Points clés
- Une stratégie globale de sécurité physique intègre la protection des sites, des équipements, des supports et des personnes dans un cadre cohérent, aligné sur les risques métiers et les exigences de conformité.
- Norsk Hydro (2019) illustre comment une attaque combinant vecteurs numériques et conséquences physiques — arrêt des lignes de production — peut coûter plus de 70 millions USD à une organisation industrielle sans plan de résilience physique intégré.
- Apple, Google et Microsoft publient leurs approches de sécurité physique des datacenters comme références sectorielles, illustrant que la sécurité physique est un investissement stratégique et non un simple poste de coût.
- ASIS International Physical Security Professional (PSP) et ISO 27001:2022 Annexe A.7 fournissent les référentiels de structuration d'une stratégie physique complète.
La sécurité physique n'est pas un ensemble de mesures ponctuelles — serrures, badges, caméras — mais une stratégie cohérente qui couvre l'ensemble du périmètre physique d'une organisation, de ses sites à ses équipements, de ses supports de données à ses procédures d'accès. Construire cette stratégie de manière structurée, proportionnée aux risques et alignée sur les exigences de conformité, est une responsabilité de la direction générale au même titre que la stratégie de cybersécurité.
Cette dernière article de la série sur la protection physique propose une synthèse des éléments constitutifs d'une stratégie physique complète, en s'appuyant sur les référentiels internationaux et les pratiques documentées des organisations les plus matures.
Les piliers d'une stratégie physique cohérente
La cartographie des actifs physiques est le point de départ. Elle recense tous les sites, bâtiments, locaux techniques, équipements IT et supports de données dans un inventaire structuré, avec pour chaque actif son niveau de criticité, ses exigences de protection et ses dépendances vis-à-vis des autres actifs. Cette cartographie doit être maintenue à jour et constitue la base de la stratégie physique.
L'évaluation des risques physiques analyse les menaces (intrusion, incendie, catastrophe naturelle, sabotage, vol) et les vulnérabilités (contrôles d'accès insuffisants, zones non surveillées, procédures prestataires défaillantes) pour chaque actif, en estimant la probabilité et l'impact d'un incident. ASIS International propose une méthodologie de Physical Security Assessment (PSA) qui structure cette évaluation de manière systématique.
La définition des zones de sécurité, en concentriques du périmètre extérieur jusqu'aux zones les plus sensibles (datacenters, salles des coffres, locaux de traitement des données classifiées), avec des contrôles d'accès proportionnés à chaque zone, est la structure fondamentale d'une protection physique en défense en profondeur. Cette approche, décrite dans ISO 27001:2022 A.7.1 (périmètres de sécurité physique) et dans les recommandations NIST SP 800-53 PE, s'applique à tout type d'organisation.
Technologies et processus au service de la stratégie
Les technologies de contrôle d'accès physique (systèmes de badges, biométrie, sas de sécurité) doivent être déployées en cohérence avec la cartographie des zones. Le choix des technologies doit être proportionné au niveau de risque de chaque zone : une salle serveur hébergeant des données de santé justifie un contrôle biométrique avec journal d'accès, tandis qu'un open space peut se satisfaire d'un badge d'entrée standard.
La surveillance vidéo et la détection d'intrusion constituent la seconde couche technologique. Leur configuration doit couvrir sans angle mort les zones critiques, leurs flux doivent être supervisés en temps réel pour les zones les plus sensibles, et leurs enregistrements doivent être conservés pendant une durée compatible avec les exigences de conformité (typiquement 30 à 90 jours selon les référentiels).
Les processus opérationnels — gestion des accès, procédures prestataires, gestion des supports, plan de continuité physique, procédures de destruction — transforment les technologies en protection effective. Un système de contrôle d'accès sans processus de révocation, des caméras sans surveillance active, des supports sans procédure de destruction : ces situations illustrent que la technologie sans processus n'est pas une stratégie.
Gouvernance, tests et amélioration continue
La stratégie physique doit être gouvernée dans le cadre du SMSI (ISO 27001) ou du cadre de gestion des risques globaux de l'organisation. Elle doit faire l'objet d'objectifs mesurables (indicateurs de performance physique), de revues périodiques et de tests réguliers — exercices d'intrusion physique, simulations de sinistres, tests des procédures de continuité.
L'amélioration continue s'appuie sur les résultats des tests, les constats d'incidents, les évolutions réglementaires et les changements du contexte opérationnel (nouveaux sites, nouvelles activités, nouveaux prestataires). La stratégie physique doit évoluer avec l'organisation, et non rester figée dans un document de politique approuvé une fois pour toutes.
Les organisations les plus matures intègrent la sécurité physique dans leur programme de gestion des risques global, avec une revue annuelle par la direction générale et le conseil d'administration. Cette revue traite la sécurité physique au même titre que la cybersécurité, la conformité réglementaire et la continuité d'activité — comme un pilier de la résilience organisationnelle.
Apple a conçu son campus principal de Cupertino (Apple Park) avec une stratégie de sécurité physique qui sert de référence sectorielle. Les accès sont contrôlés par zones concentriques avec des niveaux d'accréditation différenciés, les zones de développement de produits sont isolées physiquement des zones administratives, et les procédures de visite et d'accès prestataires sont strictement encadrées. Apple publie régulièrement des principes de sécurité physique de ses datacenters dans ses rapports de transparence. Cette approche illustre comment la sécurité physique peut être intégrée dès la conception d'un site (Security by Design physique).
L'attaque par ransomware LockerGoga qui a frappé Norsk Hydro en mars 2019 illustre les conséquences physiques d'une défaillance de sécurité numérique. L'attaque a arrêté les lignes de production automatisées d'aluminium dans plusieurs usines, forçant un retour aux processus manuels. La perte financière estimée a dépassé 70 millions USD. Norsk Hydro a répondu de manière exemplaire : communication transparente en temps réel, activation du plan de continuité physique dans les usines, et investissement dans un programme de sécurité intégré physique-numérique. L'approche post-incident de Norsk Hydro est régulièrement citée comme référence de gestion de crise dans les secteurs industriels.
Google opère à Singapour l'un de ses principaux datacenters en Asie-Pacifique, dont la sécurité physique est documentée comme référence sectorielle. Le site est protégé par six niveaux de contrôle physique, incluant des barrières périmètrales, des gardes formés, des sas de sécurité avec détection de métal, une identification biométrique multifacteur pour les zones critiques, et une surveillance vidéo continue. Google publie une documentation détaillée sur son approche de la sécurité physique des datacenters, incluant les certifications ISO 27001, SOC 2 Type II et les audits tiers réguliers. Ce modèle illustre l'intégration complète de la sécurité physique dans une stratégie globale de protection des infrastructures.