Académique Documents
Professionnel Documents
Culture Documents
Support du Cours :
Initiation aux 10 domaines fondamentaux de l’expertise en sécurité
des systèmes d’Information, pour entamer la préparation aux
certifications Internationales CISSP et SSCP
2éme Chapitre :
Sécurité physique
(« Physical Security »)
© ANSI, 2006, Toute reproduction et utilisations à but non commercial est autorisée et interdite pour celles à but commercial, sauf autorisation écrite de l’Agence Nationale de Sécurité Informatique
I. Les menaces……………………………………………………..…………………3
II. Les exigences (Facility requirements)……………………………………..…....9
III. Politique de sécurité…………………………………………..…………………..10
IV. Analyse des chemins critiques…………………………………..……………....11
V. Contrôle d’accès…………………………………………..………………………12
VI. Les contrôles de sécurité physique………………………………..……………13
VII. Contrôles administratifs………………………………………….……………....14
VIII. Les mécanismes du contrôle d’accès……………………………..……………24
IX. L’aspect environnemental……………………………………..…………………50
X. Contrôles complémentaires…………………………………..………………….76
2
Introduction
3
Les menaces
• Feu et fumée :
10
Politique de sécurité
• La politique devra définir le point de départ, l’objectif à atteindre, et
comment atteindre cet objectif.
• Il faut définir les conditions de service : Quel est mon output et
comment garantir le fonctionnement pour produire mon output.
• Définir les contrôles à mettre en place
– Contrôle administratif : procédures ,directives…
– Contrôle d’accès physique : les implémentations physiques, les
équipements et mécanismes à mettre en place entre un attaquant et le
SI (comme verrouillage de port ou clôture)
– Contrôle technique: ce sont des logiciels et/ou des équipements qui
aident à sécuriser les biens
• Prendre en considération l’aspect environnemental et la protection
des vies
12
Contrôle d’accès
• Une sécurité physique utilise un ensemble
de contrôle selon 3 groupes :
– Contrôle administratif
– Contrôle d’accès physique
– Contrôle technique
13
Les contrôles de sécurité physique
• Dresser un inventaire des menaces possibles
• Evaluer l’impact de chaque menace sur le
business
• Pour les menaces qui pèsent sur l’entreprise,
implémenter des contrôles, des contre-mesures
pour limiter/éviter ses conséquences.
14
Les contrôles administratifs
• Sélection du site
• Visibilité
• Accessibilité
• Catastrophe naturelle
• Conception
• Espace de travail
• Centre de calcul
• Les visiteurs
15
Sélection du site
• La sélection du site, où sera implanté l’entreprise, doit
être basée sur les besoins en terme de sécurité de
l'organisation même si le coût, la localisation et la taille
sont très importants.
16
Visibilité
La visibilité est importante à savoir :
– Quels sont les alentours ou les limites du terrain (le périmètre)?
– Est il facile de s'approcher du bâtiment avec une véhicule ou à
pieds sans être aperçu ?
– La composition et la géographie (les caractéristiques
géologiques) des alentours du site sont aussi très importantes.
– Est-t-elle proche ou située dans une zone résidentielle, d'affaire
ou industrielle ?
– Le taux de criminalité ou d'infraction est il important ?
– Où sont localisés les plus proches services d'urgences
(Pompiers, Hôpitaux, Police…)
– Quels sont les dangers se trouvant à proximité de l'organisation
(tels que les installations chimiques, les sans abris, universités,
nouvelle(s) construction(s) ...).
17
Accessibilité
• L'accessibilité aux sites de l'organisation est également importante
18
Catastrophe naturelle
Un autre souci c'est l'effet des catastrophes naturelles :
• Est ce que c'est une zone à risque de tremblement de
terre, de glissement de terrain, de feux, d'inondation,
d'ouragan, de tornades, de chute de roches, de neiges,
d'averse, de glace ou de grêle, d'humidité, de forte
chaleur, de froid extrême ou de toute autre forme de
catastrophe ?
• Il faut se préparer contre les catastrophes naturelles en :
– Equipant l'environnement IT par des équipements qui
survivrons à un sinistre naturel
– Ou permettant un remplacement facile des équipements.
19
Architecture de l’immeuble
• Lors de la conception de l'immeuble pour la construction, il faut
comprendre le niveau de sécurité dont l'organisation a besoin.
