L'approche RSSI: Sécurité physique et environnementale
Périmètre de sécurité physique
La sécurité physique concernant l’organisation est le premier aspect de sécurité à mettre en œuvre. En effet, quel intérêt y a t’il à se protéger avec des mots de passe ou des logiciels compliqués si une personne peut accéder physiquement à une ressource essentielle pour la voler, la modifier ou la détruire ? (PME voir: Pénétration dans les locaux et Insertion ou suppression de matériels et Récupération de supports et Vol caractérisé).
Ayez toujours conscience de la valeur réelle d’une ressource (voir classification) afin de pouvoir planifier une protection adéquate.
Tous les éléments répertoriés comme importants ou vitaux pour “l’organisation” doivent être installés dans des locaux sécurisés. Ces locaux constituent le périmètre de sécurité.
Appliquer des mesures de sécurité pour:
- les ordinateurs
- les ordinateurs portables
- les serveurs fichier
- les serveurs mail
- le réseau fixe
- le réseau wifi interne
- le réseau wifi pour clients
- protéger les locaux
Mesures organisationnelles directement liées:
- Sécurité physique et environnementale
- Contrôle d’accès
- Gestion des incidents liés à la sécurité
- Gestion de la continuité de l’entreprise
Mesures techniques:
Règles dans le périmètre
Les locaux du périmètre de sécurité doivent être:
- protégés contre l’accès de personnes non autorisées et donc a fortiori aux personnes étrangères à “l’organisation”. (PME voir: Pénétration dans les locaux et Insertion ou suppression de matériels et Récupération de supports et Vol caractérisé). Une seule porte permet d’y accéder et l’autorisation est donnée par le responsable informatique,
- protégés contre l’incendie. Les portes doivent être coupe-feu et des alarmes incendie doivent être installés. (PME: voir Incendie)
D’autre part, les règles suivantes doivent être respectées:
- les clés ne doivent en aucun cas être accessibles au public.
- les équipements de bureaux de type fax ou photocopieurs doivent être situés dans un périmètre sûr, mais pas à proximité des éléments les plus essentiels, de façon à ne pas multiplier les demandes d’accès dans cette zone,
- les portes et les fenêtres doivent être fermées à clé, en particulier en dehors des heures de bureau,
- les accès, en particulier au rez-de-chaussée, doivent être protégés contre l’intrusion, soit par des grilles ou par un système de détection électronique couplé à une alarme sonore,
- les matériaux dangereux ou facilement inflammables (ceci inclut les cartons, papiers, poubelles et produits de nettoyage) ne doivent pas être stockés à proximité des éléments vitaux ou importants.
Appliquer des mesures de sécurité pour:
- les serveurs fichier
- les serveurs mail
- le réseau fixe
- le réseau wifi interne
- le réseau wifi pour clients
- les ordinateurs connectés à l’Internet
- les ordinateurs portables
Mesures organisationnelles directement liées:
- Classification et maîtrise des ressources
- Aspects humains
- Sécurité physique et environnementale
- Aspects opérationnels et communications
- Gestion des incidents liés à la sécurité
Mesures techniques
Sécurité électrique des équipements
Les alimentations électriques des équipements vitaux doivent être sécurisées:
- par une alimentation de 2 sources différentes (2 fusibles sur 2 circuits) quand les équipements disposent de 2 alimentations (PME: voir Service interruption et Panne de courant et Discontinuité des fournisseurs de service);
- par une unité non interruptible qui garantit l’alimentation pendant les petites coupures et suffisamment longtemps pour éteindre les équipements proprement;
- par un générateur de secours.
