PolSec Sécurité physique et environnementale
 

Périmètre de sécurité physique

La sécurité physique concernant l'organisation est le premier aspect de sécurité à mettre en œuvre. En effet, quel intérêt y a t'il à se protéger avec des mots de passe ou des logiciels compliqués si une personne peut accéder physiquement à une ressource essentielle pour la voler, la modifier ou la détruire ? (PME voir : Pénétration dans les locaux et Insertion ou suppression de matériels et Récupération des supports et Vol caractérisé).

Ayez toujours conscience de la valeur réelle d’une ressource (voir classification) afin de pouvoir planifier une protection adéquate.

Tous les éléments répertoriés comme importants ou vitaux pour « l’organisation » doivent être installés dans des locaux sécurisés. Ces locaux constituent le périmètre de sécurité.

Règles dans le périmètre

Les locaux du périmètre de sécurité doivent être :

D’autre part, les règles suivantes doivent être respectées :

  • les clés ne doivent en aucun cas être accessibles au public.

  • les équipements de bureaux de type fax ou photocopieurs doivent être situés dans un périmètre sûr, mais pas à proximité des éléments les plus essentiels, de façon à ne pas multiplier les demandes d’accès dans cette zone,

  • les portes et les fenêtres doivent être fermées à clé, en particulier en dehors des heures de bureau,

  • les accès, en particulier au rez-de-chaussée, doivent être protégés contre l’intrusion, soit par des grilles ou par un système de détection électronique couplé à une alarme sonore,

  • les matériaux dangereux ou facilement inflammables (ceci inclut les cartons, papiers, poubelles et produits de nettoyage) ne doivent pas être stockés à proximité des éléments vitaux ou importants.

Sécurité électrique des équipements

Les alimentations électriques des équipements vitaux doivent être sécurisées :

  • par une alimentation de 2 sources différentes (2 fusibles sur 2 circuits) quand les équipements disposent de 2 alimentations (PME: voir Interruption de service et Panne de courant et Discontinuité des fournisseurs de service);

  • par une unité non interruptible qui garantit l’alimentation pendant les petites coupures et suffisamment longtemps pour éteindre les équipements proprement ;

  • par un générateur de secours.

Maintenance

Pour les ressources classifiées comme importantes ou vitales, un contrat de maintenance doit être conclu avec un délai d’intervention ou de remplacement garanti, compatible avec les besoins de disponibilité de la ressource. (PME: voir Licence non valide ou inexistante et Administration impossible). La maintenance est un critère important pour optimiser la disponibilité des ressources.

Lorsqu’un équipement quitte « l’organisation » pour maintenance, ou est mis en rebut il ne doit pas contenir de données confidentielles. Si tel est le cas, et selon la sensibilité des données, une procédure spécifique doit être décidée (traitement sur place, accompagnement du matériel, destruction du matériel, etc.). (PME: voir Endommagement du matériel pendant le transport et Récupération des supports)

Voir aussi : SOS - donner en réparation

Sécurité des équipements hors locaux

Les équipements utilisés pour le traitement des informations à l'extérieur des locaux de « l’organisation » (à la maison, dans un hôtel, chez un client), comme les laptops ou téléphones, sont soumis à des procédures de sécurité semblables. Toutefois, les utilisateurs doivent être particulièrement vigilants aux risques de vols et garder le matériel sous surveillance à tout instant. Une assurance spécifique doit être contractée pour ce type d’équipement. Le matériel peut être marqué pour prévenir tout échange. Une autorisation doit être accordée par le responsable de l’équipement dans « l’organisation » avant toute sortie de matériel. Celui-ci peut envisager l’utilisation ou non d’outils de chiffrement des données présentes sur le disque dur. (PME : voir Endommagement du matériel pendant le transport ; Vol caractérisé ; Mesures de sécurité basiques pour les ordinateurs portables)

Mise en rebut et réutilisation des équipements

Tout équipement qui est mis au rebut ou réutilisé dans un autre contexte doit être vidé de toutes ses données ;  les disques doivent être effacés. Le système pourra être réinstallé, le cas échéant. Selon la sensibilité des données sauvegardées, la destruction physique des disques (par broyeur ou démagnétiseur) doit être envisagée. (PME : voir Récupération des supports).

L’effacement classique des fichiers est insuffisant car les données resteront présentes sur le disque. Si les compétences internes manquent de connaissances pour le faire, un fournisseur externe peut s'en charger sous la surveillance d’un membre de l’organisation.

Quoi qu'il arrive, soyez respectueux de l'environnement.

Politique du bureau rangé

Respectez une politique du rangement de bureau, à savoir :

  • rangez les papiers et supports informatiques amovibles (CD-ROM, disquettes,) sans les laisser à la vue de tout le monde. Enlever vos documents de l'imprimante, fax ou photocopieurs ;

  • sauvegardez sous clés les supports les plus importants ou même dans des coffres ignifuges ;

  • lorsqu’une personne laisse son PC inutilisé pendant quelques minutes, le logiciel économiseur d’écran (screensaver) devrait s'activer. Le mot de passe permettra de quitter l’économiseur et de reprendre le travail. Il est fortement déconseillé de contourner ce mécanisme ;

  • utilisez une poubelle spéciale ou des broyeurs pour la destruction des documents papiers sensibles.