– Le niveau de sécurité doit être planifié et conçu avant le début des
travaux de construction.
• Quelques aspects importants à prendre en considération incluant :
– Les combustibles, le classement de feux, les matériels de construction,
le classement de chargements
– le contrôle des installations des objets, des équipements et des
constructions tel que les mûrs, portes, plafonds, étages, système de
climatisation, énergie électrique, eau, eaux usées, gaz.
• Autres aspects à évaluer :
– L’intrusion forcée, l’accès/Sortie d'urgence, la résistance à l'entrée,
orientation des entrées-sorties, l’utilisation des alarmes.
– Chaque élément du bâtiment doit être évalué afin de garantir une
protection optimale des infrastructures, des équipements du système
d’information et du personnel (exemple: les conduite d'air et les
canalisation d'eau reliant l'intérieur et l'extérieur du bâtiment).
20
Espace de travail
• Une attention particulière lors de la conception des
zones de travail et des zones de visiteurs ou publiques.
• Une politique d'accès doit être mise en place.
• Une restriction d'accès au zones contenant des
équipements et des informations importantes ou à valeur
élevée
Exemple : Chaque personne qui une fois entrée a le droit
d’accéder aux toilettes et aux téléphones publics, mais
seulement l'administrateur réseau et le staff de sécurité ont le
droit d'accéder à la salle des serveurs.
25
Clôture et porte
• La clôture permet de définir le périmètre du site a sécuriser et de
dissuader les tentatives d’intrusion.
• Mais il faut des points d’accès tels que les portails coulissants, barrières
levantes ou des Pistons rétractables (pour les véhicules).
• Les barrières et les portes sont les points d’accès et de contrôles
d’entrée/sortie.
• Le niveau de dissuasion de la porte ou de la barrière doit être le même
que celui offert par la clôture
• Si l’accès n’est pas contrôlé par un gardien ou un agent
de sécurité, le déploiement d’un système de vidéo
surveillance et/ou de chiens de garde est fortement
recommandé.
• L’utilisation des tourniquets permet de garantir l’accès
d’une personne à la fois et dans un seul sens
26
Clôture et porte
27
Clôture et porte
28
Clôture et porte
Mantrap
29
Clôture et porte
Mais, …
30
Eclairage
• L’objectif c’est de décourager et dissuader des tentatives
d’intrusion d’un simple rôdeur ou d’une personne
malintentionnée.
• L’éclairage ne doit pas être considéré comme le seul
mécanisme de protection sauf pour les zones ayant un
niveau de danger assez faible
• L’éclairage ne doit par illuminer les positions des
gardiens, des chiens de garde, les postes de patrouille
et tout système de contrôle et de surveillance tel que les
caméras de surveillance vidéo.
• L’éclairage ne doit pas nuire ou causer des problèmes
pour les voisinages (route, habitants et aéroport…)
31
Gardiennage
• Le plus efficace des systèmes de contrôle et des
mécanismes de sécurité physique, prêt à intervenir et
arrêter toute intrusion et attaque ou toute autre forme de
danger est jugé indispensable.
32
Gardiennage
• L’atout le plus important du gardien c’est qu’il est apte à réagir et
prendre les décisions justes suivant la situation ou condition à un
moment donné.
• Désavantages d’une solution basée sur des gardiens :
– Ce n’est pas toujours possible de déployer des gardiens ou des agents
de sécurité faute d’environnement du site lui-même (zone
d’incompatibilité humaine, l’architecture et la localisation de l’immeuble
ou du site …)
– Les gardiens eux même, généralement le niveau culturel et intellectuel
assez limité, la formation n’est pas garantie (nouveaux matériels ou
systèmes qui deviennent de plus en plus compliqués et informatisés…)
– Très important : les gardiens sont assez vulnérables aux attaques de
type « Social engineering » et peuvent devenir incapables d’assurer
leurs fonctions correctement en raison d’abus de substance (Alcool ou
parfois médicament etc.)
– Un autre inconvénient de la solution c’est qu’elle coûte chère !!!
33
Gardiennage
• Une alternative à la solution de gardien de sécurité c’est
les chiens de garde généralement déployés pour
sécuriser tout le périmètre.
• C’est un très bon moyen de détection et de dissuasion.
