1- Sécurisez l’architecture du Système d'Information
Assurez la sécurité physique
Dans ce chapitre, je vous présente les mesures de sécurité physique à appliquer, en
cohérence avec les mesures de sécurité logique (cyber).
Assurez la cohérence entre les mesures cyber et physiques
Le RSSI reste souvent dans le monde cyber et se focalise sur les mesures organisationnelles, d'architectures ou de durcissement des systèmes. Il oublie parfois que l'attaquant peut rechercher un accès physique pour compromettre un système. Une attaque physique peut mener soit à un impact ponctuel (dénis de service, vol de données), soit être le premier maillon d'un APT : dans ce dernier cas, l'attaquant mène une première attaque physique (rentrant dans l'étape de compromission initiale) pour continuer ensuite dans le mon cyber (étapes de propagation latérale et suivantes).
Les trois types de mesures de sécurité
Tout comme dans le monde cyber, les mesures de sécurité peuvent être catégorisées entre mesures de protection (ex : cloisonnement et filtrage au travers d'un pare- feu), détection (ex : traitement des journaux cybersécurité) et réaction (ex : traitement d'incident), les mesures de sécurité physique peuvent suivre les mêmes étapes. Voici des exemples de mesures pouvant être mises en œuvre :
Protection
Protection du périmètre du site ou du bâtiment, limitation des zones d'entrée
et sortie Contrôle d'accès par badge, accès plus restreints à certains locaux Barreaudage de fenêtres ou utilisation de verre sécurité Utilisation d'armoires fortes pour stocker certains documents ou supports de données (ex : sauvegardes) Détection
Agents de sécurité contrôlant les accès, vérifiant le port du badge apparent
avec photo, rondes Vidéosurveillance Détecteurs de bris de glace ou d'ouverture de porte Détecteurs volumétriques, de franchissement de clôtures Réaction
Déroulement de procédures en cas de détection (ex : déclenchement de
détecteur volumétrique en heure fermée dans une salle serveur).
Définissez des zones de sécurité Tout comme les principes cyber d'architecture ont mené à définir des zones logiques avec un cloisonnement et un filtrage adapté, des zones de sécurité physique peuvent être définies pour graduer les mesures appliquées en fonction de l'impact potentiel de l'accès physique à certains systèmes. Ensuite, en fonction de la zone, des mesures de sécurité plus ou moins restrictives peuvent être associées. Par exemple : Zone jaune - Poste informatique lambda : l'accès à la zone de travail où se situe le poste de travail est restreint par badge. Zone orange - Répartiteur réseau, serveur d'application métier non critique : L'équipement est hébergé dans une zone dont l'accès est restreint uniquement aux administrateurs de ces systèmes et dont le passage unitaire des personnes est contrôlé. Zone rouge – Serveurs d'infrastructure ou métier critiques, équipements de sécurité : En complément des mesures de la zone orange, une surveillance vidéo en temps réel doit être assurée. Protégez-vous des sinistres En dehors des mesures de protection, détection et réaction visant à empêcher ou limiter un acte malveillant, des mesures doivent aussi être prévues pour couvrir les sinistres. En effet, ils peuvent créer un impact important en matière de disponibilité ! Les sinistres peuvent avoir des causes très diverses, allant de l'incendie, le dégât des eaux, jusqu'au coup de pelleteuse dans l'arrivée électrique de votre salle serveur ou la fibre qui vous relie à Internet...
Protection contre les incendies : détection et extinction automatique
Protection contre les dégâts des eaux : détection d'eau ou d'humidité, localisation de locaux (en particulier, les salles serveurs) hors de zones exposées à une inondation naturelle Alimentation électrique : diversification (source et chemin de raccordement) des arrivées électriques, onduleur et groupe électrogène Chaleur : climatisation, détection de passage de seuil de température Sécurité des câblages : protection des chemins de câble, diversification des raccordements, choix de zones non exposées à des travaux publics Foudre : paratonnerre, coupes circuits. ... Ces différentes mesures peuvent bien sûr être complétées par des locaux redondants pour héberger une réplication des systèmes les plus critiques, ainsi que la définition et mise en œuvre de plans de reprise ou de continuité d'activité.
Dans le prochain chapitre, nous traiterons des spécificités de sécurisation des
systèmes industriels, pour lesquels la prise en compte de la sécurité physique et sécurité des personnes est bien imprégnée, mais les mesures de sécurité cyber souvent insuffisantes. En résumé La sécurité physique repose sur des mesures de protection, détection et réaction. Des zones de sécurité physique doivent être définies, en cohérence avec la sécurité logique et l'impact potentiel d'une compromission. Les zones de sécurité physique permettent d'appliquer des mesures de manière graduée et proportionnelle à l'impact potentiel d'un acte de malveillance ou d'un sinistre. Il ne faut pas oublier les sinistres (causes non malveillantes) : incendie, dégât des eaux, alimentation électrique, chaleur, foudre.