Phylapp
Protection physique des infrastructures et données

Comment structurer une politique de sécurité physique cohérente

Structurer une politique de sécurité physique cohérente nécessite une architecture en zones concentriques, des procédures formalisées pour les visiteurs et prestataires, et une révision régulière alignée sur la politique de sécurité informatique globale.

M
Mehdi SARIAK
24 mai 2026 7 min de lecture 16 lectures

Points clés

  • Une politique de sécurité physique cohérente définit les zones, les niveaux d'accès, les procédures pour les visiteurs et prestataires, et les réponses aux incidents
  • La structure recommandée : zones concentriques de protection avec contrôles proportionnels à la sensibilité (bureau accessible, zone technique contrôlée, datacenter sécurisé)
  • ISO 27001 Annexe A.11 et le NIST SP 800-53 PE fournissent les référentiels de structuration d'une politique de sécurité physique
  • La cohérence entre politique de sécurité physique et politique de sécurité informatique est une exigence de gouvernance, pas une option

Structurer une politique de sécurité physique cohérente, c'est définir de manière explicite et documentée comment l'organisation protège ses locaux et ses équipements physiques contre les accès non autorisés, les dommages et les interférences. Cette politique doit être cohérente avec la politique de sécurité informatique globale — en appliquant les mêmes principes (moindre privilège, traçabilité, révision régulière) aux accès physiques qu'aux accès logiques.

Une politique de sécurité physique n'est pas un document déclaratif — c'est un document opérationnel qui guide les décisions quotidiennes : comment gérer un visiteur qui demande l'accès à une zone sensible, comment réagir à une alarme anti-intrusion hors heures, comment traiter un badge perdu. Sa valeur est dans sa capacité à produire des comportements cohérents et prévisibles dans ces situations.

L'architecture en zones concentriques

L'architecture de sécurité physique recommandée par la majorité des référentiels (ISO 27001, NIST, ASIS) est organisée en zones concentriques de protection, chacune avec des niveaux d'accès et de contrôle proportionnels à la sensibilité des équipements et des données qu'elle abrite.

Un modèle typique comprend trois zones : la zone publique (hall d'accueil, zones de visite — accessible avec contrôle d'identité minimum), la zone de travail (bureaux, espaces de travail — accessible aux collaborateurs et aux visiteurs accompagnés), et la zone sécurisée (salles serveurs, salles techniques, archives — accessible uniquement au personnel autorisé avec contrôle d'accès renforcé). Les interfaces entre ces zones sont des points de contrôle qui journalisent tous les passages.

Les procédures pour les visiteurs et les prestataires

Les procédures pour les visiteurs et les prestataires sont une composante critique de la politique de sécurité physique : enregistrement à l'accueil avec vérification d'identité, badge visiteur avec date d'expiration, accompagnement dans toutes les zones au-delà de la zone publique, journalisation des accès et des horaires, et révocation du badge à la sortie. Ces procédures doivent être appliquées de manière uniforme — sans exceptions pour les "prestataires habituels" ou les "personnes connues".

PCI-DSS Exigence 9 impose des procédures spécifiques pour les visiteurs et les prestataires dans les zones hébergeant des systèmes de paiement : badges distinctifs pour les visiteurs, journalisation obligatoire, et révocation des accès des prestataires lors de la fin de leur contrat.

La révision régulière de la politique

La politique de sécurité physique doit être révisée régulièrement : lors de modifications des locaux (déménagement, travaux), lors de changements dans l'organisation (nouvelles équipes, nouveaux prestataires), et au moins annuellement dans le cadre du cycle de révision de la politique de sécurité globale. Les incidents de sécurité physique — même les plus mineurs — doivent déclencher une revue des politiques et procédures concernées.

La révision doit inclure des tests de la politique : vérification que les procédures sont connues et appliquées par les collaborateurs, tests d'intrusion physique pour valider l'efficacité des contrôles techniques, et audit des journaux d'accès pour détecter des anomalies.

Politiques de sécurité physique structurées : exemples documentés
Google — Data Center Physical Security
Google a publié une documentation détaillée sur les mesures de sécurité physique de ses datacenters : accès en six couches de contrôle (clôture périmétrique, contrôle des véhicules, accès bâtiment, antichambre biométrique, cage sécurisée, châssis de serveur), surveillance vidéo 24/7, et personnel de sécurité dédié. Cette transparence — inhabituelle pour des actifs aussi critiques — est présentée comme un gage de confiance pour les clients cloud. Elle illustre comment une politique de sécurité physique bien structurée peut devenir un argument commercial.
SWIFT — Physical Security Framework pour les membres
SWIFT impose à ses membres des exigences de sécurité physique formalisées dans son Customer Security Programme (CSP). Ces exigences incluent la séparation physique des équipements SWIFT des autres équipements IT, des contrôles d'accès dédiés aux zones abritant les systèmes SWIFT, et la journalisation de tous les accès. Le respect de ces exigences est évalué lors des audits annuels du CSP. Leur formalisation a été renforcée après la compromission de la Banque du Bangladesh (2016), qui avait partiellement exploité des failles dans les contrôles d'accès physiques aux équipements SWIFT.
MAS — Physical Security Guidelines for Financial Institutions, Singapour
La Monetary Authority of Singapore (MAS) a publié des guidelines spécifiques sur la sécurité physique pour les institutions financières singapouriennes. Ces guidelines définissent les exigences minimales de contrôle d'accès pour les zones hébergeant des systèmes critiques, les standards de surveillance vidéo, et les procédures de gestion des visiteurs. La MAS vérifie la conformité à ces guidelines lors de ses inspections sur site. Plusieurs institutions ayant reçu des observations de non-conformité ont publié leurs plans de remédiation dans leurs rapports annuels.

Articles similaires

La sécurité physique reste un pilier souvent négligé du numérique

La sécurité physique reste un pilier fondamental de la protection numérique. Compromise, elle annule tous les contrôles logiques : un accès physique non autorisé à un serveur ou un équipement réseau contourne l'ensemble des protections informatiques déployées.

24 mai 2026 7 min

Les accès physiques non contrôlés : un risque sous-estimé

Les accès physiques non contrôlés — tailgating, pretexting, prestataires non accompagnés — sont des vecteurs d'attaque que les outils de cybersécurité ne détectent pas. La gouvernance des accès physiques suit les mêmes principes que l'IAM informatique.

24 mai 2026 7 min

Pourquoi la protection des locaux impacte directement la sécurité des données

La protection des locaux détermine directement la protection des données qu'ils abritent. Une salle serveur insuffisamment sécurisée équivaut à des données accessibles sans authentification — le lien physique entre locaux et données est souvent le maillon faible de la protection globale.

24 mai 2026 7 min
WhatsApp