Points clés
- La sécurité physique est la première couche de protection des systèmes d'information — compromise, elle annule tous les contrôles logiques
- Les violations de données commencent par un accès physique non autorisé dans 10 à 15 % des cas documentés (Verizon DBIR)
- Les serveurs, les câbles réseau, les terminaux de paiement et les postes de travail sont des actifs physiques vulnérables aux manipulations directes
- ISO 27001 Annexe A.11 définit les exigences de sécurité physique et environnementale comme composante obligatoire du SMSI
Dans l'évolution vers des architectures cloud et des équipes distribuées, la sécurité physique des infrastructures informatiques est progressivement marginalisée dans les discussions sur la cybersécurité. Cette marginalisation est une erreur : la sécurité physique reste la première couche de protection de tout système d'information. Compromise, elle annule l'ensemble des contrôles logiques déployés au-dessus d'elle — aucun pare-feu ni chiffrement ne résiste à un attaquant qui a un accès physique direct au matériel.
Un acteur malveillant avec un accès physique à un serveur peut extraire les données directement depuis les disques, installer un keylogger ou un implant matériel, contourner les contrôles d'authentification en manipulant le BIOS, ou provoquer une indisponibilité en débranchant l'alimentation. Ces actions ne laissent souvent pas de trace dans les journaux logiques — elles sont par nature en dehors du périmètre des outils de surveillance informatique.
Les actifs physiques les plus exposés
Les actifs physiques les plus exposés aux risques de manipulation directe sont les serveurs dans des locaux insuffisamment contrôlés, les équipements réseau (routeurs, switches, points d'accès WiFi) accessibles sans authentification physique, les terminaux de paiement susceptibles d'être trafiqués, les postes de travail laissés déverrouillés dans des espaces partagés, et les supports de stockage amovibles (clés USB, disques durs externes) qui circulent sans procédure de contrôle.
Les équipements réseau méritent une attention particulière : un attaquant qui accède physiquement à un switch de cœur de réseau peut l'utiliser pour intercepter l'ensemble du trafic réseau de l'organisation — une attaque de type man-in-the-middle qui ne laisse aucune trace dans les journaux applicatifs.
L'intégration de la sécurité physique dans la gouvernance
La sécurité physique doit être gouvernée avec la même rigueur que la sécurité logique. Elle requiert une politique formalisée (qui a accès à quoi, selon quelles procédures), des contrôles d'accès physiques (badges, codes, serrures à clé électronique), une surveillance (caméras, journalisation des entrées et sorties), et des procédures d'incident (que faire en cas d'intrusion ou d'accès non autorisé suspecté).
ISO 27001, dans son annexe A.11, définit explicitement les contrôles de sécurité physique et environnementale comme composantes du Système de Management de la Sécurité de l'Information. Ces contrôles incluent la création de zones sécurisées, la protection des équipements, et la gestion des risques environnementaux (incendie, inondation, coupures d'alimentation).
Le lien sous-estimé entre sécurité physique et continuité d'activité
La sécurité physique est aussi une composante de la continuité d'activité : un datacenter inondé, un serveur volé, un câble sectionné peuvent provoquer des interruptions aussi graves qu'une cyberattaque sophistiquée. Les plans de continuité d'activité qui ne prennent pas en compte les scénarios de défaillance physique (incendie, intrusion, dommages accidentels) sont incomplets.
L'incendie du datacenter d'OVH à Strasbourg en mars 2021 — qui a paralysé des milliers d'organisations européennes — illustre de manière dramatique l'impact que peut avoir un incident physique sur des actifs numériques.
La compromission des systèmes de paiement de Target a impliqué l'installation de malwares sur les terminaux de paiement (POS) dans les magasins. Cette installation nécessitait soit un accès physique aux terminaux, soit un accès via le réseau interne. L'investigation a révélé que les attaquants avaient utilisé l'accès réseau via un prestataire HVAC — mais que des contrôles d'accès physiques insuffisants aux zones d'équipements réseau dans les magasins avaient facilité la progression. La FTC a imposé des exigences de sécurité physique renforcées dans les conditions de règlement.
Des équipements informatiques ont été volés dans les bureaux du parti politique CDU allemand pendant la période électorale. Les appareils volés contenaient des documents confidentiels relatifs à la campagne électorale et des données de membres du parti. Malgré le chiffrement des disques sur certains appareils, l'accès physique aux équipements constitue toujours un risque résiduel — les clés de chiffrement peuvent être récupérées si les procédures de sécurité lors du vol ne sont pas correctement suivies (verrouillage immédiat, révocation des credentials).
Une série d'opérations de skimming (installation de dispositifs sur les distributeurs automatiques de billets) a touché des centaines de banques en Asie du Sud-Est entre 2016 et 2020. Les dispositifs étaient installés physiquement sur les DAB, souvent dans des zones peu surveillées. Ces opérations, attribuées à des groupes d'Europe de l'Est, ont permis de cloner des millions de cartes bancaires. Elles illustrent que la sécurité des équipements physiques — même dans des environnements supposément contrôlés comme les agences bancaires — est un enjeu majeur de sécurité financière.