CASES.LU

Articles

Phishing, l’abus de confiance virtuel
Comment discuter de la cybersécurité avec vos employés ? Utilisez le BYOD!
Sécurité physique et environnementale : car les menaces ne sont pas que numériques ...
Cybersecurity4success: l’état aide les entreprises à se protéger
Règlement général sur la protection des données: privacy and security by design
Cloud: the sky is the limit?
La cybersécurité made in Luxembourg se distingue au Maroc et en Tunisie
Vacances, réseaux sociaux et Internet : un « big data » pour les cambrioleurs
CASES participe au mois de prévention de l’arnaque
Alerte: nouvele vague de Ransomware
Données personnelles: une révolution en marche
BYOD un risque et une opportunité en même temps
Risk management: from directive 95/46 to the GDPR

Sécurité physique et environnementale : car les menaces ne sont pas que numériques ...

Les entreprises ne sont pas à l’abri d’incidents d‘origine « physique et environnementale » qui peuvent avoir des conséquences graves sur les systèmes d’information et le fonctionnement de la société : Incendie, vol, intrusion, dégâts des eaux, etc. qui peuvent être perpétrés de manière totalement « physique », dans le but d’accéder à des données informatiques.

Deux vidéos CASES illustrent par des scénarios classiques les menaces physiques auxquelles sont confrontés les systèmes d’information et les données des entreprises ou des organisations :

  • Dans le premier cas, c’est une prétendue femme de ménage qui parvient à coller un « mouchard » sur un ordinateur
  • Dans le deuxième cas, un espion a simplement réussi à trouver des données sensibles en fouillant les poubelles

Les risques

La généralisation des laptops, tablettes et autres terminaux portables multiplie le risque de perte ou de vol. Une enquête menée par Kensington a révélé que :

  • 89% des sociétés ont déjà été confrontées à un vol d’ordinateur portable
  • 67% des vols d’ordinateurs portables ont lieu au bureau
  • Seulement 3% des ordinateurs portables volés sont récupérés

Il faut souligner que le coût réel d’un vol dépasse de loin celui du matériel : il peut devenir astronomique si des données sensibles étaient stockées sur ce matériel, ou si le voleur a pu accéder à d’autres ressources de l’entreprise grâce au PC volé.

Prenant 2 scénarios comme exemple : Ce sont des évènements historiques du Luxembourg.

On se souvient par exemple de l’affaire « Medicoleaks en 2012 », lorsque des milliers de dossiers médicaux avaient été divulgués, à cause d’un mot de passe visible par les visiteurs. Cet évènement a subi le « vol de mots de passe » et une forme « d’espionnage ». Mais il y avait la possibilité de « sabotage » détruisant l’intégrité des données.

Plus récemment, plusieurs inondations violentes ont fait des dégâts dans de nombreuses localités et ont touché plus de 30 entreprises notamment dans le Müllerthal. Plusieurs d’entre-elles (dont 1 hôtel, 1 garage et quelques professions libérales) ont perdu des données à cause des dégâts subis par leurs infrastructures informatiques.

Les impacts

L’impact des failles de sécurité physique peut être très élevé : les données peuvent être complètement détruites (en cas d’incendie ou d’inondation), soit utilisées de manière malveillante par des tiers, soit altérées.

D’une manière générale, les incidents peuvent avoir 5 types d’impact :

  • Impact opérationnel : le bon fonctionnement de l’organisation est affecté.
  • Impact financier : pertes directes, de marché, …
  • Impact à la réputation : la confiance des clients est rompue
  • Impact légal : en cas de poursuites judiciaires, …
  • Impact à la personne : Impactant directement la victime

Chaque risque peut avoir différents types d’impact. Ce tableau représente les impacts en prenant quelques exemples de risque :

Risques Impacts très probables mpacts possibles
Incendie Impact opérationnel
Impact financier
Impact réputation
Dégâts des eaux Impact opérationnel
Impact financier
Impact réputation
Panne électrique Impact opérationnel Impact financier
Impact réputation
Télécommunication Impact opérationnel Impact financier
Intrusion ou Vol Impact financier
Impact à la personne
Impact réputation
Impact légal
Espionnage Impact opérationnel
Impact financier
Impact à la personne
Impact réputationnel
Impact légal
Sabotage Impact opérationnel
Impact financier
Impact légal
Impact réputation

Notons qu’un seul sinistre peut avoir plusieurs types d’impact simultanément. Par exemple, si une entreprise de construction perd des données suite à un incendie, elle aura un impact financier, opérationnel et légal.

