Points clés
- Piloter la sécurité physique sans indicateurs expose à des angles morts durables : des défaillances peuvent persister plusieurs années avant d'être détectées.
- Target a reçu des alertes de ses systèmes de surveillance réseau en novembre 2013, mais l'absence d'indicateurs de suivi des accès physiques des prestataires n'a pas permis d'isoler la source avant que la compromission soit étendue.
- L'ASIS International et le NIST SP 800-53 PE-6 définissent des indicateurs de surveillance physique adaptés aux organisations de toute taille.
- Un tableau de bord de sécurité physique couvre a minima : taux de révocation des accès dans les délais, nombre d'accès non accompagnés en zones restreintes, anomalies détectées par les systèmes de contrôle d'accès.
La sécurité physique est souvent pilotée de manière intuitive, sur la base d'incidents signalés ou d'audits ponctuels. Cette approche réactive laisse des angles morts structurels : des droits d'accès non révoqués, des zones insuffisamment surveillées, des prestataires intervenant sans traçabilité, des équipements mal inventoriés. Un pilotage par indicateurs permet de passer d'une posture réactive à une posture de surveillance continue, cohérente avec les exigences des référentiels de gouvernance.
L'enjeu pour la direction n'est pas de gérer les caméras ou les badges au quotidien, mais de disposer d'un tableau de bord qui permette d'identifier les dérives avant qu'elles produisent un incident. Ce tableau de bord doit être simple, actionnable et aligné sur les risques réels de l'organisation.
Indicateurs fondamentaux à suivre
Le taux de révocation des accès dans les délais définis est l'indicateur le plus directement corrélé aux incidents liés aux accès non contrôlés. La norme est la révocation des accès physiques dans les 24 heures suivant la sortie d'un collaborateur ou la fin d'un contrat prestataire. Un taux inférieur à 95 % doit déclencher une revue des processus RH et achats.
Le nombre d'accès non accompagnés en zones à accès restreint mesure le respect des procédures d'escorte. Chaque accès non accompagné à une salle serveur, une salle des coffres, un local technique ou une zone de traitement de données sensibles devrait être documenté et justifié. Les accès non documentés représentent une exposition directe.
Le taux de tentatives d'accès refusées par les systèmes de contrôle d'accès (badge refusé, badge hors horaire autorisé) est un signal d'anomalie comportementale. Une augmentation de ce taux sur une zone particulière peut indiquer une tentative d'intrusion ou un problème de processus (badge non mis à jour après changement de rôle). Ce signal est souvent disponible dans les systèmes de gestion de contrôle d'accès (PACS) mais rarement remonté à la direction.
Indicateurs avancés pour les organisations matures
Le délai moyen de détection d'une anomalie physique mesure l'efficacité du système de surveillance. Il intègre le temps entre l'événement (accès non autorisé, tentative d'intrusion, équipement déplacé) et sa détection par les équipes de sécurité. ISO 27001:2022 A.7.4 impose la mise en place de systèmes de détection et d'alerte pour les zones sécurisées.
La couverture de l'inventaire des équipements critiques mesure le pourcentage d'équipements sensibles (serveurs, postes de traitement, équipements réseau) dont l'emplacement et l'état sont documentés dans un registre à jour. Un taux élevé de couverture est une condition préalable à la détection des équipements déplacés ou manquants.
Le nombre de tests d'intrusion physique réalisés et leurs résultats constituent un indicateur de l'efficacité réelle des contrôles. La BCE, dans son cadre TIBER-EU, inclut des composantes de test physique (accès aux locaux, tentatives de social engineering) dans ses exercices de red team pour les institutions financières systémiques. Les organisations moins exposées peuvent se limiter à des exercices de vérification périodique réalisés en interne.
Mettre les indicateurs en perspective stratégique
Un tableau de bord de sécurité physique ne doit pas rester confiné au RSSI ou au responsable sécurité physique. Les indicateurs critiques — taux de révocation des accès, anomalies détectées, résultats de tests physiques — doivent être présentés au comité de direction et au conseil d'administration dans le cadre du reporting global de sécurité.
PCI-DSS (version 4.0, Exigence 9) impose une revue périodique des contrôles d'accès physique et des enregistrements de contrôle d'accès. SOC 2 Type II exige une documentation continue des contrôles physiques sur la période d'audit. Ces obligations réglementaires font des indicateurs de sécurité physique une composante du reporting de conformité, et non plus seulement de la gestion opérationnelle.
Le NIST SP 800-53 PE-6 (Surveillance de l'accès physique) et PE-8 (Enregistrements des visiteurs) définissent des exigences précises de documentation et de revue qui fournissent un cadre pour construire ces indicateurs. L'ASIS International Physical Security Professional (PSP) propose une méthodologie d'évaluation des performances des systèmes de sécurité physique adaptée à différentes typologies d'organisations.
La compromission de la base de données Starwood, révélée en 2018, avait démarré en 2014. Pendant quatre ans, aucun indicateur de détection n'a signalé l'accès non autorisé aux systèmes de gestion des réservations. L'enquête a établi que les contrôles physiques des datacenters de Starwood n'étaient pas intégrés dans le système de pilotage de la sécurité globale de Marriott après la fusion. L'absence de tableau de bord unifié de sécurité physique a contribué à retarder la détection. L'amende de la FTC et les coûts de remédiation ont dépassé 200 millions USD.
Suite à plusieurs incidents impliquant des accès non autorisés à des zones techniques dans ses aéroports et ses centres de données opérationnels, Lufthansa a entrepris en 2020 une révision complète de son dispositif de pilotage de la sécurité physique. La révision a introduit des indicateurs de performance physique (KPI physiques) présentés trimestriellement au COMEX, incluant le taux de couverture de l'inventaire des équipements critiques, le délai moyen de révocation des accès et le nombre d'anomalies détectées par les PACS. Cette révision a été saluée par l'ASIS International comme un exemple de gouvernance physique intégrée.
Le Singapore Prison Service a présenté lors d'une conférence de l'ASIS International Asia-Pacific son dispositif de pilotage de la sécurité physique dans ses établissements. Le système intègre des indicateurs temps réel sur les accès physiques, la détection biométrique, et les anomalies comportementales sur les postes de travail. Le tableau de bord est présenté mensuellement à la direction générale et fait l'objet d'une revue annuelle par un auditeur externe. Ce modèle illustre comment un pilotage par indicateurs peut couvrir des environnements à très haute exigence de sécurité physique.