Appliquer dans mesures de sécurité pour:
Mesures organisationnelles directement liées:
- Classification et maîtrise des ressources
- Sécurité physique et environnementale
- Aspects opérationnels et communications
- Gestion de la continuité de l’entreprise
Mesures techniques
Maintenance
Pour les ressources classifiées comme importantes ou vitales, un contrat de maintenance doit être conclu avec un délai d’intervention ou de remplacement garanti, compatible avec les besoins de disponibilité de la ressource. (PME: voir Licence non valide ou inexistante et Administration impossible). La maintenance est un critère important pour optimiser la disponibilité des ressources
Lorsqu’un équipement quitte “l’organisation” pour maintenance, ou est mise en rebut, il ne doit pas contenir de données confidentielles. Si tel est le cas, et selon la sensibilité des données, une procédure spécifique doit être décidée (traitement sur place, accompagnement du matériel, destruction du matériel, etc.). (PME: voir Endommagement du matériel pendant le transport et Récupération de supports)
Voir aussi: SOS - donner en réparation
Appliquer dans mesures de sécurité pour:
Mesures organisationnelles directement liées:
- Organisation de la sécurité
- Classification et maîtrise des ressources
- Sécurité physique et environnementale
- Aspects opérationnels et communications
- Développement et maintenance des systèmes
- Gestion de la continuité de l’entreprise
Mesures techniques:
Sécurité des équipements hors locaux
Les équipements utilisés pour le traitement des informations à l’extérieur des locaux de “l’organisation” (à la maison, dans un hôtel, chez un client), comme les laptops ou téléphones, sont soumis à des procédures de sécurité semblables. Toutefois, les utilisateurs doivent être particulièrement vigilants aux risques de vols et garder le matériel sous surveillance à tout instant. Une assurance spécifique doit être contractée pour ce type d’équipement. Le matériel peut être marqué pour prévenir tout échange. Une autorisation doit être accordée par le responsable de l’équipement dans “l’organisation” avant toute sortie de matériel. Celui-ci peut envisager l’utilisation ou non d’outils de chiffrement des données présentes sur le disque dur. (PME: voir Endommagement du matériel pendant le transport; Vol caractérisé; Mesures de sécurité basiques pour les ordinateurs portables)
Appliquer des mesures de sécurité pour:
Mesures organisationnelles directement liées:
- Classification et maîtrise des ressources
- Contrôle d’accès
- Développement et maintenance des systèmes
- Gestion des incidents liés à la sécurité
- Conformité
Mesures techniques:
Mise en rebut et réutilisation des équipements
Tout équipement qui est mise au rebut ou réutilisé dans un autre contexte doit être vidé de toutes ses données; les disques doivent être effacés. Le système pourra être réinstallé, le cas échéant. Selon la sensibilité des données sauvegardées, la destruction physique des disques (par broyeur ou démagnétiseur) doit être envisagée. (PME: voir Récupération de supports).
L’effacement classique des fichiers est insuffisant car les données resteront présentes sur le disque. Si les compétences internes manquent de connaissances pour le faire, un fournisseur externe peut s’en charger sous la surveillance d’un membre de l’organisation.
Quoi qu’il arrive, soyez respectueux de l’environnement.
Appliquer des mesures de sécurité pour:
Mesures organisationnelles directement liées:
- Classification et maîtrise des ressources
- Aspects humains
- Sécurité physique et environnementale
- Aspects opérationnels et communications
- Conformité
Mesures techniques:
Politique du bureau propre
Respectez une politique du rangement de bureau, à savoir:
- rangez les papiers et supports informatiques amovibles (Clés USB, disques,etc) sans les laisser à la vue de tout le monde. Enlever vos documents de l’imprimante, fax ou photocopieurs;
- sauvegardez sous clés les supports les plus importants ou même dans des coffres ignifuges;
- lorsqu’une personne laisse son PC inutilisé pendant quelques minutes, le logiciel économiseur d’écran (screensaver) devrait s’activer. Le mot de passe permettra de quitter l’économiseur et de reprendre le travail. Il est fortement déconseillé de contourner ce mécanisme;
- utilisez une poubelle spéciale ou des broyeurs pour la destruction des documents papiers sensibles.
Mesures organisationnelles directement liées:
- Organisation de la sécurité
- Classification et maîtrise des ressources
- Sécurité physique et environnementale
- Aspects opérationnels et communications
- Conformité