Points clés
- La protection des locaux détermine directement la protection des données qu'ils abritent — un local insuffisamment sécurisé expose les données à des risques physiques inévitables
- Les serveurs d'entreprise souvent placés dans des salles techniques non sécurisées créent une vulnérabilité directe — équivalente à laisser les données accessibles sans authentification
- ISO 27001 et le PCI-DSS imposent des contrôles physiques spécifiques pour les zones hébergeant des systèmes et des données sensibles
- Un accès physique à un serveur pendant 10 minutes suffit à contourner un chiffrement de disque sur un système non correctement configuré
La sécurité des données hébergées dans des locaux commence par la sécurité de ces locaux eux-mêmes. Une organisation qui investit massivement dans le chiffrement, la gestion des accès logiques et la surveillance réseau, mais qui laisse ses serveurs dans une salle technique accessible à tous les collaborateurs et prestataires, a une protection globale limitée par son maillon le plus faible — la sécurité physique.
Ce lien entre protection des locaux et protection des données est souvent sous-estimé parce qu'il est difficile à visualiser : on ne voit pas les données que l'on extrait d'un disque dur, on ne voit pas le keylogger que l'on installe sur un poste de travail. Mais les conséquences de ces accès physiques sont aussi réelles et graves que celles d'une intrusion logique sophistiquée.
Les zones à risque dans les locaux d'entreprise
Plusieurs zones des locaux d'entreprise méritent une attention particulière pour leur impact sur la sécurité des données : les salles serveurs et locaux techniques (accès direct aux équipements critiques), les postes de travail dans des espaces partagés ou peu surveillés (accès aux comptes et aux données des utilisateurs), les espaces d'impression et les copieurs (les multifonctions stockent souvent en mémoire les documents copiés ou imprimés), et les salles de réunion équipées de systèmes de vidéoconférence connectés au réseau interne.
Les copieurs et imprimantes multifonctions sont un angle mort fréquent : ces appareils stockent en mémoire flash les documents imprimés, copiés ou scannés. Sans procédure d'effacement lors de leur décommissionnement, ils peuvent contenir des mois de documents confidentiels — accessibles à quiconque récupère l'appareil en fin de vie ou l'accède physiquement.
Les standards de protection physique des zones sensibles
PCI-DSS (Payment Card Industry Data Security Standard) impose des exigences détaillées sur la protection physique des systèmes de traitement des données de cartes bancaires : contrôle des accès aux zones sensibles, surveillance vidéo, gestion des visiteurs, et inspection régulière des équipements pour détecter des dispositifs de skimming ou de manipulation. Ces exigences, développées pour le secteur des paiements, sont un modèle applicable à d'autres types de données sensibles.
ISO 27001 Annexe A.11.1 définit les contrôles pour les zones sécurisées : périmètre de sécurité physique clairement défini, contrôles d'entrée physiques, protection contre les menaces externes et environnementales, et procédures pour le travail dans les zones sécurisées. Ces contrôles sont des exigences de la certification ISO 27001.
La proportionnalité des mesures de protection
La protection physique des locaux doit être proportionnée à la sensibilité des données hébergées. Un bureau d'accueil et une salle serveur ne méritent pas le même niveau de protection. La définition des niveaux de protection doit être guidée par la classification des données hébergées dans chaque zone : des zones abritant des données très sensibles requièrent des contrôles plus stricts (double authentification physique, absence de fenêtres, détecteurs de mouvement) que des zones de travail standard.
Morgan Stanley a fait l'objet de deux incidents distincts liés à la mauvaise gestion physique d'équipements en fin de vie. En 2016, des données clients ont été volées par un employé qui avait accès physique aux serveurs. En 2020, des équipements décommissionnés contenant des données non chiffrées de clients ont été cédés sans effacement sécurisé. La SEC a condamné Morgan Stanley à 35 millions de dollars. Ces deux incidents illustrent comment la protection physique — contrôle de l'accès aux équipements et procédures de décommissionnement — est une composante directe de la protection des données.
La CNIL a réalisé des contrôles sur site chez des hébergeurs de données de santé en France pour vérifier leur conformité aux exigences HDS (Hébergeur de Données de Santé). Ces contrôles incluent des vérifications physiques : accès aux locaux techniques, contrôle des procédures d'accès, présence de systèmes de surveillance. Plusieurs hébergeurs ont reçu des observations sur des non-conformités physiques (accès aux salles serveurs insuffisamment contrôlés, absence de détecteurs d'intrusion dans des zones sensibles), illustrant que la réglementation des données de santé intègre explicitement la sécurité physique.
Un disque dur externe contenant des données de patients de la Hospital Authority de Hong Kong a été volé dans des locaux administratifs. Le disque contenait des informations médicales de plus de 3 000 patients. L'investigation a révélé que le stockage physique de données sensibles dans des bureaux administratifs sans contrôle d'accès spécifique n'était pas conforme aux politiques de l'organisation. L'incident a conduit à une révision des politiques de stockage physique des données sensibles et à l'obligation de chiffrement pour tous les supports amovibles.