Points clés
- Les zones techniques — salles serveurs, locaux de câblage, espaces sous plancher surélevé — sont souvent moins bien sécurisées que les espaces de bureau malgré leur plus grande criticité
- Les faux plafonds et les espaces sous plancher sont des vecteurs d'accès non contrôlés aux équipements réseau dans de nombreux bâtiments
- Les équipements placés dans des zones mixtes (couloirs techniques partagés avec d'autres locataires) présentent un risque structurel difficile à mitiger sans relocalisation
- Un audit des zones techniques non sécurisées identifie systématiquement des vulnérabilités non connues des équipes IT
Les zones techniques d'un bâtiment — salles de câblage, locaux de brassage réseau, espaces sous plancher surélevé des salles informatiques, faux plafonds avec cheminements de câbles — sont souvent caractérisées par un niveau de sécurité physique inversement proportionnel à leur criticité. Ces zones hébergent des équipements réseau critiques (switches de distribution, panneaux de brassage, câbles structurés) mais sont souvent accessibles aux techniciens de maintenance générale du bâtiment, aux équipes de nettoyage, et aux intervenants des copropriétaires ou locataires voisins.
Cette vulnérabilité est structurelle dans de nombreux bâtiments de bureaux : les zones techniques ont été conçues pour être accessibles par des techniciens multidisciplinaires, pas pour être des espaces sécurisés. La transformation de ces zones en espaces sécurisés requiert souvent des travaux et des investissements que les organisations hésitent à engager.
Les risques spécifiques des zones techniques non sécurisées
Les risques spécifiques aux zones techniques non sécurisées incluent : l'accès non détecté aux équipements réseau (installation de tap réseau, manipulation des connections, accès aux consoles out-of-band), la coupure accidentelle ou intentionnelle de câbles critiques (réseaux, alimentation), l'introduction d'équipements non autorisés (switches non gérés, points d'accès WiFi rogue), et l'accès aux systèmes de sécurité physique eux-mêmes (câblage des caméras, alimentation des contrôles d'accès).
La manipulation des équipements de sécurité physique depuis leurs zones techniques est un vecteur particulièrement préoccupant : un attaquant qui accède aux câbles d'alimentation des caméras de surveillance peut créer une fenêtre aveugle, ou qui accède aux câbles des contrôles d'accès peut potentiellement déverrouiller des portes sécurisées.
Les bonnes pratiques de sécurisation des zones techniques
Les bonnes pratiques de sécurisation des zones techniques comprennent : l'inventaire de toutes les zones techniques avec accès aux équipements IT (incluant les faux plafonds, les espaces sous plancher, et les gaines techniques), la pose de serrures dédiées sur les portes d'accès aux zones techniques avec gestion des clés ou badges électroniques, l'installation de détecteurs d'ouverture sur les portes des zones critiques, et la documentation des équipements présents dans chaque zone technique pour faciliter la détection d'ajouts non autorisés.
Dans les bâtiments multi-locataires, la sécurisation des zones techniques partagées est une problématique de contrat avec le bailleur autant que de technique : les contrats de bail doivent définir les obligations du bailleur en matière de sécurité physique des zones techniques partagées, et les conditions d'accès des autres locataires à ces zones.
Un casino de Las Vegas a subi une exfiltration de données via un aquarium connecté à Internet via un thermostat intelligent. Le thermostat, installé par un prestataire dans une zone technique accessible, était connecté au réseau interne du casino sans isolation. Les données de la base de données des clients VIP ont été exfiltrées via cette connexion. L'incident illustre comment des équipements IoT installés dans des zones techniques non sécurisées peuvent devenir des vecteurs d'attaque non anticipés.
Un audit de sécurité physique commandé par la Commission européenne a identifié des équipements réseau actifs dans plusieurs zones techniques de ses bâtiments bruxellois qui n'étaient pas référencés dans l'inventaire officiel du département IT. Ces équipements — des switches non gérés installés par des prestataires lors de travaux — avaient été connectés au réseau interne et oubliés. L'audit a conduit à une mise à jour des procédures de supervision des travaux et à un inventaire complet des zones techniques de tous les bâtiments de la Commission.
Une investigation forensique dans un hôtel en Asie du Sud-Est a révélé qu'un équipement d'interception réseau avait été installé dans une zone technique de câblage dans le bâtiment. L'équipement interceptait le trafic réseau des clients connectés au WiFi de l'hôtel depuis plusieurs mois. L'accès à la zone technique de câblage — accessible à plusieurs prestataires de maintenance du bâtiment — n'était pas journalisé. La découverte a été fortuite, lors d'une maintenance réseau. L'incident a conduit à un renforcement des contrôles d'accès aux zones techniques de l'hôtel et à une inspection des équipements présents dans ces zones.