Les enjeux liés à la sécurité de l’information sont, aujourd’hui, reconnus comme essentiels par la plupart des constituants de notre société : état, institutions, entreprises mais aussi particuliers, sont désormais de plus en plus conscients de cette dépendance aux systèmes d’information. Mais sécurité de l’information ne signifie pas uniquement sécurité informatique. La sécurité de l’information doit être vue comme une finalité et la sécurité informatique comme l’un des moyens permettant de l’assurer. Un autre moyen essentiel est la sécurité physique.
En effet, quelle serait l’utilité d’une gestion des identités et des accès logiques si tout individu pouvait rentrer dans le Datacenter et voler ou détruire les serveurs ou que la moitié des équipements portables des VIPs étaient régulièrement volés ou perdus. Bien entendu, une gestion efficace des accès logiques est essentielle mais un contrôle des accès physiques, pour reprendre ce premier exemple, l’est tout autant.
Et inversement, la sécurité de l’information, ou plutôt un déficit de sécurité de l’information, peut aujourd’hui avoir des conséquences sur la sécurité physique : les serrures pilotées par des réseaux informatiques en sont un exemple.
Sécurité physique et sécurité informatique doivent donc être considérées comme deux constituants essentiels et complémentaires de la sécurisation de l’information, donc de la sécurisation des organisations et de leur processus.
En réponse à ces problématiques, les RSSI qui sont responsables de la sécurité de l’information doivent donc tenir compte autant de la sécurité physique que de la sécurité informatique. L’enjeu, pour ceux-ci, est d’assurer un niveau homogène de sécurisation pour éviter, par exemple, que de l’information soit volée en dépit d’investissements importants en sécurisation informatique : En d’autres mots, s’assurer que le risque global soit effectivement réduit, quel que soit le vecteur de vulnérabilitéFaiblesse dans un système informatique permettant à un attaquant de porter atteinte à l’intégrité du système qui le contient. Souvent associée à un logiciel, la vulnérabilité permet généralement de simuler une élévation de privilèges permettant l’exécution du code fourni par l’attaquant. du système d‘information.
Le CLUSIF souhaite aujourd’hui faire un point complet sur ce sujet qui a trait aux pratiques, en place ou à développer, pour intégrer la sécurité physiques au cœur du dispositif de sécurisation de l’information. Les contributions favoriseront les retours d’expérience et pourront, par exemple mais pas uniquement, développer les thèmes suivants :
- Intégration de la sécurité physique à l’analyse de risque
- Quel périmètre de la sécurité physique adresser pour assurer la sécurité de l’information
- Quelles relations avec les Directeurs de la Sécurité au sein des organisations, et quelles synergies
- Quelles mesures mettre en place : économiques, acceptables et efficaces
- Quelles protections contre le vol, l’intrusion ou les accidents physiques touchant le Système d’Information
- Quels « quick wins », faciles à déployer pour un résultat mesurable.
