Sécuriser les salles serveurs, locaux techniques et zones critiques contre les intrusions et les dommages
L'enjeu
La sécurité physique constitue la première barrière de protection du système d'information. Un attaquant qui accède physiquement à une salle serveurs peut voler des disques durs, brancher un équipement malveillant, ou couper l'alimentation électrique. Une personne non autorisée qui entre dans un local technique peut accéder aux armoires réseau et intercepter les communications. Toutes les protections logiques deviennent inutiles si un attaquant a un accès physique aux équipements.
Qu'est-ce que la sécurité physique ?
La sécurité physique regroupe l'ensemble des mesures qui protègent les locaux, équipements et infrastructures contre les accès non autorisés, les dommages accidentels ou malveillants, et les catastrophes naturelles. L'ISO 27002 mesure 7.5 recommande cinq contrôles principaux :
- Périmètre de sécurité physique : définir des zones sécurisées avec contrôle d'accès strict (salles serveurs, locaux techniques, zones de traitement des données sensibles)
- Contrôles d'accès physique : limiter l'accès aux zones sensibles aux seules personnes autorisées par badges, biométrie, ou codes
- Sécurisation des bureaux et espaces de travail : protéger les zones de travail contenant des informations sensibles
- Protection contre les menaces environnementales : prévenir les dommages causés par incendie, inondation, surtension électrique, température excessive
- Travail dans les zones sécurisées : définir des règles pour les personnes autorisées à entrer dans les zones sensibles
Ces exigences visent à garantir que seules les personnes légitimes peuvent accéder aux infrastructures critiques et que ces infrastructures sont protégées contre les risques environnementaux.
Définir les zones de sécurité
Classification par niveau de sensibilité
Zone publique : halls d'accueil, espaces visiteurs, salles de réunion externes. Accès libre avec enregistrement des visiteurs.
Zone interne : bureaux standards, espaces communs internes, salles de réunion internes. Accès réservé aux employés et visiteurs accompagnés.
Zone restreinte : bureaux manipulant des données sensibles (finance, RH, direction), salles de réunion confidentielles. Accès limité aux personnes autorisées spécifiquement.
Zone critique : salles serveurs, locaux techniques, centres de données, locaux de télécommunications, zones de stockage des sauvegardes. Accès strictement contrôlé avec traçabilité complète.
Principe de défense en profondeur
Organiser les zones en couches successives : pour accéder à la salle serveurs, il faut d'abord entrer dans le bâtiment (1ère barrière), puis dans la zone technique (2ème barrière), puis dans la salle serveurs elle-même (3ème barrière). Chaque barrière nécessite une authentification distincte.
Contrôle d'accès aux zones sensibles
Systèmes de contrôle d'accès
Badges et cartes magnétiques : chaque employé dispose d'un badge personnel avec accès programmé uniquement aux zones nécessaires à sa fonction. Le badge permet de tracer qui est entré où et quand.
Codes PIN : combinaison du badge avec un code personnel renforce la sécurité (quelque chose que l'on possède + quelque chose que l'on connaît). Le vol d'un badge seul ne permet pas l'accès.
Biométrie : empreinte digitale ou reconnaissance faciale pour les zones les plus critiques. Impossible de prêter ou perdre une empreinte digitale.
Sas de sécurité : pour les zones critiques, installer des sas où une seule personne peut entrer à la fois, avec vérification d'identité avant ouverture de la deuxième porte. Empêche le tailgating (suivre quelqu'un qui ouvre la porte).
Gestion des visiteurs
Tout visiteur doit être enregistré (nom, société, personne visitée, heure d'entrée/sortie), accompagné en permanence par un employé autorisé, et porter un badge visiteur visible. Les visiteurs ne doivent jamais accéder aux zones restreintes ou critiques sans accompagnement constant.
Journalisation des accès
Tous les accès aux zones sensibles doivent être tracés automatiquement : qui, quand, quelle porte. Analyser régulièrement les journaux pour détecter les anomalies : accès hors horaires, tentatives d'accès refusées répétées, utilisation d'un badge après le départ de l'employé.
Sécuriser les salles serveurs et locaux techniques
Emplacement
Placer les salles serveurs et locaux techniques dans des zones non visibles depuis l'extérieur, à l'écart des zones publiques, et si possible en étage intermédiaire (pas au rez-de-chaussée accessible, pas au dernier étage exposé aux infiltrations d'eau).
Contrôle d'accès renforcé
Porte blindée avec serrure électronique et badge + code ou biométrie. Vidéosurveillance couvrant l'entrée et l'intérieur de la salle avec enregistrement conservé plusieurs mois. Alarme d'intrusion déclenchant une alerte immédiate en cas d'ouverture non autorisée.
