L'approche RSSI: Sécurité physique et environnementale

Périmètre de sécurité physique

La sécurité physique concernant l’organisation est le premier aspect de sécurité à mettre en œuvre. En effet, quel intérêt y a t’il à se protéger avec des mots de passe ou des logiciels compliqués si une personne peut accéder physiquement à une ressource essentielle pour la voler, la modifier ou la détruire ? (PME voir: Pénétration dans les locaux et Insertion ou suppression de matériels et Récupération de supports et Vol caractérisé).

Ayez toujours conscience de la valeur réelle d’une ressource (voir classification) afin de pouvoir planifier une protection adéquate.

Tous les éléments répertoriés comme importants ou vitaux pour “l’organisation” doivent être installés dans des locaux sécurisés. Ces locaux constituent le périmètre de sécurité.

Appliquer des mesures de sécurité pour:

• les ordinateurs
• les ordinateurs portables
• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• protéger les locaux

Mesures organisationnelles directement liées:

• Sécurité physique et environnementale
  • Règles dans le périmètre
  • Bureaux en ordre
• Contrôle d’accès
  • Politique de contrôle d’accès
  • Gestion des droits d’accès
• Gestion des incidents liés à la sécurité
  • Signalement des événements liés à la sécurité de l’information
• Gestion de la continuité de l’entreprise
  • La continuité de fonctionnement

Mesures techniques:

sécurité physique

Règles dans le périmètre

Les locaux du périmètre de sécurité doivent être:

• protégés contre l’accès de personnes non autorisées et donc a fortiori aux personnes étrangères à “l’organisation”. (PME voir: Pénétration dans les locaux et Insertion ou suppression de matériels et Récupération de supports et Vol caractérisé). Une seule porte permet d’y accéder et l’autorisation est donnée par le responsable informatique,
• protégés contre l’incendie. Les portes doivent être coupe-feu et des alarmes incendie doivent être installés. (PME: voir Incendie)

D’autre part, les règles suivantes doivent être respectées:

• les clés ne doivent en aucun cas être accessibles au public.
• les équipements de bureaux de type fax ou photocopieurs doivent être situés dans un périmètre sûr, mais pas à proximité des éléments les plus essentiels, de façon à ne pas multiplier les demandes d’accès dans cette zone,
• les portes et les fenêtres doivent être fermées à clé, en particulier en dehors des heures de bureau,
• les accès, en particulier au rez-de-chaussée, doivent être protégés contre l’intrusion, soit par des grilles ou par un système de détection électronique couplé à une alarme sonore,
• les matériaux dangereux ou facilement inflammables (ceci inclut les cartons, papiers, poubelles et produits de nettoyage) ne doivent pas être stockés à proximité des éléments vitaux ou importants.

Appliquer des mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail
• le réseau fixe
• le réseau wifi interne
• le réseau wifi pour clients
• les ordinateurs connectés à l’Internet
• les ordinateurs portables

Mesures organisationnelles directement liées:

• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Aspects humains
  • La formation et l’information
  • La réponse aux incidents et dysfonctionnements de sécurité
• Sécurité physique et environnementale
  • Périmètre de sécurité physique
  • Bureaux en ordre
• Aspects opérationnels et communications
  • Procédures documentées
• Gestion des incidents liés à la sécurité
  • Signalement des événements liés à la sécurité de l’information

Mesures techniques

La sécurité physique

Sécurité électrique des équipements

Les alimentations électriques des équipements vitaux doivent être sécurisées:

• par une alimentation de 2 sources différentes (2 fusibles sur 2 circuits) quand les équipements disposent de 2 alimentations (PME: voir Service interruption et Panne de courant et Discontinuité des fournisseurs de service);
• par une unité non interruptible qui garantit l’alimentation pendant les petites coupures et suffisamment longtemps pour éteindre les équipements proprement;
• par un générateur de secours.

Appliquer dans mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail

Mesures organisationnelles directement liées:

• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Sécurité physique et environnementale
  • Périmètre de sécurité physique
  • Maintenance
• Aspects opérationnels et communications
  • Procédures documentées
• Gestion de la continuité de l’entreprise
  • La continuité de fonctionnement

Mesures techniques

La sécurité physique

Maintenance

Pour les ressources classifiées comme importantes ou vitales, un contrat de maintenance doit être conclu avec un délai d’intervention ou de remplacement garanti, compatible avec les besoins de disponibilité de la ressource. (PME: voir Licence non valide ou inexistante et Administration impossible). La maintenance est un critère important pour optimiser la disponibilité des ressources

Lorsqu’un équipement quitte “l’organisation” pour maintenance, ou est mise en rebut, il ne doit pas contenir de données confidentielles. Si tel est le cas, et selon la sensibilité des données, une procédure spécifique doit être décidée (traitement sur place, accompagnement du matériel, destruction du matériel, etc.). (PME: voir Endommagement du matériel pendant le transport et Récupération de supports)

