NIST LPB Conseil
NIST : Cybersecurity Framework
22 novembre 2022

La gestion des accès physique est une partie souvent négligée dans la cybersécurité. Ce domaine est souvent relégué à un autre service comme celui des services généraux. Le service informatique n’a que très peu de visibilité et interopérabilité avec ce service.

La cybersécurité est moins identifiable sur les accès physiques, elle est pourtant essentielle. En effet construire une fortification autour du Système d’Information et y laisser des ouvertures béantes n’a aucun sens.

Rappelons-le, une personne mal attentionnée n’a besoin que d’une seule entrée sur le réseau ou sur l’infrastructure cible pour arriver à ses fins. Les systèmes de contrôle d’accès physique sont donc primordiaux.

De plus en plus d’équipements sont connectés à internet et utilisent des protocoles non sécurisés. Les services généraux ne font que rarement appel à l’informatique pour l’étude et la mise en place de nouveaux équipements.

 

 

Quelques exemples :

  • Le Système d’alarme : une grande majorité de ces systèmes utilisent des badges d’activation/désactivation qui utilisent des protocoles obsolètes et sont donc facilement copiable via un smartphone lors d’une pause-café par exemple.

 

  • Cela est également vrai pour les badges ou cartes d’accès au bâtiment qui sont ensuite clonés.

 

  • Les codes des anciens systèmes d’alarme n’ont généralement jamais été changés et ne sont pas nominatif.

 

  • Le système de vidéosurveillance des organisations a encore trop souvent les mots de passe par défaut. Cela peut sembler anodin mais entre de mauvaises mains cela peut permettre de préparer une intrusion physique en coupant par exemple le système d’enregistrement afin de perpétrer des vols, dégradations, intrusions sur le SI, branchement d’un équipement pirate …

 

  • Les systèmes de fermetures par serrure et verrous n’offrent aucune garantie que la clé n’a pas été dupliquée par un salarié pour des besoins quelconques et que lors de son départ, ce dernier ne puisse plus pénétrer dans les locaux. Couplé à un système d’alarme dont le code n’a jamais été changé et vous avez là une intrusion dans les règles de l’art (qui ne sera d’ailleurs pas reconnue comme telle par les assurances)

 

  • L’Accès au réseau peut également se faire via le portier de communication ou autre caméra. Il suffira d’avoir accès au câble Ethernet auquel il est branché…. Mais puisque celui-ci est dans un Vlan bien isolé et sécurisé cette tentative échouera très probablement ()

 

Nous avons vu jusqu’ici quelques scenarii d’intrusions physiques dans un bâtiment.

 

Mais il y a encore plus simple :

L’intrusion physique en se faisant passer pour un livreur ou un prestataire faisant une maintenance…  Sur un copieur par exemple… qui s’intéresse à un copieur ?

Une fois sur site, la personne pourra alors comme dans les premiers scenarii brancher un équipement pirate et le dissimuler, ce qui lui permettra plus tard de se connecter sur le Système d’Information en toute discrétion et ainsi pérenniser ses accès. Sauf bien entendu si l’organisation a mis en place le système adéquat empêchant ce type d’attaque ().

La volonté de nuire à l’organisation était présente lors des premiers exemples. Mais imaginons un chauffeur routier passant par le quai de chargement et souhaitant prendre un café ou une douche, celui-ci, équipé d’un périphérique personnel compromis le branche sur une prise Ethernet brassée…. Il pourra alors diffuser un malware à son insu ou utiliser un outil de scan réseau par curiosité ou par appât du gain etc.

Ne l’oublions pas, la sécurité du système d’information est définie par le niveau de sécurité du périphérique le plus faible .

Un dernier cas, celui du prestataire de service :

  • Son niveau de sécurité est-il suffisant ? a-t-il montré patte blanche ?
  • A-t-on vérifié son niveau de sécurité et celui de ces équipements ?
  • Son Organisation dispose-t-elle d’une certification de sécurité démontrant ses aptitudes en matière de bonne pratiques ?
  • Dispose t-elle d’un plan d’assurance sécurité communiqué à l’organisation en amont de la signature du contrat ?
  • Les règles de sécurité internes lui ont-elles été transmissent ?

Les motivations à de tels actes ? elle peuvent-être nombreuses :

  • Vol d’identifiants afin de se connecter au logiciel de votre système de contrôle d’accès;
  • Vol de brevets;
  • Vengeance;
  • Opportunité financière;
  • Concurrent déloyale…
gdpr-image
Ce site utilise des cookies pour améliorer votre expérience. En utilisant ce site internet, vous autorisez notre Politique de Gestion des Données Personnelles.
En savoir davantage