• Mais les chiens de gardes sont des animaux qui coûtent
chers et requièrent des traitements spéciaux et imposent
de sérieuses conditions d’assurance et de
responsabilité.
34
Gardiennage
Agent cynophile : L’agent et son chien forment l’un des binômes les
plus dissuasif contre la malveillance, particulièrement adapté aux sites
dits à risques ou de grande superficie.
35
Les clefs et les badges
• Les serrures sont utilisées pour assurer
la fermeture de porte
37
Les clefs et les badges
• Autre système d’authentification et d’identification : système de contrôle
d’accès Biométrique qui est un système très sophistiqué
• Plusieurs types et technologies biométriques : reconnaissance
d’empreinte digitale, scan de la rétine ou de l’iris, géométrie de la main
et même scan de la voix …
38
Les clefs et les badges
Attention :
39
Système de détection d’accès, d’intrusion et de
vidéo surveillance
41
Système de détection d’accès, d’intrusion et
de vidéo surveillance
(CCTV :Closed Circuit Television )
Mécanisme de sécurité par la vidéo surveillance ou
CCTV (Closed-Cicuit Television Via security camera) :
• Requiert du personnel pour surveiller les moniteurs afin
de détecter toute activité suspecte et malveillante et
déclencher les alarmes.
• Dans la plupart des cas, ce système n’est pas utilisé
comme un système primaire de détection à cause des
coûts (Salaires des gardiens, formation spécifique…) et
de l’efficacité des gardiens eux même (fatigue, niveau de
concentration n’est pas toujours garanti etc.)
• ce système est indispensable pour revoir ce qui est
vraiment passé c'est-à-dire une sorte de trace après le
42
déclenchement d’alarme.
Système de détection d’accès, d’intrusion et
de vidéo surveillance
CCTV
43
Système de détection d’accès, d’intrusion et
de vidéo surveillance
CCTV
44
Système de détection d’accès, d’intrusion et de
vidéo surveillance
Détecteur de mouvement
45
Système de détection d’accès, d’intrusion et de
vidéo surveillance
Système de dissuasion sonore/visuel
48
Les restrictions et l’escorte
Escorte et contrôle des visiteurs :
• Les visiteurs doivent avoir un badge d’identification (ou tout autre
système ou solution d’identification)
– Informer le personnel de sécurité lors de rencontre d’une
personne non escortée et/ou ne portant pas d’identificateur
visible
• S’assurer que tous les visiteurs n’aillent visiter que les zones
programmées
• Réduire la probabilité d’avoir des individus non autorisés finir par se
trouver dans une zone sensible.
49
Les contrôles techniques
• Les contrôles techniques utilisés le plus souvent sont des systèmes
de contrôle d’accès physique incluant des cartes intelligentes (smart
card) ou muettes et la biométrie.
• Il faut toujours avoir des fichiers journaux des accès et une analyse
rétrospective.
50
L’aspect environnemental
• L’électricité
• Système de conditionnement d’air (HVAC)
• Fuite d’eau et inondation
• Détection et extinction de feu
• Catastrophe naturelles
51
L’électricité
• Les équipements informatiques sont sensibles à
diverses perturbations électriques
52
L’électricité
Utilisation d’un ASI ou UPS (Alimentation Sans
Interruption/ Uninterruptible Power Supply) afin
d’assurer une alimentation électrique stabilisée,
filtrée et continue.
• L’utilisation d’un onduleur, de haute qualité, est
fortement recommandée dans une salle informatique,
pour fournir un courant de recharge en cas de coupure
grâce à ses batteries.
• La durée et l’autonomie dépend des batteries et elle
varie entre quelques minutes et quelques heures.
• Si la coupure de courant se prolonge, les onduleurs (la
majorité) permettent un arrêt propre des serveurs et des
applications évitant, ainsi toutes pertes de données.
53
L’électricité
La compatibilité électromagnétique C.E.M :
54
L’électricité
La prise de Terre :
55
L’électricité
56
L’électricité
Groupe électrogène :
• Un groupe électrogène est un dispositif autonome capable de produire de
l'électricité. La plupart des groupes est constituée d'un moteur
thermique qui actionne un alternateur.
• Les groupes électrogènes sont utilisés soit dans les zones que le réseau
électrique ne dessert pas, soit dans des bâtiments afin de pallier une
éventuelle coupure de courant. Dans le deuxième cas, ils sont alors souvent
utilisés en parallèle d'une alimentation sans interruption à batterie.
