtection incendie
La dtection incendie doit tre efficace et permettre dviter la propagation dun feu et donc
dintervenir avant lincendie.
Constater lexistence des dtecteurs, demander quelle est la nature des dtecteurs.
(interdiction future des dtecteurs cadmium)
Demander quelle est la nature des dtecteurs ? Un seul type ou plusieurs types diffrents ?
Analyser le lieu et la logique dimplantation des dtecteurs.
Selon la dure et la dfinition des besoins de laudit, faire un test de dclenchement dun
dtecteur (en accord avec le responsable du site) pour vrifier le fonctionnement du
dtecteur, de la centrale, de lintervention la suite de lalarme, du temps
dintervention ou demander les rsultats des tests rguliers.
Vrifier que la centrale est installe dans un endroit propice, protg. [Ex. Une estampille
NF doit tre appose dessus pour les sites en France]
Demander les automatismes associs (asservissements) en cas de dclenchement de la
centrale (fermeture des portes, coupures des volets)
Regarder les fonctionnalits de la centrale (adressable ou non par exemple)
Demander la procdure de traitement des alarmes incendie.

8.3.3 Extinction incendie

8.3.3.1 Locaux sous extinction automatique dincendie

Les locaux peuvent tre protgs par plusieurs types de systmes dextinction automatique.
Pendant la visite vrifier les rponses aux questions.
Questions poser :
Quel est le type dextinction automatique choisi ? Gaz ? Eau ?
Si gaz, quel gaz ? (certains gaz sont interdits ou vont ltre prochainement)
Vrifier les consignes dexploitation (portes ouvertes, fentres non bloques en position
fermes)
Si eau, quel type ? Sprinkler ? Brouillard deau ?
Sprinkler : vrifier les installations et les comptes-rendus de tests (test de cloche, sources
deau). Demander si linstallation est sous air ou sous eau. Demander les comptes-rendus
de visites rgulires.

8.3.3.2 Moyens de secours

Si malgr la dtection, lincendie se dclare, quels sont les moyens de secours ?
Extincteurs mobiles : vrifier ladquation de lextincteur mobile au risque, leur
positionnement, leur signalisation, leur facilit daccs (vrifier sils sont facilement
accessibles), etc.
Borne ou poteau incendie : vrifier leur existence sur lemprise foncire ou sur la voirie
ventuellement (leur prsence permet de minorer lvaluation des risques).
Ressources en eau : vrifier la prsence de bassin, le rseau deau public.
Colonne sche : accessibilit, signalisation.

Aider lauditeur pour les 29 / 36 CLUSIF 2011

revues de scurit physique
 RIA (Robinet dIncendie Arm) : vrifier que leur prsence est prconise et quils sont
bien installs et accessibles et leur utilit par rapport au risque.

8.3.3.3 Dsenfumage
Vrifier les obligations lgales (code du travail) et le systme en place, ainsi que les contrles
rguliers effectus (consulter le registre de scurit).

8.3.3.4 Maintenance des quipements de lutte contre le risque

dincendie
Maintenance prventive
Vrifier les obligations lies au respect des lois, des rgles des assurances, des normes et
demander le registre de scurit pour le vrifier ou en labsence de ce registre, la
planification des maintenances et les comptes-rendus dintervention.
Maintenance curative
Demander son interlocuteur si des problmes ont dj t soulevs (problme de dlai
dintervention par exemple) et demander le registre de scurit.

8.3.3.5 Formations
Vrifier que le personnel est form la scurit contre le risque dincendie (exercice
dvacuation annuelle)
Vrifier que le personnel dintervention en cas dincendie (serre-file, groupe dattaque du
feu, quipier de premire intervention, etc.) est form et rgulirement recycl.
Vrifier que les installateurs ou les fournisseurs forment un minimum de personnes leurs
quipements, que les formations sont renouveles priodiquement pour les nouveaux
collaborateurs.
Vrifier que le personnel assurant la surveillance humaine ait reu la formation en
adquation avec leur poste.

8.3.3.6 Asservissements
Question poser :
Les clapets de climatisation sont-ils asservis la dtection ?
Les contrles daccs sont-ils asservis la dtection ? Tout souvre ? => mesures de
protection secondaires ? Tout reste ferm ? => mesures de protection humaine
Les clapets de surpression sont-ils asservis la dtection ?

