Points clés
- Les équipements critiques requièrent une protection différenciée proportionnelle à leur importance pour la continuité d'activité et la sécurité des données
- La définition des équipements critiques dépend de la classification des actifs — pas uniquement de leur valeur technique
- Les équipements critiques incluent les serveurs de production, les équipements réseau de cœur, les systèmes de sauvegarde, et les équipements de contrôle industriel
- La protection différenciée se traduit par des zones d'accès restreintes, une surveillance renforcée, des protections environnementales et des procédures de maintenance sécurisées
Tous les équipements informatiques ne méritent pas le même niveau de protection physique. Un poste de travail standard et le serveur de production d'une application critique présentent des niveaux de risque radicalement différents — leur compromission physique aurait des conséquences disproportionnées. La protection différenciée reconnaît cette réalité et alloue les ressources de sécurité physique de manière proportionnelle à la criticité des équipements.
Cette proportionnalité requiert d'abord une classification des équipements selon leur criticité — exercice qui n'est pas naturellement réalisé par les équipes IT dont la priorité est la continuité opérationnelle plutôt que la sécurité physique. La classification doit être conduite en coordination avec les équipes de sécurité, en tenant compte de la nature des données traitées, des fonctions critiques supportées, et des options de reprise disponibles en cas de panne.
Les équipements nécessitant une protection renforcée
Les équipements qui méritent systématiquement une protection physique renforcée incluent : les serveurs de production des applications critiques (indisponibilité à fort impact métier), les équipements réseau de cœur (routeurs, switches principaux dont la compromission affecte l'ensemble des communications), les systèmes de sauvegarde et de reprise (leur destruction simultanée avec les données primaires est le scénario catastrophe), les systèmes d'authentification et de gestion des identités (Active Directory, serveurs IAM — leur compromission physique peut permettre l'accès à tous les systèmes), et les équipements de sécurité (pare-feu, systèmes de détection d'intrusion — leur manipulation physique peut ouvrir des brèches dans la protection).
Les équipements OT (automates industriels, contrôleurs SCADA) dans les environnements industriels doivent également faire l'objet d'une protection physique renforcée : leur manipulation peut avoir des effets physiques directs sur les processus qu'ils contrôlent.
Les mesures de protection physique différenciée
La protection physique différenciée des équipements critiques comprend : la localisation dans des zones sécurisées avec accès restreint (baies fermées à clé dans les salles serveurs, enclosures dédiées), la surveillance spécifique (capteurs de vibration sur les baies de serveurs, alertes sur les ouvertures non autorisées), les protections environnementales renforcées (alimentation redondante, climatisation dédiée, détection incendie spécifique), et les procédures de maintenance sécurisées (validation des intervenants, accompagnement lors des maintenances, vérification après intervention).
La protection du câblage des équipements critiques est souvent négligée : des câbles réseau et d'alimentation courant dans des zones accessibles sont vulnérables à la coupure accidentelle ou intentionnelle. Les bonnes pratiques recommandent de conduits dédiés et sécurisés pour le câblage des équipements critiques.
La Federal Reserve Bank of New York abrite les réserves d'or de plusieurs nations et les systèmes de règlement des transactions interbancaires les plus critiques du système financier mondial. La protection physique de ces systèmes — plusieurs niveaux de contrôle d'accès, bunkers souterrains, redondances physiques sur plusieurs sites — est dimensionnée à l'importance systémique de ces équipements. Sans être entièrement publiée pour des raisons de sécurité, cette architecture de protection est décrite comme le standard de référence pour la protection physique des actifs financiers critiques.
L'ENISA a publié un guide spécifique sur la protection physique des opérateurs d'infrastructures critiques en Europe, dans le cadre de la directive NIS. Ce guide définit des catégories d'équipements critiques et des niveaux de protection physique recommandés pour chaque catégorie, en tenant compte des menaces physiques et hybrides. Le guide est utilisé par les autorités nationales compétentes comme référence pour évaluer les mesures de protection physique des opérateurs désignés dans chaque État membre.
Singapore Power, l'opérateur d'infrastructure énergétique de Singapour, a développé un programme de protection physique différenciée de ses équipements de contrôle industriel. Les automates et systèmes SCADA contrôlant le réseau électrique sont hébergés dans des zones avec contrôles d'accès biométriques, surveillance vidéo continue, et procédures de maintenance avec double présence obligatoire. Ce programme, développé en coordination avec la Singapore Civil Defence Force, est présenté comme exemple de protection physique intégrée pour les infrastructures critiques dans les rapports annuels de la Critical Information Infrastructure protection de Singapour.