1.

1- Sécurisez l’architecture du Système d'Information

Assurez la sécurité physique

Dans ce chapitre, je vous présente les mesures de sécurité physique à appliquer, en

cohérence avec les mesures de sécurité logique (cyber).

Assurez la cohérence entre les mesures cyber et physiques

Le RSSI reste souvent dans le monde cyber et se focalise sur les mesures
organisationnelles, d'architectures ou de durcissement des systèmes. Il oublie parfois que
l'attaquant peut rechercher un accès physique pour compromettre un système. Une attaque
physique peut mener soit à un impact ponctuel (dénis de service, vol de données), soit être
le premier maillon d'un APT : dans ce dernier cas, l'attaquant mène une première attaque
physique (rentrant dans l'étape de compromission initiale) pour continuer ensuite dans le
mon cyber (étapes de propagation latérale et suivantes).

Les trois types de mesures de sécurité

Tout comme dans le monde cyber, les mesures de sécurité peuvent être catégorisées entre
mesures de protection (ex : cloisonnement et filtrage au travers d'un pare-
feu), détection (ex : traitement des journaux cybersécurité) et réaction (ex : traitement
d'incident), les mesures de sécurité physique peuvent suivre les mêmes étapes. Voici des
exemples de mesures pouvant être mises en œuvre :

Protection

 Protection du périmètre du site ou du bâtiment, limitation des zones d'entrée

et sortie
 Contrôle d'accès par badge, accès plus restreints à certains locaux
 Barreaudage de fenêtres ou utilisation de verre sécurité
 Utilisation d'armoires fortes pour stocker certains documents ou supports de
données (ex : sauvegardes)
Détection

 Agents de sécurité contrôlant les accès, vérifiant le port du badge apparent

avec photo, rondes
 Vidéosurveillance
 Détecteurs de bris de glace ou d'ouverture de porte
 Détecteurs volumétriques, de franchissement de clôtures
Réaction

Déroulement de procédures en cas de détection (ex : déclenchement de


détecteur volumétrique en heure fermée dans une salle serveur).
 
Définissez des zones de sécurité
Tout comme les principes cyber d'architecture ont mené à définir des zones logiques
avec un cloisonnement et un filtrage adapté, des zones de sécurité
physique peuvent être définies pour graduer les mesures appliquées en fonction de
l'impact potentiel de l'accès physique à certains systèmes. Ensuite, en fonction de la
zone, des mesures de sécurité plus ou moins restrictives peuvent être
associées. Par exemple :
  Zone jaune - Poste informatique lambda : l'accès à la zone de travail où se
situe le poste de travail est restreint par badge.
 Zone orange - Répartiteur réseau, serveur d'application métier non critique :
L'équipement est hébergé dans une zone dont l'accès est restreint
uniquement aux administrateurs de ces systèmes et dont le passage unitaire
des personnes est contrôlé.
 Zone rouge – Serveurs d'infrastructure ou métier critiques, équipements de
sécurité : En complément des mesures de la zone orange, une surveillance
vidéo en temps réel doit être assurée.
Protégez-vous des sinistres
En dehors des mesures de protection, détection et réaction visant à empêcher ou
limiter un acte malveillant, des mesures doivent aussi être prévues pour couvrir les
sinistres.
En effet, ils peuvent créer un impact important en matière de disponibilité ! Les
sinistres peuvent avoir des causes très diverses, allant de l'incendie, le dégât des
eaux, jusqu'au coup de pelleteuse dans l'arrivée électrique de votre salle serveur ou
la fibre qui vous relie à Internet...

 Protection contre les incendies : détection et extinction automatique

 Protection contre les dégâts des eaux : détection d'eau ou d'humidité,
localisation de locaux (en particulier, les salles serveurs) hors de zones
exposées à une inondation naturelle
 Alimentation électrique : diversification (source et chemin de raccordement)
des arrivées électriques, onduleur et groupe électrogène
 Chaleur : climatisation, détection de passage de seuil de température
 Sécurité des câblages : protection des chemins de câble, diversification des
raccordements, choix de zones non exposées à des travaux publics
 Foudre : paratonnerre, coupes circuits.
 ...
Ces différentes mesures peuvent bien sûr être complétées par des locaux
redondants pour héberger une réplication des systèmes les plus critiques, ainsi que
la définition et mise en œuvre de plans de reprise ou de continuité d'activité.

Dans le prochain chapitre, nous traiterons des spécificités de sécurisation des

systèmes industriels, pour lesquels la prise en compte de la sécurité physique et
sécurité des personnes est bien imprégnée, mais les mesures de sécurité cyber
souvent insuffisantes.
En résumé
 La sécurité physique repose sur des mesures de protection,
détection et réaction.
 Des zones de sécurité physique doivent être définies, en cohérence avec la
sécurité logique et l'impact potentiel d'une compromission.
 Les zones de sécurité physique permettent d'appliquer des mesures de
manière graduée et proportionnelle à l'impact potentiel d'un acte de
malveillance ou d'un sinistre.
 Il ne faut pas oublier les sinistres (causes non malveillantes) : incendie, dégât
des eaux, alimentation électrique, chaleur, foudre.