Points clés
- Les erreurs les plus fréquentes dans la gestion des accès physiques sont connues, documentées et récurrentes — comme pour les accès logiques
- Les cinq erreurs les plus communes : badges non révoqués après départ, accès prestataires non tracés, zones mixtes sans contrôle, équipements en zones accessibles, absence de politique formelle
- La révocation des accès physiques lors des départs est synchronisée avec la révocation des accès logiques dans moins de 50 % des organisations (Ponemon)
- PCI-DSS exige une révision trimestrielle des listes d'accès physiques pour les zones hébergeant des données de cartes bancaires
Les erreurs dans la gestion des accès physiques présentent les mêmes caractéristiques que les erreurs dans la gestion des accès logiques : elles sont connues, documentées dans les référentiels de sécurité, et pourtant récurrentes dans la pratique. La persistance de ces erreurs révèle moins un manque de connaissances qu'un manque de processus formalisés et de ressources pour les appliquer systématiquement.
La gestion des accès physiques est souvent traitée comme une responsabilité de la sécurité des bâtiments (facilities management) plutôt que comme une composante de la sécurité informatique. Cette séparation organisationnelle crée des angles morts : ni l'équipe IT ni l'équipe facilities n'a une vision complète du risque, et la coordination entre les deux sur les départs de collaborateurs ou les accès prestataires est souvent insuffisante.
La non-révocation des accès lors des départs
La non-révocation des accès physiques lors des départs de collaborateurs est l'erreur la plus fréquente et la plus risquée. Un ancien employé mécontent qui conserve un badge actif peut accéder aux locaux après son départ — et aux équipements qu'ils abritent. Cette erreur est particulièrement dangereuse parce qu'elle ne se révèle que lors d'un incident.
Les processus d'offboarding qui traitent simultanément la désactivation des accès logiques (comptes informatiques) et des accès physiques (badges, clés, codes d'accès) sont la solution. Ces processus doivent être déclenchés à la même heure que la notification du départ — pas lors du retour du matériel, qui peut intervenir plusieurs jours plus tard.
Les accès prestataires non tracés
Les prestataires qui interviennent dans les locaux (techniciens de maintenance, prestataires de nettoyage, fournisseurs de services) ont souvent des accès physiques larges et peu tracés. Leurs accès aux zones techniques n'est pas toujours journalisé, et leurs identités ne sont pas vérifiées lors de chaque intervention. Ces accès représentent un vecteur d'exposition pour les équipements sensibles.
La gestion des accès prestataires requiert : une vérification d'identité rigoureuse à chaque intervention, un accompagnement dans les zones sensibles (ou une journalisation renforcée des accès en leur absence), et une révocation des accès permanents lors de la fin du contrat. Ces exigences sont alignées sur les pratiques de gestion des identités prestataires dans les systèmes informatiques.
L'absence de politique formelle
L'absence d'une politique formelle de sécurité physique — définissant les zones sécurisées, les niveaux d'accès requis, les procédures pour les visiteurs et les prestataires, et les réponses aux incidents — est une erreur fondamentale. Sans politique formelle, les décisions d'accès physique sont prises de manière ad hoc, selon le jugement de la personne à l'accueil ou du manager qui reçoit un prestataire. Ce mode de fonctionnement est imprévisible et ne peut pas être audité.
La politique de sécurité physique doit être documentée, approuvée par la direction, communiquée à tous les collaborateurs, et revue au moins annuellement. Elle constitue le fondement sur lequel les contrôles techniques d'accès physique peuvent être construits et justifiés.
Un employé du Ritz-Carlton à Washington D.C. avait accès physique aux systèmes de réservation dans le cadre de ses fonctions. Il a utilisé cet accès pour collecter des données de cartes bancaires de clients de haut rang. L'accès physique aux terminaux, sans contrôles compensatoires (surveillance, restriction des exports de données), a rendu possible la fraude. L'incident illustre que les contrôles logiques d'accès insuffisants dans des environnements où l'accès physique est nécessaire créent des vulnérabilités structurelles.
Un audit de sécurité des installations militaires allemandes a révélé que des badges d'accès de plusieurs anciens employés et sous-traitants n'avaient pas été révoqués après leur départ, certains depuis plusieurs mois. Ces badges actifs permettaient théoriquement un accès à des zones sensibles des installations. L'audit a conduit à une révision du processus d'offboarding pour synchroniser systématiquement la révocation des accès logiques et physiques. Le cas a été cité comme exemple de défaillance processuelle dans les formations à la sécurité des installations.
Un prestataire ayant accès aux locaux de Lazada dans le cadre d'une mission de maintenance a été impliqué dans l'exfiltration de données clients. L'accès physique aux équipements, combiné à un accès logique insuffisamment restreint, a permis le vol de données. L'incident a conduit Lazada à réviser ses procédures d'accès prestataires, incluant l'accompagnement obligatoire dans toutes les zones techniques et la journalisation renforcée des activités pendant les interventions externes.