• Ils fonctionnent à partir de différents carburants. Le plus fréquent est bien sur
le Diesel, mais aussi le gaz naturel, le GPL, les fuels lourds pour les plus
importants ainsi que les bio-carburants.
57
Paratonnerre
• Un paratonnerre est une pointe sur le point le plus élevé d’un bâtiment qui capte
directement l’énergie de la foudre afin de la conduire, à l’aide de conducteurs,
directement à la terre.
• Il s’agit donc d’équipement de protection extérieure contre les coups directs de
la foudre.
• Le rôle du paratonnerre est de protéger les bâtiments contre les impacts directs
de foudre et de canaliser ensuite les charges électriques vers la terre (« descente
» et « prise de terre »).
58
Parafoudre
Le parafoudre a pour fonction d’empêcher
la propagation de la surtension qui pourrait
être véhiculée par les réseaux intérieurs au
bâtiment.
PARAFOUDRE TELEPHONIQUE
Détecteur de fuite
d’eau
64
Electrovanne
Détection de fuite de gaz
Détecteur de gaz
65
Détection et extinction de feu
• L’un des dangers les plus sérieux pour la sécurité des gens au sein
d’un organisme c’est le danger de feu qui peut causer, à part les
dégâts matériels, des blessures, des morts, parfois des
catastrophes écologiques et d’autres dangers
66
Détection et extinction de feu
• Un S.S.I englobe l'ensemble des moyens mise en oeuvre
afin de détecter, d'informer, d'intervenir et le cas échéant
d'évacuer.
• La mise en place d'un type de S.S.I. dans un
établissement est déterminée par la Commission de
Sécurité ou par le Règlement de Sécurité de
l'établissement.
Le tableau de signalisation
• Il sera implanté hors de la zone surveillée afin de rester
accessible aux secours. Il permettra de délivrer les
alarmes sonores et visuelles, de localiser le début
d'incendie, de provoquer la mise en œuvre des
commandes et de déclencher les asservissements.
69
Détection et extinction de feu
Le matériels d’intervention incendie
• Extincteur :
Un ''extincteur'' est un appareil portable contenant un agent extincteur,
utilisé pour éteindre un début d'incendie (ou un feu de faible importance).
L'extincteur à utiliser dépend de l'origine du feu à combattre. A chaque
"classe" de feu correspond une catégorie spécifique d'extincteur contenant
un ''agent extincteur approprié au feu à éteindre.
• Extincteur à Pression Permanente
Il n'est pas nécessaire de mettre l'extincteur en pression pour l'utiliser. Par
exemple l'extincteur à CO2, renferme du CO2 à environ 200 bars de
pression.
• Extincteur à Pression Auxiliaire
Il doit être mis en pression avant utilisation. Il y a une cartouche de Gaz
(CO2) à l'intérieur du corps de l'extincteur qui permet la mise en pression de
celui-ci. Les Extincteurs à Eau Pulvérisée et les Extincteurs à Poudre sont à
pression auxiliaire.
70
Détection et extinction de feu
Extincteur manuel
71
Détection et extinction de feu
72
Détection et extinction de feu
Tête
d’extincteur
Détecteur
de fumée
Système de
déclenchement et
d’extinction d’incendie
Batterie
d’agent
extincteur
73
Détection et extinction de feu
75
Détection et extinction de feu
Porte coupe-feu
76
Contrôles complémentaires
78
Contrôles complémentaires
79
Contrôles complémentaires
80
Formation des employés
• Formation sur les premiers secours (en cas de
Saignement, Etouffement, Perte de conscience, Malaise,
Brûlure, Électrocution, Plaie, …)
– Protéger la victime et les témoins
– Alerter les services d’urgence adaptés
– Empêcher l’aggravation de l’état de la victime et
préserver son intégrité physique.
• Former les employés pour respecter la restriction
d’accès et n’autoriser aucune personne étrangère à
accéder à des zones non autorisées
81
Sortie de secours
82
Plan d’évacuation
Vous êtes ici
84
Questions …
85
Agence Nationale de Sécurité Informatique
© ANSI, 2006, Toute reproduction et utilisations à but non commercial est autorisée et interdite pour celles à but commercial,
86 sauf
autorisation écrite de l’Agence Nationale de Sécurité Informatique