Voir aussi: SOS - donner en réparation

Appliquer dans mesures de sécurité pour:

• les serveurs fichier
• les serveurs mail

Mesures organisationnelles directement liées:

• Organisation de la sécurité
  • Attribution des responsabilités
  • Accès par des tiers et sous-traitance
• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Sécurité physique et environnementale
  • Sécurité électrique des équipements
• Aspects opérationnels et communications
  • Procédures documentées
• Développement et maintenance des systèmes
  • Gestion des vulnérabilités techniques
• Gestion de la continuité de l’entreprise
  • La continuité de fonctionnement

Mesures techniques:

La sécurité physique

Sécurité des équipements hors locaux

Les équipements utilisés pour le traitement des informations à l’extérieur des locaux de “l’organisation” (à la maison, dans un hôtel, chez un client), comme les laptops ou téléphones, sont soumis à des procédures de sécurité semblables. Toutefois, les utilisateurs doivent être particulièrement vigilants aux risques de vols et garder le matériel sous surveillance à tout instant. Une assurance spécifique doit être contractée pour ce type d’équipement. Le matériel peut être marqué pour prévenir tout échange. Une autorisation doit être accordée par le responsable de l’équipement dans “l’organisation” avant toute sortie de matériel. Celui-ci peut envisager l’utilisation ou non d’outils de chiffrement des données présentes sur le disque dur. (PME: voir Endommagement du matériel pendant le transport; Vol caractérisé; Mesures de sécurité basiques pour les ordinateurs portables)

Appliquer des mesures de sécurité pour:

• les ordinateurs portables

Mesures organisationnelles directement liées:

• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Contrôle d’accès
  • Politique de contrôle d’accès
  • Gestion des droits d’accès
• Développement et maintenance des systèmes
  • Utilisation du chiffrement
  • Gestion des vulnérabilités techniques
• Gestion des incidents liés à la sécurité
  • Signalement des événements liés à la sécurité de l’information
• Conformité
  • Protection des données opérationnelles
  • Protection des données à caractère personnel

Mesures techniques:

• sécurité physique
• Prévenir le vol physique

Mise en rebut et réutilisation des équipements

Tout équipement qui est mise au rebut ou réutilisé dans un autre contexte doit être vidé de toutes ses données; les disques doivent être effacés. Le système pourra être réinstallé, le cas échéant. Selon la sensibilité des données sauvegardées, la destruction physique des disques (par broyeur ou démagnétiseur) doit être envisagée. (PME: voir Récupération de supports).

L’effacement classique des fichiers est insuffisant car les données resteront présentes sur le disque. Si les compétences internes manquent de connaissances pour le faire, un fournisseur externe peut s’en charger sous la surveillance d’un membre de l’organisation.

Quoi qu’il arrive, soyez respectueux de l’environnement.

Appliquer des mesures de sécurité pour:

• les ordinateurs
• les ordinateurs portables
• les serveurs fichier
• les serveurs mail

Mesures organisationnelles directement liées:

• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Aspects humains
  • La formation et l’information
• Sécurité physique et environnementale
  • Maintenance
• Aspects opérationnels et communications
  • Procédures documentées
• Conformité
  • Propriété intellectuelle
  • Protection des données opérationnelles
  • Protection des données à caractère personnel

Mesures techniques:

• Mise en rebut
• sécurité physique

Politique du bureau propre

Respectez une politique du rangement de bureau, à savoir:

• rangez les papiers et supports informatiques amovibles (Clés USB, disques,etc) sans les laisser à la vue de tout le monde. Enlever vos documents de l’imprimante, fax ou photocopieurs;
• sauvegardez sous clés les supports les plus importants ou même dans des coffres ignifuges;
• lorsqu’une personne laisse son PC inutilisé pendant quelques minutes, le logiciel économiseur d’écran (screensaver) devrait s’activer. Le mot de passe permettra de quitter l’économiseur et de reprendre le travail. Il est fortement déconseillé de contourner ce mécanisme;
• utilisez une poubelle spéciale ou des broyeurs pour la destruction des documents papiers sensibles.

Mesures organisationnelles directement liées:

• Organisation de la sécurité
  • Attribution des responsabilités
  • Accès par des tiers et sous-traitance
• Classification et maîtrise des ressources
  • Classification et responsabilité des ressources
• Sécurité physique et environnementale
  • Périmètre de sécurité physique
  • Règles dans le périmètre
• Aspects opérationnels et communications
  • Procédures documentées
• Conformité
  • Propriété intellectuelle
  • Protection des données opérationnelles
  • Protection des données à caractère personnel

Mesures techniques:

La sécurité physique