Aider lauditeur pour les 30 / 36 CLUSIF 2011

revues de scurit physique
8.4 Dgts des eaux
Demander voir le plan dimplantation des quipements et des canalisations.
Lors de la visite noter :
Lemplacement des canalisations, des climatisations.
Vrifier quaucune source possible de fuite ne passe au-dessus des machines ou des
quipements lectriques.
Dtection dhumidit (prsence, remonte dalarmes, situation des dtecteurs), vrifier les
risques de condensation.
Vrifier la position des dtecteurs : sont-ils proximit des sources de fuite ? sont-ils au
point bas de la salle ?
Joints de dilatation (emplacement ?)
Etanchit des terrasses.
Vrifier la possibilit dinfiltration par les terrasses.
Etanchit gnrale du btiment.
Risques lis limplantation des quipements (vrifier ce qui passe au-dessus des
quipements lectroniques et techniques)
Vrifier la prsence de taches dhumidit, en demander la raison.
Vrifier la prsence dun plancher technique permettant dviter la stagnation des fuites
deau
Conclusions de lauditeur concernant le risque de dgt des eaux
Le btiment est-il protg en fonction des risques identifis ? Quelles sont les brches de
scurit identifies ? Les mesures de scurit mises en place sont-elles en adquation avec les
risques identifis ?

Aider lauditeur pour les 31 / 36 CLUSIF 2011

revues de scurit physique
8.5 Servitudes
Les servitudes sont vitales pour le bon fonctionnement dun site abritant des salles serveurs.
Vous devez donc vrifier leur bon fonctionnement et demander si
Il y a redondance des installations,
Il y a deux arrives distinctes de lalimentation lectrique,
Lalimentation lectrique est-elle secourue (groupes lectrognes, onduleurs, batterie)
Quelle autonomie ? Quelles sont les installations secourues : Totalit du site ? sinon
quelles salles sont secourues ? Quelle est la capacit lectrique des salles serveurs ? Est-
elle suivie ? demander voir le fichier de suivi.
Les lignes de tlcommunication sont-elles redondantes ? Deux arrives spares ?
Les lignes de backup entre btiments sont-elles protges ?
La climatisation est-elle suffisamment dimensionne ? Demander voir le fichier de
suivi ?
De mme pour les autres fluides utiles au bon fonctionnement du site.
Les questions gnrales poser, en dehors des contrles daccs, concernent essentiellement
la capacit des servitudes assurer le bon fonctionnement du site et la disponibilit
permanente du site.
Questions
Comment est suivie la consommation dnergie lectrique vs la puissance installe ?
Comment est suivie la capacit de climatisation face lvolution de linstallation ?
Comment est suivie limplmentation des machines dans la salle vs la rsistance au poids
du faux plancher ? chemins daccs renforcs ? Poids support par mtre carr ?

8.6 Gestion
Ce paragraphe a pour but danalyser la gestion de la scurit physique du point de vue de son
organisation, des moyens de surveillance mis en uvre, de la rponse donne aux alarmes, des
procdures mises en place et de la maintenance des quipements.

8.6.1 Questions poser

Organisation
Quelle est lorganisation autour de la scurit physique ?
Interne ? sous-traite ? rles et responsabilits identifis ?
Budget propre ?
Moyens
Tlsurveillance interne ou externe, gardiennage 7j/7j ? 24h/24h ?
GTC/GTB (Gestion Technique Centralise / Btiments)
Gestion des alarmes
Demander comment sont gres les alarmes ?

Aider lauditeur pour les 32 / 36 CLUSIF 2011

revues de scurit physique
 Poser la question au gardien :
Que faites-vous en cas dalarme ? Incendie ? Technique ? Intrusion ? Demander voir la
main courante en particulier pour les tests pratiqus pendant la visite
Procdures (alarmes, accs, comportement, gestion des cls, etc.)
Demander consulter les procdures, noter o elles sont stockes, leur date de cration, la
date de dernire mise jour, la frquence des mises jour.

Installation et maintenance des quipements

Demander voir le planning de maintenance, les attestations de maintenance, les registres
de scurit ;

Gestion des schmas dinstallation

Schma global
Schma li linstallation incendie
Schma de cblages
Schma des canalisations (eau et fluides divers)

8.6.2 Conclusion de lauditeur sur la gestion de la scurit

La scurit est-elle gre en fonction des risques identifis ? Quelles sont les vulnrabilits de
scurit identifies ? Lorganisation de la scurit mise en place est-elle en adquation avec
les risques identifis ? Le traitement des alarmes est-il efficace ?

Aider lauditeur pour les 33 / 36 CLUSIF 2011

revues de scurit physique
 9. CONCLUSION

Le prsent document ne prtend pas dcrire lexhaustivit des contrles effectuer, mais
plutt aider un auditeur dbutant voire confirm sorganiser pour mener bien un audit de
scurit physique.

Les diffrents thmes sont abords, lexprience des auditeurs pourra enrichir ce document au
fur et mesure des audits.

A vous maintenant

Aider lauditeur pour les 34 / 36 CLUSIF 2011

revues de scurit physique
 LESPRIT DE LCHANGE

CLUB DE LA SCURIT DE L'INFORMATION FRANAIS

11, rue de Mogador
75009 Paris
01 53 25 08 80
clusif@clusif.asso.fr

Tlchargez les productions du CLUSIF sur

www.clusif.asso.fr