La sécurité physique s’articule autour de 3 principes :
- Détection (alarmes, caméras, etc.)
- Intervention (télésurveillance, gardiennage, etc.)
- Freinage (clôture, contrôles d’accès par badge, coffres forts, etc.)
La somme des temps de détection et d’intervention doit être inférieur au temps de freinage.
La sécurité physique consiste donc à évaluer le temps de freinage nécessaire en fonction d’événements redoutés. Ce temps de freinage est lui même (au minimum) la somme du temps de détection et du temps d’intervention propre à chaque événement. Ce travail d’évaluation doit être documenté avec pour soucis constant de répondre à l’exigence du principe de « accountability » (responsabilité) mis en avant par le RGPD.
Le freinage est apprécié comme une juxtaposition d’obstacles, mesures et procédures ayant pour objectif de ralentir la réalisation d’une action malveillante. Dans cette chaîne même un petit obstacle joue un rôle de frein important, pour exemple le fait de fermer à clef les portes de bureau, d’armoires fortes ou de coffre fort est une mesure rapide et sans difficulté à effectuer et qui peut permettre d’éviter l’accès ou le vol d’une base de donnée très précieuse.
Attention aux dossiers et documents physiques
Prenons l’exemple malheureusement encore trop répandu d’un cabinet d’avocats de taille moyenne, ayant lourdement investi dans la sécurité des données clients dans le cloud, tout en négligeant la sécurité physique de ces mêmes dossiers. N’importe quel agent de nettoyage d’un prestataire externe, bien souvent intérimaire, va pouvoir accéder quotidiennement aux centaines de dossiers, archives et affaires en cours, entreposés en ordre avec un nom sur la tranche, sur les étagères courant le long des couloirs parquetés qui distribuent les différents bureaux.
Le vol de supports
La salle des serveurs doit quant à elle être sanctuarisée physiquement car une menace n’arrive pas toujours sous la forme d’un malware inséminé par un hacker situé de l’autre côté de la planète, un employé en situation conflictuelle avec sa hiérarchie peut trouver un intérêt tout à fait particulier à accéder ou effacer certains fichiers sur des supports de sauvegardes de type disque dures , disques amovible, etc. Le contrôle des accès peut facilement être géré à l’aide de clés ou par badges.
Autre action très simple à mettre en place, la sécurisation des ordinateurs portables avec des câbles anti-vol.
Rappelons que les contrôleurs de la CNIL porte un intérêt non moins important à la sécurité physique des données, l’application du RGPD n’est pas restreinte à un type de support de la donnée personnelle.
A noter que la gendarmerie peut assister et conseiller les organismes situés en “Territoire gendarme” avec des test de sécurités Cyber et Physiques, non payant et très pertinents.