Il semblerait que la police de Los Angeles – USA ait remonté une recrudescence importante de cambriolage due à la présence de trappe pour animaux. Non ceci n’est pas une plaisanterie et peut être vérifié ici.
Une fois cette évidence citée et vérifiée, vous êtes en droit de vous demander où cette introduction nous emmène. D’abord à un étonnement et une certaine admiration pour une condition physique. Avez déjà essayé de passer par une trappe à animaux ? Personnellement, je peux vous assurer qu’hormis la tête je ne pense pas que le reste suivra.
la sécurité physique et ses problèmes
Pour poursuivre et être un peu plus sérieux, il me semble que cet exemple de la vie de tous les jours constitue un bon rappel sur la nécessité de garder l’aspect « sécurité physique » à l’esprit.
En effet, si l’on regarde les statistiques d’incidents, toutes causes confondues, une partie très importante reste due à des problèmes physiques. Ces derniers pourront être globalement répartis en deux grandes familles :
- les incidents dû à une mauvaise sécurisation physique de l’infrastructure,
- les accès ayant pu mener à une action délictueuse.
de la mauvaise sécurisation de l’infrastructure
La première catégorie est sans doute la plus inexcusable. Voila des années que les personnes en charge de la production ou de la sécurité rappellent que les questions d’alimentation électrique sont vitales par exemple.
Pourtant, les multi prises sont toujours de la partie, les alimentations redondantes branchées sur des circuits identiques et les mises à la masse parfois oubliées. Et encore, je ne cite que le stricte nécessaire. Si j’étais pinailleurs je devrais parler des carrelages antistatiques, des bracelets, des chaussons ou encore des sous mains également liés à cette fonction.
Et maintenant je fais appel au fond d’honnêteté présent en chacun de vous, qui utilise de façon régulière et systématique le bracelet livré avec les équipements IT ? C’est vrai, c’est à la limite de la question oratoire, mais cela montre bien que nous réalisons uniquement le strict nécessaire. Or lorsque l’on flirte avec les limites, il arrive toujours des cas où elle est dépassée …
Un autre exemple ? Il est facile de parler du matériel IT en production dans des environnements inadaptés, voire étrange, pour les sites distants. On m’a ainsi récemment parlé d’un PABX qui avait été installé sous un escalier et muré par inadvertance… L’équipe en charge du support ne l’a retrouvé qu’en suivant les câbles dans le bâtiment. S’il est certain qu’il ne risquait pas d’y avoir un accès inapproprié, toute intervention sur la machine se retrouve bien logiquement impossible. Heureusement, il ne s’agissait pas d’une intervention d’urgence. Par ailleurs, il est aussi évident que la question de la climatisation est forcément de facto hors jeu.
Les datacenters modernes et le monde du cloud ne représentant pas encore 100% de la vie IT, il reste extrêmement important de continuer à traiter la question de la sécurisation physique convenablement. C’est une garantie de continuité de service indispensable et un excellent levier pour améliorer les prestations.
de l'accès non-autorisé aux données
Le deuxième volet que j’ai évoqué, à savoir les accès inappropriés, est plus délicat mais non moins important. Si l’on se place dans le cas extrême d’une intrusion, un accès physique aux machines revient à donner la clé et proposer de se servir. Cela rend également le déni de service enfantin. Il suffit d’arracher les câbles électriques (encore, et oui, j’ai dû vivre une expérience traumatisante sur ce sujet), les câbles réseaux, les disques, …
Pour éviter ce type de problème, qui peuvent aussi correspondre à l’erreur d’un collègue qui n’aurait pas dû arriver dans ce local, une gestion stricte des accès est une évidence. Un service de badgeuse avec des droits convenablement gérés et une discrimination propre des utilisateurs avec un suivi du cycle de vie est un minimum. Il sera également possible de s’interroger sur les problématiques d’ingénierie sociale.
Trop souvent il est possible de constater qu’en étant aimable et habillé convenablement il est possible de franchir un accueil et accéder à un bâtiment. Je n’irai pas plus en avant dans cette direction, tant le sujet est vaste. Il mérite néanmoins que les bonnes questions soient posées et qu’une sensibilisation continue à exister.
et vous la-dedans ?
Pour finir, une dernière question, avez-vous une procédure garantissant la suppression de toute donnée d’un serveur mis au rebus et l’appliquez vous correctement ? Une question épineuse et pourtant importante pour éviter de perdre des données sensibles dans certaines industries.
Bref, la sécurité physique tout le monde connaît, tout le monde en parle, mais n’oublions pas de mettre en pratique tous ces beaux préceptes.
Cédric
credit photo : © Andrey Kuzmin et © Andrea Danti - Fotolia.com
Membre actif de la communauté sécurité d'orange Business Services, je suis aujourd'hui en charge, au sein de l'équipe marketing « sécurité », de la bonne prise en compte de la sécurité dans nos offres traitant des communications sur IP, et cela du mode cloud à l'intégré classique. Un large périmètre pour rencontrer des problématiques complexes sur le plan technique comme sur le plan organisationnel. Bref, un océan de motivation pour toute personne qui marche au challenge et à l'envie d'apprendre.