Protection environnementale
Détection incendie avec système d'extinction automatique adapté aux équipements électroniques (gaz inerte, pas d'eau). Climatisation redondante maintenant la température entre 18 et 27°C avec alertes en cas de dépassement. Protection contre les inondations : capteurs d'humidité au sol, installation en hauteur des équipements critiques. Onduleurs (UPS) et générateur de secours pour assurer la continuité électrique.
Règles de travail en salle serveurs
Interdire les interventions en solo (principe des deux personnes). Limiter les équipements personnels autorisés (pas de caméra, pas de smartphone avec caméra dans certains contextes). Tracer toutes les interventions (qui, quand, quelle action). Vérifier que rien n'a été laissé ou ajouté après chaque intervention.
Sécurité des postes de travail et bureaux
Politique du "bureau propre"
Ne laisser aucun document sensible visible sur les bureaux en fin de journée ou lors d'absences. Ranger les documents dans des armoires fermées à clé. Verrouiller l'ordinateur lors de chaque absence, même courte.
Destruction sécurisée des documents
Utiliser des destructeurs de documents (niveau P-4 minimum pour les documents confidentiels) plutôt que de jeter les documents à la poubelle. Les corbeilles ordinaires peuvent être fouillées (dumpster diving).
Protection des écrans
Positionner les écrans de manière à ce qu'ils ne soient pas visibles depuis les zones de passage ou les fenêtres. Utiliser des filtres de confidentialité pour les postes traitant des données sensibles en open-space.
Sécurité lors des absences
Lors de départs définitifs ou d'absences prolongées, récupérer immédiatement le badge d'accès et désactiver tous les accès physiques et logiques. Vérifier que l'employé n'a pas conservé de clés ou de codes.
Tableau décisionnel
| Type de zone | Niveau de sensibilité | Contrôle d'accès | Mesures complémentaires | Traçabilité |
|---|---|---|---|---|
| Zone publique | Faible | Libre (enregistrement visiteurs) | Surveillance générale | Registre visiteurs |
| Zone interne | Moyen | Badge employés, visiteurs accompagnés | Politique bureau propre | Journalisation accès |
| Zone restreinte | Élevé | Badge + autorisation spécifique | Vidéosurveillance, armoires fermées | Journalisation complète |
| Zone critique (salle serveurs) | Très élevé | Badge + code/biométrie, sas | Alarme, détection incendie, climatisation, UPS | Journalisation + vidéo + interventions |
Gestion des menaces environnementales
Protection contre l'incendie
Installer des détecteurs de fumée et systèmes d'extinction automatique dans toutes les zones techniques. Prévoir des extincteurs adaptés (classe E pour équipements électriques). Former le personnel aux procédures d'évacuation et aux points de rassemblement.
Protection contre l'eau
Éloigner les équipements des canalisations d'eau. Installer des capteurs de fuite au sol dans les salles serveurs. Prévoir des seuils anti-inondation pour les portes. Vérifier l'étanchéité des toitures au-dessus des zones critiques.
Contrôle de l'environnement
Maintenir la température et l'humidité dans les plages recommandées (18-27°C, 40-60% humidité). Installer des sondes de surveillance avec alertes automatiques. Prévoir une climatisation redondante pour les salles serveurs.
Alimentation électrique
Installer des onduleurs (UPS) pour tous les équipements critiques, assurant au minimum 15-30 minutes d'autonomie. Pour les sites critiques, prévoir un générateur de secours permettant une autonomie de plusieurs heures ou jours. Tester régulièrement le basculement sur générateur.
Points d'attention
- Tailgating non contrôlé : laisser les employés tenir la porte aux personnes derrière eux compromet tout le système de badges. Sensibiliser est nécessaire.
- Badges d'anciens employés non désactivés : un badge actif après le départ d'un employé est une faille de sécurité majeure. Processus de récupération obligatoire lors du départ.
- Pas de journalisation des accès : sans traçabilité, impossible de savoir qui est entré dans les zones sensibles en cas d'incident. Activer et conserver les logs d'accès.
- Salle serveurs accessible sans contrôle : une salle serveurs avec une simple clé mécanique ou accessible à tous les techniciens expose tous les systèmes. Contrôle d'accès électronique recommandé.
En résumé
La sécurité physique protège les locaux et infrastructures en définissant des zones de sécurité avec contrôle d'accès adapté au niveau de sensibilité. Les zones critiques (salles serveurs, locaux techniques) nécessitent un contrôle d'accès strict par badge et code ou biométrie, avec journalisation complète et vidéosurveillance.
La protection environnementale prévient les dommages causés par incendie, inondation, température excessive et coupure électrique par des systèmes de détection, d'extinction, de climatisation et d'alimentation de secours. Les règles de travail (bureau propre, destruction sécurisée, principe des deux personnes en salle serveurs) complètent le dispositif de protection physique.
