Points clés
- La sécurité physique reste fréquemment traitée comme une fonction support (facilities management) séparée de la gouvernance de la sécurité de l'information — une séparation qui génère des angles morts structurels.
- L'affaire Kerviel à la Société Générale (2008) a révélé que les accès physiques aux salles de trading n'étaient pas systématiquement croisés avec les positions de trading détectées comme anormales par les systèmes de surveillance.
- ISO 27001:2022 intègre la sécurité physique dans le Système de Management de la Sécurité de l'Information (SMSI) via l'Annexe A.7, imposant une gouvernance unifiée.
- La MAS (Monetary Authority of Singapore) dans son Technology Risk Management (TRM) framework impose explicitement l'intégration de la sécurité physique dans la gouvernance des risques technologiques.
La gouvernance de la sécurité dans les grandes organisations s'est construite historiquement en deux branches parallèles : la sécurité physique (relevant des facilities, de la sûreté ou de la direction générale) et la sécurité informatique (relevant de la DSI ou du RSSI). Cette structuration reflète des disciplines différentes, des outils différents et des équipes différentes. Elle génère cependant des angles morts aux intersections : les équipements informatiques dans des locaux physiques, les accès physiques aux systèmes d'information, les supports physiques de données sensibles.
Intégrer la sécurité physique dans la gouvernance globale de la sécurité de l'information n'implique pas de fusionner des équipes, mais de définir des processus communs, une cartographie des risques intégrée et un reporting unifié. Cette intégration est explicitement requise par les référentiels de gouvernance les plus exigeants.
Les lacunes créées par la séparation des gouvernances
La gestion des identités et des accès (IAM) couvre en général les accès logiques aux systèmes d'information. Elle omet fréquemment la dimension physique : un collaborateur dont les droits d'accès logiques ont été révoqués peut conserver un badge d'accès physique à des zones où se trouvent des équipements. La révocation des droits logiques et physiques doit être synchronisée dans un processus unique.
La classification des données — processus central du SMSI — doit être articulée avec la classification des zones physiques. Les données de niveau de sensibilité élevé doivent être traitées dans des zones physiques dont le niveau de protection est proportionné. ISO 27001:2022 A.7.2 (contrôle d'accès physique) et A.5.12 (classification des informations) sont liés et doivent être gouvernés conjointement.
Les incidents de sécurité doivent intégrer les événements physiques dans leur périmètre de gestion. Un accès physique non autorisé à une salle serveur, la détection d'un équipement d'écoute dans une salle de réunion, le vol d'un poste de travail : ces événements doivent être traités dans le même processus de gestion des incidents que les alertes informatiques, avec les mêmes exigences de documentation, d'analyse et de reporting.
Les exigences des référentiels de gouvernance
ISO 27001:2022 a renforcé l'intégration de la sécurité physique dans son Annexe A par rapport à la version 2013. L'Annexe A.7 (Sécurité physique) comprend 14 contrôles couvrant les zones sécurisées, les contrôles d'accès, la protection contre les dommages environnementaux, les équipements hors site et la sécurité des supports. Ces contrôles sont intégrés dans le même SMSI que les contrôles de cybersécurité.
Le NIST Cybersecurity Framework (CSF) 2.0 intègre la sécurité physique dans les fonctions Identifier (ID.AM pour l'inventaire des actifs physiques) et Protéger (PR.AC pour les contrôles d'accès physiques). Le NIST SP 800-53 rev.5 dédié une famille entière (PE — Physical and Environmental Protection) aux contrôles de sécurité physique, avec 20 contrôles couvrant l'ensemble du cycle de vie de la sécurité physique.
La BCE, dans son cadre TIBER-EU, soumet les institutions financières systémiques à des tests de red team qui incluent une composante physique (tentatives d'accès aux locaux, social engineering in situ). Ce cadre impose une gouvernance intégrée qui traite ensemble les vecteurs d'attaque physiques et numériques.
Structurer l'intégration en pratique
Un comité de sécurité qui réunit le RSSI, le responsable de la sécurité physique, le DRH, le directeur immobilier et le risk manager permet de traiter les risques à l'intersection des deux périmètres. Ce comité doit disposer d'un reporting intégré et d'une autorité pour définir des processus transversaux.
La cartographie des risques doit être unique et couvrir les risques physiques et numériques dans un référentiel commun. Les contrôles de traitement des risques physiques et informatiques doivent être testés conjointement. Le plan de traitement des risques doit documenter les responsabilités des deux périmètres pour chaque risque identifié à l'intersection.
La compromission des tokens SecurID de RSA en 2011, qui a impliqué des organisations de défense américaines, a démarré par un email de phishing ciblé. Mais l'enquête a révélé que la destruction de preuves physiques — des disques durs contenant les données compromises — avait été effectuée sans coordination entre les équipes de sécurité informatique et la direction. La gestion de l'incident avait été compartimentée entre équipes physiques et informatiques, retardant la compréhension globale de la compromission. Cet incident a été cité par le NIST comme illustration de la nécessité d'une gouvernance intégrée des incidents physiques et numériques.
Lors d'un exercice de red team commandité par le Parlement européen en 2023, des testeurs ont réussi à accéder physiquement à des zones sécurisées en utilisant des techniques de social engineering et de tailgating, sans jamais utiliser de vecteur numérique. L'exercice a démontré que les contrôles physiques étaient insuffisamment intégrés dans la gouvernance de sécurité globale du Parlement. Des recommandations ont été émises pour intégrer la sécurité physique dans le SMSI du Parlement et pour former le personnel à la détection des tentatives d'accès physique non autorisé.
La Monetary Authority of Singapore a révisé en 2021 son Technology Risk Management (TRM) framework pour renforcer l'intégration de la sécurité physique dans la gouvernance des risques technologiques. Le TRM impose désormais aux institutions financières de démontrer que leurs contrôles d'accès physique aux datacenters et aux locaux critiques font partie intégrante de leur dispositif de gestion des risques IT. Des contrôles spécifiques couvrent la sécurité des datacenters (alimentation, refroidissement, accès), la surveillance physique et les procédures de gestion des visiteurs et prestataires. Ce cadre est considéré comme l'un des plus avancés en Asie-Pacifique pour la gouvernance intégrée des risques physico-numériques.