Security Policy – Physical and environmental security

Périmètre de sécurité physique

La sécurité physique concernant l’organisation est le premier aspect de sécurité à mettre en œuvre. En effet, quel intérêt y a t’il à se protéger avec des mots de passe ou des logiciels compliqués si une personne peut accéder physiquement à une ressource essentielle pour la voler, la modifier ou la détruire ? (PME voir: Pénétration dans les locaux et Insertion ou suppression de matériels et Récupération de supports et Vol caractérisé).

Ayez toujours conscience de la valeur réelle d’une ressource (voir classification) afin de pouvoir planifier une protection adéquate.

Tous les éléments répertoriés comme importants ou vitaux pour “l’organisation” doivent être installés dans des locaux sécurisés. Ces locaux constituent le périmètre de sécurité.

Appliquer des mesures de sécurité pour:

Mesures organisationnelles directement liées:

Mesures techniques:

sécurité physique

Règles dans le périmètre

Les locaux du périmètre de sécurité doivent être:

D’autre part, les règles suivantes doivent être respectées:

  • les clés ne doivent en aucun cas être accessibles au public.
  • les équipements de bureaux de type fax ou photocopieurs doivent être situés dans un périmètre sûr, mais pas à proximité des éléments les plus essentiels, de façon à ne pas multiplier les demandes d’accès dans cette zone,
  • les portes et les fenêtres doivent être fermées à clé, en particulier en dehors des heures de bureau,
  • les accès, en particulier au rez-de-chaussée, doivent être protégés contre l’intrusion, soit par des grilles ou par un système de détection électronique couplé à une alarme sonore,
  • les matériaux dangereux ou facilement inflammables (ceci inclut les cartons, papiers, poubelles et produits de nettoyage) ne doivent pas être stockés à proximité des éléments vitaux ou importants.

Appliquer des mesures de sécurité pour:

Mesures organisationnelles directement liées:

Mesures techniques

La sécurité physique

Sécurité électrique des équipements

Les alimentations électriques des équipements vitaux doivent être sécurisées:

  • par une alimentation de 2 sources différentes (2 fusibles sur 2 circuits) quand les équipements disposent de 2 alimentations (PME: voir Service interruption et Panne de courant et Discontinuité des fournisseurs de service);
  • par une unité non interruptible qui garantit l’alimentation pendant les petites coupures et suffisamment longtemps pour éteindre les équipements proprement;
  • par un générateur de secours.

Appliquer dans mesures de sécurité pour:

Mesures organisationnelles directement liées:

Mesures techniques

La sécurité physique

Maintenance

Pour les ressources classifiées comme importantes ou vitales, un contrat de maintenance doit être conclu avec un délai d’intervention ou de remplacement garanti, compatible avec les besoins de disponibilité de la ressource. (PME: voir Licence non valide ou inexistante et Administration impossible). La maintenance est un critère important pour optimiser la disponibilité des ressources

Lorsqu’un équipement quitte “l’organisation” pour maintenance, ou est mise en rebut, il ne doit pas contenir de données confidentielles. Si tel est le cas, et selon la sensibilité des données, une procédure spécifique doit être décidée (traitement sur place, accompagnement du matériel, destruction du matériel, etc.). (PME: voir Endommagement du matériel pendant le transport et Récupération de supports)

Voir aussi: SOS - donner en réparation

Appliquer dans mesures de sécurité pour:

Mesures organisationnelles directement liées:

Mesures techniques:

La sécurité physique

Sécurité des équipements hors locaux

Les équipements utilisés pour le traitement des informations à l’extérieur des locaux de “l’organisation” (à la maison, dans un hôtel, chez un client), comme les laptops ou téléphones, sont soumis à des procédures de sécurité semblables. Toutefois, les utilisateurs doivent être particulièrement vigilants aux risques de vols et garder le matériel sous surveillance à tout instant. Une assurance spécifique doit être contractée pour ce type d’équipement. Le matériel peut être marqué pour prévenir tout échange. Une autorisation doit être accordée par le responsable de l’équipement dans “l’organisation” avant toute sortie de matériel. Celui-ci peut envisager l’utilisation ou non d’outils de chiffrement des données présentes sur le disque dur. (PME: voir Endommagement du matériel pendant le transport; Vol caractérisé; Mesures de sécurité basiques pour les ordinateurs portables)

Appliquer des mesures de sécurité pour:

Mesures organisationnelles directement liées:

Mesures techniques:

Mise en rebut et réutilisation des équipements

Tout équipement qui est mise au rebut ou réutilisé dans un autre contexte doit être vidé de toutes ses données; les disques doivent être effacés. Le système pourra être réinstallé, le cas échéant. Selon la sensibilité des données sauvegardées, la destruction physique des disques (par broyeur ou démagnétiseur) doit être envisagée. (PME: voir Récupération de supports).

L’effacement classique des fichiers est insuffisant car les données resteront présentes sur le disque. Si les compétences internes manquent de connaissances pour le faire, un fournisseur externe peut s’en charger sous la surveillance d’un membre de l’organisation.

Quoi qu’il arrive, soyez respectueux de l’environnement.

Appliquer des mesures de sécurité pour:

Mesures organisationnelles directement liées:

Mesures techniques:

Politique du bureau propre

Respectez une politique du rangement de bureau, à savoir:

  • rangez les papiers et supports informatiques amovibles (Clés USB, disques,etc) sans les laisser à la vue de tout le monde. Enlever vos documents de l’imprimante, fax ou photocopieurs;
  • sauvegardez sous clés les supports les plus importants ou même dans des coffres ignifuges;
  • lorsqu’une personne laisse son PC inutilisé pendant quelques minutes, le logiciel économiseur d’écran (screensaver) devrait s’activer. Le mot de passe permettra de quitter l’économiseur et de reprendre le travail. Il est fortement déconseillé de contourner ce mécanisme;
  • utilisez une poubelle spéciale ou des broyeurs pour la destruction des documents papiers sensibles.

Mesures organisationnelles directement liées:

Mesures techniques:

La sécurité physique