NYA est un cabinet-conseil en gestion de risques et de crises. Parmi les interrogations fréquentes de nos clients, on retrouve la cybersécurité, plus précisément la vulnérabilité de leur architecture. Souvent, la conversation est menée par le responsable de la technologie, qui demande à nos experts de concentrer leurs efforts sur les dispositifs technologiques de sécurité qui ont été implantés pour préserver informations, confidentialité, intégrité et accessibilité des données. Dans la plupart des cas, après avoir procédé à un examen des systèmes technologiques d’une organisation, nous pouvons donner un bilan positif : des protections de réseau appropriées sont en place, et une formation adéquate des employés a été assurée. Le client peut donc se féliciter d’un travail bien fait. Cependant, lorsque nous faisons ensuite remarquer que notre consultant a pu se promener sans difficulté dans la salle des serveurs en raison d’un manque de contrôle d’accès, rendant ainsi inutile la plus grande partie de l’architecture de sécurité soigneusement conçue par l’équipe du responsable de la technologie, la réaction devient plus... mitigée.
Depuis un certain temps, pour éviter d’avoir à résoudre la question de savoir comment la sécurité physique complète la cybersécurité, les organisations se sont concentrées sur les vulnérabilités dans le cyberespace, et ont cloisonné la responsabilité de la sécurité dans le département informatique. Pour y parvenir, elles ont principalement eu recours à des systèmes de stockage dans ce qu’on appelle communément le cloud, « le nuage », réduisant ainsi à la fois la dépendance à l’égard d’une architecture informatique physique et la nécessité de comprendre l’importance d’une protection physique. Malheureusement, cette approche ne tient pas compte d’un certain nombre de considérations essentielles.
La meilleure pratique pour répondre à la fois aux exigences réglementaires et aux obligations des utilisateurs et des clients, c’est de tirer parti de la technologie pour atteindre les objectifs de gestion des risques, tout en facilitant les processus opérationnels.
L’utilisation de logiciels de type cloud ne réduit pas la nécessité d’une infrastructure informatique physique. Elle ne fait que déplacer cette exigence matérielle vers le bas de la chaîne d’approvisionnement. Votre fournisseur a toujours besoin du matériel physique auquel votre organisation a décidé de renoncer. Par conséquent, les mesures de protection de la sécurité physique sont une nécessité pour cet endroit, sinon vos données sont toujours à risque. Lorsque l’on considère que l’un des principaux impacts d’une fuite de données importante est la réputation d’une organisation, il est peu probable qu’une stratégie de communication de crise réussie puisse être mise en œuvre si l’on tente de faire valoir, en pleine tempête, que ce n’est pas vous mais bien votre fournisseur qui est responsable de la perte des informations sensibles de vos clients. Il est donc essentiel de sérieusement vous renseigner sur les mesures de protection physique utilisées par vos fournisseurs.
Les solutions logicielles qui utilisent le cloud nécessitent toujours la distribution de matériel d’accès à différents utilisateurs dans l’organisation. Considérant que la mobilité de la main-d’œuvre tend à augmenter, les mesures de protection physique autour des locaux où se trouvent les ordinateurs portables, les téléphones et tout autre appareil lié aux informations d’une organisation sont toujours d’une importance capitale.
Les organisations doivent comprendre les menaces auxquelles elles sont confrontées afin de concevoir un système de protection physique qui peut dissuader les intrus, les détecter, retarder leurs actions et intervenir. Les infractions commises par un membre du personnel ont tendance à être plus dommageables, et c’est pourquoi les mesures de protection physique sont particulièrement importantes pour atténuer cette menace. Les employés actuels ou d’anciens employés mécontents qui sont au courant de vos politiques de sécurité et, plus important encore, de votre capacité à mettre en œuvre ces politiques, sont mieux placés pour constituer une menace importante. Par exemple, lors de la cessation d’emploi, il y a souvent une coupure entre les services des ressources humaines et les services informatiques. Il y a aussi souvent une rupture entre l’organisation et les sociétés tierces de gestion des installations; il arrive parfois que des employés accèdent à un bureau par l’intermédiaire de sociétés de sécurité qui n’ont pas été informées de leur licenciement, rendant ainsi superflues toutes les mesures de contrôle d’accès existantes.
Il est également important de considérer les menaces externes sous l’angle de la sécurité physique. Les menaces externes sont souvent associées aux cyberattaques traditionnelles, qui vont des attaques de bas niveau de type « script kiddie » aux cyberattaques complexes et sophistiquées perpétrées par des groupes criminels organisés. Cependant, nous avons également soutenu des clients dont la sécurité des informations a été compromise sans qu’il y ait la moindre indication que l’incident ait été perpétré par des moyens cybernétiques externes traditionnels. Ils avaient affaire à ce qu’on appelle le tailgating, une pratique qui profite des contrôles de sécurité physique laxistes.
Aux États-Unis, on entend par tailgating ou piggybacking une atteinte à la sécurité physique par laquelle une personne non autorisée suit un individu autorisé pour entrer dans un lieu sécurisé afin de voler des informations confidentielles. Une sensibilisation accrue à ces implications, par des initiatives telles que la formation du personnel, contribue à réduire la vulnérabilité des organisations. Le tailgating souligne l’importance d’adopter une culture consciente de la sécurité.
Au bout du compte, malgré le passage général à des environnements virtuels et de type nuage, l’importance de la sécurité physique n’a pas disparu. La convergence de l’information et de la sécurité physique signifie que les organisations doivent tenir compte du lien entre les deux domaines de sécurité. Des examens complets qui évaluent à la fois la sécurité physique et la sécurité de l’information peuvent mettre en évidence ces vulnérabilités potentielles qui sont trop souvent négligées, et ainsi permettre aux organisations de mieux protéger tous leurs actifs.
