Points clés
- Les accès physiques non contrôlés aux locaux et aux équipements créent des vecteurs d'attaque que les outils de cybersécurité ne peuvent pas détecter
- Le tailgating (accès par "glissement" derrière une personne autorisée) est la technique physique la plus courante — et la plus difficile à éliminer sans culture de sécurité
- Les prestataires et les visiteurs avec accès non accompagnés à des zones sensibles représentent un risque documenté
- Les contrôles d'accès physiques (badges RFID, SAS, biométrie) réduisent le risque mais requièrent une gouvernance des droits aussi rigoureuse que l'IAM informatique
Les accès physiques non contrôlés aux locaux d'une organisation représentent un risque direct pour la sécurité de ses systèmes d'information. Contrairement aux accès logiques qui laissent des traces dans les journaux d'authentification, les accès physiques non autorisés passent souvent inaperçus — particulièrement dans les grandes organisations où la présence d'une personne inconnue dans les couloirs ne génère pas automatiquement une alerte.
Les techniques d'accès physique non autorisé documentées dans les tests d'intrusion physique (Red Team physique) révèlent régulièrement des organisations vulnérables à des accès non contrôlés, même parmi celles qui ont investi significativement dans leur cybersécurité logique. La sécurité physique est souvent le maillon le plus faible — et le moins testé — de la chaîne de protection.
Les vecteurs d'accès physique non autorisé
Les techniques d'accès physique non autorisé incluent le tailgating (se faufiler derrière une personne autorisée sans présenter son propre badge), le pretexting physique (se faire passer pour un technicien, un livreur ou un auditeur pour accéder aux locaux), l'accès via des zones non sécurisées (salles de serveurs dont la porte n'est pas verrouillée, câblages accessibles dans les faux plafonds), et l'exploitation des prestataires (intervenants externes avec accès aux bâtiments et pas toujours accompagnés).
Les tests d'intrusion physique conduits par des équipes de sécurité spécialisées (comme l'équipe Red Team Assessments du Pentest Partners) révèlent que la majorité des organisations de taille intermédiaire peuvent être pénétrées physiquement sans déclenchement d'alerte, souvent en moins d'une heure.
La gouvernance des accès physiques
La gouvernance des accès physiques suit les mêmes principes que l'IAM informatique : le moindre privilège (chaque personne n'accède qu'aux zones nécessaires à sa fonction), la traçabilité (journalisation de tous les accès par badge ou biométrie), la révision régulière (revue périodique des droits d'accès physiques, révocation lors des départs), et la détection des anomalies (alertes sur les accès inhabituels — hors heures, zones inhabituelles).
La cohérence entre la gouvernance des accès logiques et des accès physiques est essentielle : un collaborateur dont le compte informatique est désactivé lors de son départ doit voir ses droits d'accès physiques révoqués simultanément. Des départs traités en silo (IT révoque les accès logiques, les RH ne préviennent pas la sécurité physique de révoquer le badge) créent des fenêtres de vulnérabilité documentées.
La culture comme dernier rempart
Les contrôles techniques d'accès physique — badges, SAS, caméras — sont efficaces mais contournables par des techniques sociales. La culture de sécurité des collaborateurs est le dernier rempart : leur propension à interpeller un inconnu sans badge dans les zones sensibles, à signaler un prestataire non accompagné, ou à refuser d'ouvrir une porte à quelqu'un qui prétend avoir oublié son badge. Cette culture se construit par la formation, l'exemple de la hiérarchie, et l'absence de sanction pour les signalements — même les faux positifs.
L'attaque de Twitter en juillet 2020, qui a compromis des dizaines de comptes vérifiés (Obama, Biden, Musk, Apple), a commencé par une attaque d'ingénierie sociale téléphonique ciblant des employés de Twitter. Des employés ont été convaincus de fournir leurs credentials d'accès aux systèmes internes, potentiellement en se faisant passer pour des collègues ayant besoin d'aide en urgence. L'accès aux outils internes d'administration a permis de prendre le contrôle des comptes ciblés. L'absence de vérification d'identité rigoureuse — même par téléphone — a été le vecteur d'une compromission majeure.
Un exercice de Red Team physique commandé par le Parlement européen a révélé qu'une équipe de testeurs pouvait accéder à plusieurs zones sensibles du bâtiment en utilisant des techniques de tailgating et de pretexting (se présenter comme des techniciens de maintenance). L'exercice a conduit à une révision des procédures d'accès physique, incluant l'obligation d'accompagnement des visiteurs et des prestataires dans toutes les zones sensibles. Les résultats, publiés de manière anonymisée, ont servi de référence pour d'autres institutions européennes.
Des fraudeurs ont installé des dispositifs de skimming sur des terminaux de self-service bancaire de SBI en profitant d'un accès physique non contrôlé aux salles des équipements. La fraude, détectée après plusieurs semaines, a touché des centaines de clients. L'investigation a révélé que les zones techniques abritant les équipements bancaires étaient accessibles sans authentification physique forte. SBI a engagé un programme de renforcement des contrôles d'accès physiques pour l'ensemble de son réseau de terminaux.