La cybersécurité et l’importance de la gestion des accès physiques

La gestion des accès physiques est une partie souvent négligée dans la cybersécurité. Ce domaine est souvent relégué à un autre service comme celui des services généraux. Le service informatique n’a que très peu de visibilité et d’interopérabilité avec ce service.

La cybersécurité est moins identifiable sur les accès physiques, elle est pourtant essentielle. En effet construire une fortification autour du Système d’Information et y laisser des ouvertures béantes n’a aucun sens.

Rappelons-le, une personne mal attentionnée n’a besoin que d’une seule entrée sur le réseau ou sur l’infrastructure cible pour arriver à ses fins. Les systèmes de contrôle d’accès physiques sont donc primordiaux.

De plus en plus d’équipements sont connectés à internet et utilisent des protocoles non sécurisés. Les services généraux ne font que rarement appel à l’informatique pour l’étude et la mise en place de nouveaux équipements.

Quelques exemples :

  • Le Système d’alarme : une grande majorité de ces systèmes utilise des badges d’activation/désactivation qui utilisent des protocoles obsolètes et sont donc facilement copiables via un smartphone lors d’une pause-café par exemple
  • Cela est également vrai pour les badges ou cartes d’accès au bâtiment qui sont ensuite clonés
  • Les codes des anciens systèmes d’alarme n’ont généralement jamais été changés et ne sont pas nominatif
  • Le système de vidéosurveillance des organisations a encore trop souvent les mots de passe par défaut. Cela peut sembler anodin mais entre de mauvaises mains cela peut permettre de préparer une intrusion physique en coupant par exemple le système d’enregistrement afin de perpétrer des vols, dégradations, intrusions sur le SI, branchement d’un équipement pirate …
  • Les systèmes de fermeture par serrure et verrous n’offrent aucune garantie que la clé n’a pas été dupliquée par un salarié pour des besoins quelconques et que lors de son départ, ce dernier ne puisse plus pénétrer dans les locaux. Couplé à un système d’alarme dont le code n’a jamais été changé et vous avez là une intrusion dans les règles de l’art (qui ne sera d’ailleurs pas reconnue comme telle par les assurances)
  • L’Accès au réseau peut également se faire via le portier de communication ou autre caméra. Il suffira d’avoir accès au câble Ethernet auquel il est branché…. Mais puisque celui-ci est dans un Vlan bien isolé et sécurisé cette tentative échouera très probablement

Nous avons vu jusqu’ici quelques scénarios d’intrusions physiques dans un bâtiment.

Mais il y a encore plus simple :

L’intrusion physique en se faisant passer pour un livreur ou un prestataire faisant une maintenance…  Sur un copieur par exemple… qui s’intéresse à un copieur ?

Une fois sur site, la personne pourra alors comme dans les premiers scénarios brancher un équipement pirate et le dissimuler, ce qui lui permettra plus tard de se connecter sur le Système d’Information en toute discrétion et ainsi pérenniser ses accès. Sauf bien entendu si l’organisation a mis en place le système adéquat empêchant ce type d’attaque.

La volonté de nuire à l’organisation était présente lors des premiers exemples. Mais imaginons un chauffeur routier passant par le quai de chargement et souhaitant prendre un café ou une douche, celui-ci, équipé d’un périphérique personnel compromis le branche sur une prise Ethernet brassée…. Il pourra alors diffuser un malware à son insu ou utiliser un outil de scan réseau par curiosité ou par appât du gain etc.

Ne l’oublions pas, la sécurité du système d’information est définie par le niveau de sécurité du périphérique le plus faible .

Un dernier cas, celui du prestataire de service :

  • Son niveau de sécurité est-il suffisant ? a-t-il montré patte blanche ?
  • A-t-on vérifié son niveau de sécurité et celui de ses équipements ?
  • Son organisation dispose-t-elle d’une certification de sécurité démontrant ses aptitudes en matière de bonne pratiques ?
  • Dispose t-elle d’un plan d’assurance sécurité communiqué à l’organisation en amont de la signature du contrat ?
  • Les règles de sécurité internes lui ont-elles été transmises ?

Les motivations à de tels actes ? elle peuvent-être nombreuses :

  • Vol d’identifiants afin de se connecter au logiciel de votre système de contrôle d’accès;
  • Vol de brevets;
  • Vengeance;
  • Opportunité financière;
  • Concurrent déloyale…
LinkedIn

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

A propos de LPB Conseil

LPB Conseil est un cabinet de conseil indépendant en transformation des Organisations et en cybsersécurité.

Articles récents
Auteur de cet article
Articles de cet auteur

Téléphone : +33 (0)3 69 24 90 37​

3 rue Charles PEGUY
67200 STRASBOURG
GRAND EST, ALSACE​

PHP Code Snippets Powered By : XYZScripts.com
Retour en haut