Contrôler l'accès aux bureaux, protéger les informations sensibles et prévenir les intrusions
L'enjeu
Les bureaux, salles de réunion et espaces de travail contiennent des informations sensibles sous forme papier et électronique : documents confidentiels sur les bureaux, conversations stratégiques en réunion, écrans d'ordinateurs visibles depuis les couloirs, armoires contenant des dossiers clients. Un visiteur non accompagné qui se promène dans les bureaux peut photographier des documents, un cambrioleur qui entre la nuit peut voler des ordinateurs portables, un concurrent qui assiste à une réunion peut entendre des informations stratégiques. La sécurisation des espaces de travail empêche l'accès non autorisé aux informations et équipements.
Qu'est-ce que la sécurisation des bureaux et installations ?
La sécurisation des bureaux, salles et installations consiste à appliquer des mesures de protection physique adaptées à chaque type d'espace selon la sensibilité des informations qui y sont traitées. L'ISO 27002 mesure 7.3 recommande quatre contrôles principaux :
- Contrôle d'accès aux bureaux et installations : limiter l'entrée aux zones de travail aux seules personnes autorisées
- Protection des informations sensibles : empêcher la visualisation, la copie ou le vol de documents et données
- Sécurisation des équipements : protéger les ordinateurs, imprimantes et équipements de communication contre le vol et l'usage malveillant
- Règles de sécurité des espaces de travail : définir et appliquer des pratiques sécurisées (politique bureau propre, verrouillage systématique, gestion des visiteurs
Ces contrôles visent à garantir que les informations sensibles ne peuvent pas être compromises par un accès physique non autorisé aux espaces de travail.
Contrôle d'accès aux bureaux et installations
Séparation des zones
Distinguer clairement les espaces publics (accueil, hall) des espaces internes (bureaux, salles de réunion). Les visiteurs ne doivent jamais accéder aux zones internes sans accompagnement constant d'un employé autorisé.
Systèmes de contrôle d'accès
Badges d'accès personnalisés : chaque employé dispose d'un badge nominatif avec accès programmé uniquement aux zones nécessaires à sa fonction. Le badge finance n'ouvre pas les portes du département R&D.
Lecteurs de badges aux portes : installer des lecteurs électroniques sur toutes les portes séparant zones publiques et zones internes. Les portes se verrouillent automatiquement après chaque passage.
Traçabilité : le système enregistre qui est entré où et quand. Analyser les logs pour détecter les anomalies : tentatives d'accès à des zones non autorisées, accès hors horaires de travail.
Gestion des visiteurs
Enregistrement obligatoire : tout visiteur (client, prestataire, candidat) doit être enregistré à l'accueil avec nom, société, personne visitée, heure d'entrée.
Badge visiteur visible : remettre un badge distinctif que le visiteur porte de manière visible pendant toute sa présence.
Accompagnement permanent : un employé accompagne le visiteur en permanence. Le visiteur ne doit jamais se déplacer seul dans les locaux.
Restitution du badge : vérifier à la sortie que le visiteur restitue son badge et n'emporte aucun document ou équipement.
Protection des informations sensibles dans les bureaux
Politique du "bureau propre" (Clear Desk)
En fin de journée : aucun document ne doit rester visible sur les bureaux. Ranger tous les documents dans des armoires ou tiroirs fermés à clé.
Lors des absences : même principe lors des pauses déjeuner ou absences dans la journée. Ne pas laisser de documents confidentiels accessibles sur un bureau vide.
Avantages : empêche la visualisation par des visiteurs, le nettoyage ou la maintenance, les collègues non autorisés, ou les cambrioleurs en cas d'intrusion.
Politique de "l'écran propre" (Clear Screen)
Verrouillage automatique : configurer tous les ordinateurs pour qu'ils se verrouillent automatiquement après 5 minutes d'inactivité. L'utilisateur doit ressaisir son mot de passe pour déverrouiller.
Verrouillage manuel : former les employés à verrouiller manuellement leur poste à chaque absence, même courte (aller aux toilettes, chercher un café).
Filtres de confidentialité : pour les postes en open-space ou près de zones de passage, installer des filtres de confidentialité sur les écrans. L'écran n'est lisible que de face, pas latéralement.
Positionnement des bureaux et écrans
Orienter les écrans de manière à ce qu'ils ne soient pas visibles depuis les couloirs, zones d'accueil, ou fenêtres donnant sur l'extérieur. Un écran visible depuis la rue peut être photographié avec un téléobjectif.
Salles de réunion confidentielles
Pour les réunions stratégiques (comité de direction, négociations commerciales, projets confidentiels), utiliser des salles dédiées avec fenêtres opaques ou stores fermés, et porte fermée avec panneau "réunion en cours".
Sécurisation des équipements
Protection contre le vol
Ordinateurs portables : attacher les ordinateurs portables aux bureaux par câble antivol lorsqu'ils ne sont pas utilisés, ou les ranger dans des tiroirs fermés à clé. Ne jamais laisser un ordinateur portable sans surveillance, même quelques minutes.
Smartphones et tablettes : ne pas laisser de smartphone ou tablette professionnelle visible et accessible sur un bureau. Les ranger systématiquement ou les garder sur soi.
