Points clés
- La sécurité physique des infrastructures n'est pas l'affaire exclusive des équipes IT : les RH, l'immobilier, les achats et les opérations y jouent un rôle déterminant.
- En 2011, la compromission de RSA SecurID a démarré par une manipulation sociale d'un employé administratif, illustrant que la faille est souvent humaine et non technique.
- En 2020, Twitter a subi une intrusion après qu'un employé du support a été soudoyé pour accorder un accès physique aux systèmes internes — sans lien avec les équipes de sécurité informatique.
- ISO 27001:2022 Annexe A.7 et NIST SP 800-53 PE-2 imposent des contrôles d'accès physique transversaux à toutes les fonctions de l'organisation.
La tendance naturelle est d'assigner la sécurité des infrastructures aux équipes informatiques. Cette délimitation sous-estime la réalité opérationnelle : les accès physiques aux bâtiments, aux salles serveurs et aux équipements critiques sont quotidiennement gérés par des fonctions qui n'ont pas de formation sécurité formelle — les ressources humaines pour les badges, les achats pour les prestataires, l'immobilier pour les badges visiteurs, la maintenance pour les locaux techniques.
Cette dispersion crée des angles morts. Un badging non révoqué après le départ d'un collaborateur, un prestataire de nettoyage dont l'accès n'est pas encadré, un technicien de maintenance qui intervient sans supervision dans une salle de serveurs : ces situations relèvent autant des processus RH et achats que de la politique de sécurité informatique.
Quand les non-IT ouvrent une brèche physique
En 2019, une étude interne de la Nordea Bank (Scandinavie) a révélé que des badges d'accès à des zones restreintes avaient été utilisés par des prestataires dont les contrats étaient expirés depuis plusieurs mois. La faille ne venait pas d'une erreur informatique, mais d'un processus de clôture de contrat non synchronisé entre les achats et la sécurité physique. Aucun incident majeur n'a résulté de cette situation, mais l'audit a conduit à une révision complète du processus de fin de prestation.
En Allemagne, Deutsche Telekom a identifié lors d'un audit interne que des badges d'accès à ses datacenters étaient parfois remis à des sous-traitants IT sans validation systématique de la direction sécurité. Le processus de validation était délégué aux chefs de projet opérationnels qui n'avaient pas connaissance des exigences de l'Annexe A.7 d'ISO 27001. La remédiation a impliqué une formation obligatoire des chefs de projet sur les contrôles d'accès physique.
Au Royaume-Uni, une enquête de la Financial Conduct Authority (FCA) sur plusieurs établissements financiers a documenté que les processus RH de révocation d'accès physique présentaient des délais moyens de 3 à 14 jours après la sortie d'un collaborateur. Dans un établissement, un accès physique à une salle de trading avait été maintenu 11 jours après la fin de contrat d'un trader.
Les fonctions concernées et leurs responsabilités spécifiques
Les ressources humaines gèrent le cycle de vie des collaborateurs et des prestataires. Elles sont en première ligne pour la création et la révocation des droits d'accès physique : onboarding, mobilité interne, fin de contrat, congé longue durée. Sans processus synchronisé avec la sécurité, des droits d'accès persistent après qu'ils ne sont plus justifiés.
Les achats et la gestion des contrats conditionnent les conditions d'intervention des prestataires. Un contrat de maintenance qui n'inclut pas de clause d'encadrement des accès physiques, d'accompagnement obligatoire ou de restriction horaire laisse une marge d'action non contrôlée à des intervenants extérieurs. Le NIST SP 800-161 sur la gestion des risques de la chaîne d'approvisionnement couvre explicitement cette dimension.
L'immobilier et les services généraux gèrent les plans de contrôle d'accès, les systèmes de badges, les caméras, les sas et les zones restreintes. Ce sont eux qui définissent les niveaux d'accès par zone, souvent sans connaissance des actifs informatiques hébergés dans chaque zone. Une coordination structurée avec la DSI et la RSSI est indispensable.
Mettre en place une gouvernance transversale des accès physiques
ASIS International, dans ses standards de sécurité physique, préconise la mise en place d'un comité de sécurité physique transversal réunissant sécurité, RH, achats, immobilier et IT. Ce comité définit les processus de création et révocation des accès, les obligations d'accompagnement des prestataires, et les procédures d'audit périodique.
ISO 27001:2022 introduit dans l'Annexe A.7 des contrôles qui impliquent explicitement plusieurs fonctions : A.7.2 (contrôle d'accès physique), A.7.6 (travailler dans des zones sécurisées), A.7.10 (supports de stockage). Ces contrôles ne peuvent être mis en œuvre par la seule équipe IT — ils nécessitent une responsabilité partagée documentée dans la politique de sécurité.
Un registre unique des accès physiques, maintenu conjointement par les RH, les achats et la sécurité, permet de centraliser et d'auditer l'ensemble des droits accordés. Ce registre doit être intégré au processus de départ et aux revues périodiques d'accès. Il constitue également une preuve de conformité pour les audits ISO 27001, PCI-DSS (Exigence 9) ou SOC 2.
Un ancien ingénieur de GE a été condamné pour avoir exfiltré des secrets industriels sur des supports physiques (clés USB, disques durs) lors de ses dernières semaines d'emploi. L'enquête du FBI a révélé que les processus de sécurité physique pour les équipements personnels en zone restreinte n'étaient pas systématiquement appliqués. La direction des ressources humaines n'avait pas de procédure de vérification des effets personnels en sortie de zone. Ce cas a conduit GE à réviser ses processus de fin de contrat avec une revue conjointe RH/sécurité.
L'affaire du wiretapping de Vodafone Grèce, qui a permis l'écoute de membres du gouvernement grec, a été facilitée par un technicien ayant un accès physique légitime aux systèmes de commutation. La commission d'enquête a établi que l'accès de ce technicien n'avait pas fait l'objet d'une supervision adéquate par les équipes de sécurité. Les processus RH et opérationnels étaient déconnectés des exigences de sécurité des infrastructures critiques. Cet incident a conduit à des réformes de gouvernance chez les opérateurs télécoms européens.
Un virus introduit via un logiciel infecté sur un équipement apporté par un fournisseur lors d'une maintenance a paralysé les lignes de production de TSMC pendant plusieurs jours, causant une perte estimée à 170 millions USD. L'équipement n'a pas été soumis aux procédures de contrôle et de vérification applicables aux équipements IT internes. La direction a reconnu que le processus d'intervention des fournisseurs n'incluait pas de validation sécurité préalable, une responsabilité partagée entre les achats, les opérations et la sécurité informatique.