Je reprends on bâton de pèlerin et ma présentation des contrôles issus de la norme ISO/CEI 27002 de 2013.
Cette série de contrôles fait partie du chapitre (clause 11.2) relatif à la sécurité physique et environnementale et a pour objectif « d’empêcher la perte, l’endommagement, le vol ou la compromission des actifs et l’interruption des activités de l’organisation. »
Pour moi qui ai été baigné dans la sécurité de l’information sur une période de près de 40 ans, ceci fait – devrait faire – partie du bon sens général et utilise les contrôles dont j’ai parlé ici.
Emplacement et protection du matériel
« Placer judicieusement le matériel destiné au traitement des informations de sorte qu’il ne soit pas accessible à ceux qui ne sont pas autorisés et qu’ils soient à l’abri des risques et dangers environnementaux. »
Le matériel informatique et les supports de stockage (disques durs externes et autres) contiennent des informations dont certaines sont sensibles ou ont une valeur importante. Ils seront donc placés et rangés hors de porte des ‘indésirables’.
Une estimation de la valeur des matériels prend en compte la valeur des informations qu’ils contiennent (voir 8.1).
Les risques environnementaux concernent les dégâts des eaux, l’incendie, la fumée, les poussières, les vibrations, mais aussi les problèmes d’humidité et de température.
N’oublions pas le vol et l’observation de ce que vous faites…
J’ai déjà vu des ordinateurs sur un appui de fenêtre… et quand elle est ouverte en cas de forte pluie, je ne parierais pas sur le bon état ultérieur !
Manger et boire – et fumer ! – à côté ou au dessus les ordinateurs, c’est jouer avec le feu.
Attention à la foudre et aux surtensions électriques qu’elle engendre !
Services généraux
Sans électricité pas d’informatique ! Cela tombe sous le sens. Il est donc essentiel de veiller à disposer de moyens qui permettent une alimentation fiable et stable de l’électricité. Selon l’importance de l’informatique, une alimentation de secours sera prévue pour soutenir le fonctionnement des moyens critiques.
Mais les services généraux couvrent bien d‘autres choses comme le conditionnement d’air, les connexions aux services de (télé-)communication (internet et téléphonie) et l’alimentation en eau (sans elle pas de conditionnement d’air).
Une installation de ces services selon les « règles de l’art » et l’entretient de ceux-ci selon les recommandations du fabricant sont indispensables, tout autant que les détecteurs de défaillance.
Sécurité du câblage
Les câbles sont aussi essentiels que les ordinateurs. Ils transportent les informations… ou le courant électrique. S’ils sont accessibles à ceux qui les endommageraient ou seraient capables d’écouter ce qui y passe, les autres contrôles ne serviront à rien.
Attention également de bien séparer les câbles d’alimentation électrique (courants puissants) des câbles de transmission de données afin d’éviter les interférences et les écoutes ‘passives’.
Les lignes haute tension perturbent facilement le réseau WIFI !
Evitez les « plats de spaghettis » qui exigent de longues minutes pour savoir « à quoi ça sert ? »
On enterrera donc ce qui peut l’être (les conduits scellés dans les faux planchers ou faux plafond ont le même effet). L’utilisation générale de câbles blindés est une bonne aide.
Ici également, une inspection régulière de l’état et des boitiers d’interconnexion est à prévoir.
Maintenance du matériel
Tout le matériel doit être tenu en état et entretenu suivant les indications du fabriquant.
Gardez l’historique de tous les entretiens et réparations. Cela permettra repérer les pannes qui reviennent régulièrement et de prévoir, si nécessaire un entretien ‘préventif’ comme on le fait avec sa voiture.
Attention, faites toujours appel à du personnel (et à un intervenant) autorisé et ‘de confiance’. Il est si facile de profiter de l’entretien du matériel informatique (également à distance) pour copier les informations qu’il contient ou installer un logiciel malveillant ! Bien identifier qui a fait quoi et quand sur votre matériel vous permettra de revenir auprès de l’intervenant correspondant.
En entreprise, n’hésitez pas à inspecter le matériel critique’ après un entretien pour détecter le fonctionnement correct et les modifications non demandées.
Nous compléterons cette clause la fois prochaine
Mettez-vous en pratique ces recommandations ? Et au bureau ?
N’hésitez pas à m’interroger si, d’aventure, mes explications ne sont pas claires.
A bientôt, plus en sécurité avec vos informations.
Jean-Luc