Prévention et protection

Une entreprise qui veut prospérer doit rester ouverte sur l’extérieur. Mais ouverture ne signifie pas « auberge espagnole ». En premier lieu, la sécurité physique passe par le respect des normes en vigueur en matière d’incendie et de risques environnementaux. Ensuite, il faudra définir des zones sensibles (salle informatique, certains bureaux…) qui doivent être protégées de manière spécifique, car ils abritent des données vitales ou des infrastructures critiques : une sorte d’inventaire de haut niveau.

La protection des zones sensibles doit tenir compte du type de risque qu’il faut combattre en priorité. Par exemple, pour l’incendie, on veillera à mettre en place des mécanismes d’extinction de feu utilisant des produits qui ne risquent pas d’endommager le matériel informatique, on pourra utiliser des armoires ignifugées, et on fera respecter l’interdiction de fumer. Un plan de reprise devra être mis en place et testé, en y incluant la protection des infrastructures informatiques.

Pour tout type de risque, la démarche sera la même :

  1. Identifier le périmètre
  2. Mettre en place des mesures de prévention (pour éviter le sinistre) et protection (pour protéger les installations en cas de sinistre).
  3. Tester et évaluer ces mesures régulièrement.

Pour se protéger contre tous ces risques, les moyens peuvent varier selon les situations. Voici les protections de base qui s’imposent dans la plupart des cas :

Contre les risques Protection
Panne électrique Protection électrique / régulation électrique (onduleur…)
Redondance (multiplication des machines / circuits)
Incendie Détection et protection anti incendie : interdiction de fumer, plan catastrophe, armoires ignifugées…
Back-ups décentralisés
Redondance (multiplication des machines / circuits)
Inondation Localisation des salles informatiques hors des zones à risques
système de détection d’inondation
surélévation des équipements informatiques
utilisation de tubes hermétiques pour le câblage
plancher compartimenté
Back-ups décentralisés, archives au sec
Vol, Intrusion, espionnage Accès physique restreint
accueil des visiteurs
système d’alarme
Sabotage Redondance (multiplication des machines / circuits)
Back-ups décentralisés
Accès physique restreint
Disfonctionnement de matériel Température régulée (locaux informatiques)

Le visiteur peut poser un risque important (vol ou espionnage) en cas d’une réception ou de contrôle d’accès insuffisants. Plusieurs défaillances ont été constatées en matière d’accueil des visiteurs lors des diagnostics CASES réalisés ces dernières années : notamment le manque d’accompagnement ou d’occupation de réception et l’absence de contrôle d’accès aux locaux sensibles.

Des fois, les imprimantes dans les couloirs sont utilisées pour imprimer des données sensibles. Et souvent, les employées n’ont pas directement récupéré les impressions – beaucoup de temps pour lire ou faire des copies.

Exemple : un cabinet d’avocat traite des affaires judiciaires en cours dans des contentieux commerciaux. Toute fuite d’information pourrait être utilisée pour porter préjudice aux clients impliqués, ou pour influencer l’issue de ces affaires. Des mesures de protection physiques strictes doivent donc être prises pour éviter toute forme de fuite. Par exemple, les clients ou prestataires de services seront donc reçus d’abord en réception et puis exclusivement dans des salles de réunion ou dédiées pour éviter que ces visiteurs découvrent des informations confidentielles.

Il faut aussi se méfier des regards indiscrets dans les transports publics, au restaurant, lobby et il faut savoir que ces regards puissent traverser les fenêtres. Une solution pourrait être de mettre des films plastiques (privacy screen protector / privacy filter) sur les écrans qui peuvent rendre la lecture impossible à toute personne qui se situerait en dehors de l’axe d’un utilisateur légitime… Bon à savoir !

Les poubelles sont souvent utilisées par les espions qui n’ont pas peur de ses salir les mains pour trouver l’information qu’ils recherchent. Pour ne pas leur laisser cette chance, il suffit de passer tous les documents au broyeur (shredder) afin de les rendre illisibles. Attention aux supports numériques qui sont mis au rebu : une destruction totale s’impose, car un simple effacement des données ne suffit pas toujours à les faire disparaître totalement.

Par où commencer ?

Assurer une protection optimale de son entreprise contre tous les risques peut sembler être une tâche insurmontable pour certains… Mais il ne faut surtout pas baisser les bras. On peut au contraire commencer par quelques mesures simples et peu coûteuses qui pourront réduire immédiatement et significativement le niveau de risques, des « Quick Wins ». On pensera par exemple à :

  • Installer un onduleur
  • Mettre en place un système de verrouillage des accès avec alarme
  • Mettre en place un contrôle d’accès et un registre des visiteurs
  • Placer des cadenas sur les ordinateurs de bureau …
  • Sensibiliser les employés par des formations

Si vous voulez connaitre vos failles autres que physiques dans un diagnostic initial, vous pouvez nous contacter pour profiter du service Diagnostic CASES.

Table of Content