Disques durs externes et clés USB : ranger dans des armoires fermées à clé. Ne jamais laisser traîner un support de stockage contenant des données sensibles.
Câbles de sécurité
Utiliser des câbles antivol (type Kensington) pour attacher les équipements fixes (écrans, stations d'accueil) aux bureaux. Rend le vol plus difficile et dissuade les voleurs opportunistes.
Destruction sécurisée
Destructeurs de documents : installer des destructeurs de documents dans chaque zone de bureaux. Niveau P-4 minimum pour documents confidentiels (particules ≤ 160 mm²).
Conteneurs sécurisés : pour les grandes quantités, utiliser des conteneurs verrouillés collectés régulièrement par un prestataire certifié de destruction.
Supports numériques : ne jamais jeter un disque dur, clé USB ou smartphone à la poubelle. Utiliser un broyeur de disques ou un prestataire de destruction certifié.
Règles de travail sécurisées
Impression et photocopie
Ne pas laisser de documents aux imprimantes : récupérer immédiatement les impressions. Configurer l'impression sécurisée avec badge : le document n'est imprimé que lorsque l'utilisateur badge devant l'imprimante.
Vérifier les bacs de sortie : avant de quitter une imprimante ou photocopieuse, vérifier qu'aucun document n'a été oublié dans les bacs.
Détruire les impressions ratées : ne pas jeter les impressions incorrectes à la poubelle. Utiliser le destructeur de documents.
Téléphone et communications
Pas de conversations sensibles en open-space : utiliser une salle de réunion fermée pour discuter d'informations confidentielles. Une conversation téléphonique dans un open-space peut être entendue par tous.
Attention en mobilité : lors de déplacements professionnels (train, avion, hôtel), ne pas discuter d'informations confidentielles dans des espaces publics. Les conversations dans un train peuvent être entendues par des concurrents.
Travail hors bureau
Les règles de sécurité s'appliquent aussi lors du travail hors bureau : dans un café, un coworking, ou un hôtel. Utiliser un filtre de confidentialité, verrouiller systématiquement l'écran lors d'absences, ne jamais laisser l'ordinateur sans surveillance.
Tableau décisionnel
| Type d'espace | Niveau de sensibilité | Contrôle d'accès | Mesures de protection | Politique bureau propre |
|---|---|---|---|---|
| Open space standard | Moyen | Badge employés | Verrouillage auto 5 min, filtres écran si besoin | Obligatoire en fin de journée |
| Bureaux individuels | Moyen | Badge employés + porte fermable | Verrouillage auto, armoire fermée | Obligatoire en fin de journée |
| Salles de réunion standard | Moyen | Badge employés, visiteurs accompagnés | Verrouillage auto, nettoyage tableau blanc | Obligatoire après chaque réunion |
| Bureaux direction/RH/finance | Élevé | Badge + autorisation spécifique, porte verrouillée | Armoires sécurisées, destructeur P-4, filtres écran | Obligatoire à chaque absence |
| Salles de réunion confidentielles | Élevé | Réservation + validation, badge + code | Fenêtres opaques, brouilleur audio si besoin | Obligatoire après chaque réunion |
Sensibilisation et formation
Former les collaborateurs
Expliquer pourquoi ces règles existent : protéger les informations de l'entreprise, les données clients, la propriété intellectuelle. Montrer des exemples concrets d'incidents (vol d'ordinateur portable, fuite d'informations via un visiteur).
Rappels réguliers
Organiser des rappels périodiques : email mensuel avec une règle de sécurité, affichage dans les espaces communs, quiz de sensibilisation.
Contrôles ponctuels
Effectuer des contrôles non annoncés en fin de journée : combien de bureaux ont des documents visibles ? Combien d'écrans restent déverrouillés ? Utiliser les résultats pour renforcer la sensibilisation, pas pour sanctionner.
Responsabilité individuelle
Chaque employé est responsable de la sécurité de son espace de travail. Insister sur cette responsabilité personnelle : "votre bureau, votre responsabilité".
Points d'attention
- Visiteurs non accompagnés : laisser un visiteur circuler seul dans les bureaux expose les informations sensibles. Accompagnement permanent obligatoire.
- Pas de politique bureau propre : des documents sensibles laissés visibles peuvent être photographiés par des visiteurs, le personnel de nettoyage, ou des cambrioleurs. Imposer la règle strictement.
- Écrans non verrouillés : un écran accessible pendant une absence permet à quiconque d'accéder aux données. Verrouillage automatique après 5 minutes obligatoire.
- Documents oubliés aux imprimantes : source fréquente de fuites. Configurer l'impression sécurisée avec badge ou former à la vigilance.
En résumé
La sécurisation des bureaux, salles et installations protège les informations sensibles par le contrôle d'accès aux espaces de travail (badges, accompagnement visiteurs, traçabilité), la politique bureau propre (rangement documents, verrouillage écrans, filtres de confidentialité), et la protection des équipements (câbles antivol, destruction sécurisée).
Les règles de travail sécurisées complètent le dispositif : impression sécurisée avec badge, conversations confidentielles en salles fermées, vigilance lors du travail hors bureau. La sensibilisation régulière des collaborateurs et les rappels sur la responsabilité individuelle garantissent l'application effective des mesures de protection.
