Points clés
- Les intervenants externes sur site — techniciens de maintenance, prestataires de ménage, installateurs, auditeurs — représentent un vecteur d'accès physique non contrôlé fréquemment exploité ou négligé.
- L'intrusion dans Target (2013) est passée par les identifiants VPN d'un prestataire HVAC (chauffage/ventilation) qui intervenait physiquement dans les magasins pour la maintenance des systèmes de climatisation.
- Le malware Stuxnet a très probablement été introduit dans les installations de Natanz via un sous-traitant, illustrant que la chaîne de prestation externe est un vecteur physique à part entière.
- NIST SP 800-161 (supply chain risk management) et ISO 27001:2022 A.7.2 définissent les contrôles d'accès physique applicables aux intervenants externes.
Les organisations gèrent quotidiennement un flux d'intervenants externes sur leurs sites : techniciens de maintenance des systèmes de climatisation, de la bureautique ou des ascenseurs ; prestataires de ménage et de sécurité ; installateurs de matériel informatique ou téléphonique ; auditeurs et consultants ; livraisons et coursiers. Chacun de ces intervenants représente un point d'accès physique potentiel aux locaux, aux équipements et aux données.
La gestion de ces accès est souvent déléguée aux services généraux, sans coordination systématique avec la sécurité informatique. Les procédures d'accès — enregistrement, accompagnement, zones autorisées, équipements apportés — sont définies pour des raisons pratiques (fluidité des interventions) plutôt que sécuritaires. Cette délégation informelle crée une exposition non évaluée.
Les vecteurs d'incident liés aux prestataires externes
L'accès légitime utilisé à des fins illégitimes est le scénario le plus documenté. Target (2013) illustre comment les identifiants d'accès réseau d'un prestataire HVAC (Fazio Mechanical Services), qui utilisait un accès VPN pour la surveillance à distance des systèmes de climatisation des magasins, ont été compromis et utilisés pour accéder au réseau de point de vente de Target. La compromission a conduit au vol de 40 millions de numéros de cartes bancaires. Fazio Mechanical avait un accès réseau sans restriction de segmentation par zone fonctionnelle.
L'introduction involontaire de malware via des équipements apportés sur site est un deuxième vecteur. TSMC Taiwan (2018) a subi une paralysie de production après qu'un fournisseur a branché un équipement infecté sur le réseau de production sans passer par les procédures de quarantaine et vérification. L'équipement n'avait pas été vérifié avant son introduction en zone de production.
Le vol ou la copie de données lors d'une intervention physique constitue un troisième vecteur. Un technicien intervenant seul dans une salle serveur peut connecter un support USB à un serveur, accéder à des données sur des postes non verrouillés, ou photographier des documents confidentiels laissés visibles. Ces actions sont difficiles à détecter après coup si l'intervention n'est pas tracée et supervisée.
Contrôles d'accès pour les intervenants externes
L'enregistrement systématique de chaque intervenant externe est la première ligne de contrôle : identité vérifiée, société, motif de l'intervention, zones autorisées, durée prévue, équipements apportés. Ce registre des visiteurs et prestataires, imposé par NIST SP 800-53 PE-8 et PCI-DSS Exigence 9.3, permet de reconstituer qui était présent dans quelles zones à quel moment.
L'accompagnement obligatoire en zones à accès restreint est le contrôle le plus efficace pour limiter les actions non autorisées. Un intervenant en salle serveur, en salle des coffres ou dans une zone de traitement de données sensibles doit être accompagné par un représentant de l'organisation pendant toute la durée de l'intervention. ISO 27001:2022 A.7.6 impose des règles de travail dans les zones sécurisées qui incluent la supervision des intervenants extérieurs.
La vérification des équipements apportés sur site — ordinateurs portables, supports amovibles, équipements de test — doit faire l'objet d'une procédure formelle. Pour les zones les plus sensibles, cette vérification peut inclure une analyse de malware et une déclaration de l'intervenant sur les logiciels installés. Les prestataires de maintenance d'équipements critiques peuvent être soumis à des procédures de déconnexion préalable et de vérification d'intégrité après intervention.
Intégrer la gestion des prestataires dans les clauses contractuelles
Les obligations de sécurité physique doivent être contractualisées. Un contrat de prestation qui n'impose pas d'obligations de sécurité physique à l'intervenant laisse un vide en cas d'incident : la responsabilité de l'organisation peut être engagée si elle n'a pas pris de mesures raisonnables pour sécuriser les accès.
Les clauses contractuelles standard recommandées par l'ASIS International et le NIST SP 800-161 incluent : obligation de déclaration des équipements apportés, obligation de respect des procédures d'accès, interdiction de connexion non autorisée à des équipements, droit d'audit de l'organisation donneur d'ordre, obligation de notification immédiate en cas d'incident. Ces clauses doivent être vérifiées à chaque renouvellement de contrat.
La compromission de Target, qui a exposé les données de 110 millions de clients, illustre le risque prestataire dans toute sa dimension. Fazio Mechanical Services, le prestataire HVAC de Target, avait un accès VPN à distance pour surveiller les systèmes de climatisation des magasins. Cet accès n'était pas segmenté du réseau de point de vente. Les identifiants de Fazio ont été compromis via un email de phishing, et les attaquants ont utilisé cet accès pour pénétrer le réseau de Target et installer un malware sur les terminaux de paiement. Target a supporté plus de 200 millions USD de coûts directs. L'enquête a établi que Target n'avait pas imposé de segmentation réseau pour les accès prestataires.
L'analyse forensique de Stuxnet, réalisée notamment par Symantec et Kaspersky, a établi que le malware avait très probablement été introduit dans les installations nucléaires de Natanz — des systèmes sans connexion internet — via un support USB apporté par un intervenant externe, potentiellement un sous-traitant ou un fournisseur d'équipements. Cette hypothèse, largement acceptée par la communauté de recherche en sécurité, illustre que même les systèmes les plus isolés physiquement peuvent être compromis si les procédures d'accès et de vérification des équipements apportés par des tiers ne sont pas rigoureuses. L'ENISA cite régulièrement Stuxnet dans ses publications sur la sécurité des systèmes industriels.
L'attaque sur la chaîne d'approvisionnement de 3CX, un éditeur de logiciels de communication d'entreprise, a initialement été facilitée par la compromission d'un employé qui avait installé un logiciel Trading Technologies X_TRADER lui-même compromis. L'investigation de Mandiant a établi que la compromission avait démarré sur le poste personnel de cet employé, dont l'accès physique à l'environnement de développement de 3CX n'était pas séparé de son environnement personnel. Ce cas illustre comment un manque de contrôle de l'environnement physique de travail des collaborateurs — y compris en télétravail — peut devenir un vecteur d'attaque de la chaîne d'approvisionnement.