Voilà un contrôle qui vous sera plus concret et que vous pouvez mettre en œuvre tous les jours. Vous en appliquez même certains aspects de façon naturelle.
Présenter ces contrôles est potentiellement choquant car tout ceci est logique. Discuter longuement risque bien d’enfoncer des portes ouvertes… mon expérience me prouve cependant que beaucoup d’entreprises n’y portent pas toute l’attention voulue. A la maison, combien oublient de fermer une fenêtre ou laissent une échelle à vue avant de partir travailler ?
L’objectif est d’empêcher tout accès physique non autorisé, tout dommage ou intrusion portant sur l’information et les moyens de traitement de l’information de l’organisation.
Périmètre de sécurité physique
Il est naturel de définir le périmètre de l’espace qui est sous votre contrôle (votre maison et son terrain, votre appartement, vos bureaux) car c’est là que vous disposez vos biens personnels ou que vous réalisez vos activités professionnelles qui ne sont rien d’autre que des traitements d’informations.
Vous vous trouverez souvent confrontés au besoin de disposer de locaux contenant des biens plus précieux, comme celui où vous rangez vos bijoux et vos biens de valeur… parmi lesquels vos informations – surtout celles qui concernent votre vie privée.
Je parle du ‘périmètre de l’espace’ pour appuyer le fait que le plafond (souvent faux dans les bureaux) et le plancher sont également à considérer à côté des murs… ainsi que toutes les issues : portes, fenêtres, soupiraux, etc.
Il est essentiel que chacune des six faces des pièces, y compris les issues, présentent le même niveau de protection, la même solidité.
Toute barrière et système d’alarme sont les bienvenus pour dissuader et retarder les tentatives d’accès.
Contrôle physique des accès
Vous mettez une sonnette à votre maison ou appartement et vous n’ouvrez la porte qu’à ceux en qui vous vous fiez. Vous ne laissez pas entrer n’importe qui ni n’importe quand chez vous, dans votre chambre ou votre salle de bains.
Il en sera de même pour les locaux où vous rangez les biens de valeur et où vous traitez vos informations.
Dans vos bureaux, un comptoir d’accueil pour les visiteurs rend le même servie et note le nom des visiteurs, celui de la personne visitée ainsi que les heures d’entrée et de sortie.
Les lieux protégés pour une raison particulière auront un contrôle d’accès spécifique et seuls les personnes dûment autorisées auront accès. Ceci concerne également le personnel de tiers appelés pour une intervention technique.
Pour identifier les visiteurs, le port d’un badge est recommandé.
Comme pour les accès logiques (chapitre 9, Bonne Pratique 14), les droits d’accès aux locaux sensibles seront revus régulièrement.
Sécurisation des locaux et équipements
N’est-il pas logique de renforcer la sécurité des locaux selon la valeur de ce qu’ils contiennent ? Une salle des coffres d’une banque est super protégée, même si les coffres le sont aussi.
On ne place donc pas les biens de valeur, les ordinateurs y donnant accès ou des informations sensibles dans un local où tout le monde peut passer… ou qui est accessible de nuit sans contrôle au personnel de nettoyage.
Pensons également à fermer les portes… et les tentures si nous discutons ou affichons des informations sensibles. Ainsi les oreilles et les yeux indiscrets resteront ignorants.
Protection contre les menaces extérieures et environnementales
Les désastres naturels, climatiques et environnementaux – température, poussière, humidité, vibrations – seront évités.
Donc, ne plaçons pas nos ordinateurs et nos classeurs de documents devant des fenêtres qui peuvent être brisées. Surtout en cas de tempête.
Vos périmètres doivent également résister au temps qui passe…
Travail dans les zones sécurisées
En supplément des mesures de protection (1) et de contrôle d’accès (2), il sera utile de régler le mode et les conditions de travail dans les locaux contenant des informations et des équipements sensibles ou critiques. Ces locaux ne seront d’ailleurs connus que de ceux qui y ont autorisation d’accès.
Supervisons les activités dans ces locaux et évitons que des personnes mal intentionnées – et en qui on a confiance, ce n’est sans doute pas volontaire mais causé par une menace vitale que nous ignorons – ne les copient ou ne les dérobent. Donc, pas de smartphone, d’appareils photo, d’enregistreurs audio ni de scanner à disposition.
Zones de livraison et de chargement
Les zones de livraison sont souvent laissées sans une surveillance suffisante. Pourtant, elles jouxtent généralement des locaux sensibles. Et, qui sait, les colis que vous recevez sont-ils vraiment utiles et inoffensifs ? Un contrôle inspiré par celui dans les aéroports n’est pas toujours superflu.
Ces règles – élémentaires – de sécurité physique doivent servir d’exemple pour la sécurité de nos moyens informatiques et de nos données numériques. On l’oublie trop facilement. Les principes sont les mêmes, la mise en pratique dépend du contexte.
A bientôt, plus en sécurité avec vos informations
Jean-Luc
Google+