Points clés
- Les contrôles physiques constituent une composante essentielle des référentiels de conformité : PCI-DSS (Exigence 9), ISO 27001 (Annexe A.7), SOC 2 (critères de disponibilité et confidentialité), SWIFT CSP, DORA.
- PCI-DSS v4.0 consacre son Exigence 9 à la restriction de l'accès physique aux données de titulaires de cartes — avec des obligations précises de contrôle d'accès, de gestion des visiteurs et d'inventaire des équipements.
- SWIFT, dans son Customer Security Programme (CSP), impose depuis 2017 des contrôles physiques documentés sur les équipements connectés à l'infrastructure SWIFT comme condition d'accès au réseau interbancaire.
- Les auditeurs de certification ISO 27001 et les examinateurs PCI-DSS incluent systématiquement une inspection physique des sites dans leurs audits — des contrôles papier sans implémentation physique réelle ne satisfont pas les exigences.
La conformité réglementaire et normative est souvent perçue comme un sujet principalement documentaire et procédural. La sécurité physique constitue une exception notable : les référentiels les plus structurants imposent des contrôles physiques vérifiables, qui font l'objet d'inspections lors des audits. Une organisation qui documente des politiques de sécurité physique sans les mettre en œuvre matériellement ne satisfait pas aux exigences — et s'expose à des constats d'audit négatifs, voire à la perte de certifications.
Pour la direction générale, cette réalité signifie que les investissements en sécurité physique (contrôle d'accès, surveillance vidéo, gestion des supports, protection des zones sensibles) ne sont pas seulement des choix sécuritaires, mais aussi des prérequis de conformité réglementaire dans plusieurs secteurs.
PCI-DSS : la sécurité physique comme exigence centrale
PCI-DSS v4.0 (2022) maintient la sécurité physique comme une exigence de premier rang. L'Exigence 9 (Restrict physical access to cardholder data) comprend neuf sous-exigences couvrant : les contrôles d'accès physique aux zones de données de titulaires de cartes, les procédures d'identification et de gestion des visiteurs, la protection et l'inventaire des terminaux de paiement physiques, la sécurité des supports physiques contenant des données de cartes, et les procédures de destruction sécurisée des supports.
Lors d'une évaluation PCI-DSS par un QSA (Qualified Security Assessor), l'inspecteur procède à une inspection physique des zones concernées : il vérifie que les contrôles d'accès sont effectivement en place, que les caméras sont opérationnelles et couvrent les zones requises, que les terminaux de paiement sont physiquement sécurisés contre la substitution ou l'ajout de skimmers. Un écart entre la politique documentée et la réalité physique conduit à une non-conformité.
Les violations PCI-DSS liées à des défaillances physiques ont conduit à des sanctions significatives. En 2019, Wawa (chaîne de stations-service américaine) a subi une compromission de données de cartes en partie due à l'absence de surveillance physique adéquate de ses terminaux de paiement. Wawa a conclu un accord de 9 millions USD avec les procureurs généraux de plusieurs États.
ISO 27001 et SOC 2 : audits physiques intégrés
Lors d'un audit de certification ISO 27001, les auditeurs procèdent à une visite physique des sites couverts par le SMSI. Cette visite vérifie la mise en œuvre effective des contrôles de l'Annexe A.7 : existence des zones sécurisées, opérationnalité des contrôles d'accès, protection des équipements, sécurité des supports. Des preuves documentaires (registres d'accès, journaux des systèmes de contrôle d'accès, inventaires des supports) sont également demandées.
SOC 2 Type II, pour les contrôles relatifs à la disponibilité et à la confidentialité, inclut des vérifications de contrôles physiques sur la période d'audit (typiquement 12 mois). Les preuves attendues incluent les journaux d'accès physique, les enregistrements des caméras de surveillance, les registres de destruction des supports, et les rapports de tests de contrôles d'accès. Un audit SOC 2 Type II sans preuves physiques sur la période ne peut pas émettre une opinion sans réserve.
SWIFT CSP impose depuis 2021 une attestation annuelle sur les contrôles de sécurité, incluant des contrôles physiques (accès aux équipements SWIFT, sécurité physique des opérateurs). Les membres du réseau SWIFT qui ne satisfont pas ces exigences peuvent faire l'objet d'une notification à leurs contreparties ou d'une suspension d'accès au réseau.
DORA et NIS2 : sécurité physique dans les secteurs critiques
DORA (Digital Operational Resilience Act, applicable aux entités financières européennes depuis janvier 2025) impose des exigences de résilience opérationnelle qui couvrent la sécurité physique des infrastructures IT critiques. Les établissements doivent documenter et tester leurs mesures de protection physique des actifs IT critiques dans le cadre de leur cadre DORA de gestion des risques informatiques.
NIS2 (Directive sur la sécurité des réseaux et des systèmes d'information, transposée en 2024) impose aux entités essentielles et importantes des mesures de sécurité physique proportionnées au risque, incluant la protection des locaux, la sécurité des équipements et la gestion des accès physiques. Les autorités nationales compétentes peuvent procéder à des inspections sur site pour vérifier la mise en œuvre.
La chaîne de stations-service Wawa a subi entre mars et décembre 2019 une compromission de ses terminaux de paiement qui a exposé les données de millions de clients. L'enquête forensique a révélé que des dispositifs de skimming avaient été installés physiquement sur des terminaux dans les magasins, sans que les procédures de vérification physique des terminaux requises par PCI-DSS Exigence 9.9 ne soient mises en œuvre. Wawa a conclu des accords avec les procureurs de plusieurs États pour un montant global de 9 millions USD et s'est engagée à mettre en place un programme renforcé de sécurité physique de ses terminaux.
Lors du cycle d'attestation SWIFT CSP 2022, plusieurs membres du réseau ont reçu des notifications de non-conformité sur des contrôles de sécurité physique : accès non documentés aux équipements SWIFT, absence de registre d'accès physique aux zones d'hébergement des composants SWIFT, systèmes de contrôle d'accès non opérationnels. SWIFT a publié un rapport sur les résultats de ce cycle d'attestation, soulignant que les contrôles physiques représentaient une proportion significative des écarts de conformité identifiés. Ces constats ont conduit à des plans de remédiation imposés par SWIFT à ces membres.
La Monetary Authority of Singapore a conduit en 2023 des inspections sur site dans plusieurs institutions financières dans le cadre de la vérification de conformité au TRM framework. Ces inspections ont inclus une évaluation physique des datacenters et des salles de contrôle des équipements IT critiques. Des écarts ont été identifiés dans plusieurs établissements, notamment sur la gestion des accès prestataires et la sécurité des supports physiques. La MAS a exigé des plans de remédiation assortis de délais, et a publié ses conclusions (anonymisées) dans son rapport annuel de supervision technologique.