| audit SSI
L’intrusion physique : un risque pour la cybersécurité
Dans un monde de plus en plus interconnecté, les enjeux de la cybersécurité occupent une place majeure dans la stratégie de protection des entreprises. Souvent, l’accent est mis sur les menaces informatiques, les cyberattaques et autres malwares, phishing, ou encore ransomwares. Toutefois, cette approche souvent unilatérale tend à occulter une menace pour la sécurité d’une entreprise : l’intrusion physique.
Malgré la montée en puissance des menaces cyber, l’intrusion physique demeure un risque important, qui mérite une attention tout aussi importante. Ce déséquilibre dans la perception des risques nécessite une réévaluation urgente pour assurer une protection complète des actifs numériques. Dans cet article, nous allons explorer les raisons pour lesquelles l’intrusion physique doit être intégrée dans la stratégie globale de cybersécurité des organisations et comment elles peuvent agir pour réduire ce risque de sécurité.
Qu'est-ce que l'intrusion physique ?
L’intrusion physique se réfère à toute tentative non autorisée d’accéder à des installations, des ressources ou des informations sensibles par une présence physique directe. Contrairement aux attaques cyber, qui impliquent une intrusion à distance des systèmes informatiques, l’intrusion physique nécessite la présence réelle de l’individu dans ou autour d’espaces physiquement sécurisés.
Le risque d’intrusion physique a un lien direct avec la cybersécurité car elle permet aux attaquants de dépasser les barrières numériques par des moyens physiques. Un accès physique non autorisé à des salles de serveurs permet à un hacker de contourner des pare-feux ou autres dispositifs de sécurité informatique, et installer directement un agent malveillant ou un logiciel d’extraction de données, sur le SI de l’entreprise. L’accès physique à une entreprise peut simplifier le déploiement de malware ou de rançongiciel, qui plus est dans des environnements hautement sécurisés où les attaques informatiques sont moins susceptibles de réussir.
Quelles sont les motivations de l'intrus ?
Un acteur malveillant peut vouloir infiltrer les locaux d’une entreprise pour plusieurs raisons. La première la plus courante est l’appât du gain. Les informations confidentielles sur les collaborateurs, les données bancaires ou les secrets commerciaux d’une organisation sont des données sensibles qui peuvent être volées et vendues sur le DarkWeb ou même à des concurrents. L’accès physique au système d’information, aux serveurs, aux disques durs peut permettre à l’intrus de s’emparer de ces données critiques. L’autre motivation financière est l’extorsion via un rançongiciel. Après avoir volé et chiffré des informations importantes, l’individu infiltré peut exiger une rançon pour restituer les données.
L’espionnage industriel constitue une motivation non négligeable qui consiste à voler des données qui fournissent à l’organisation espionne un avantage compétitif, comme des plans de R&D, des stratégies commerciales, des conceptions de solutions, etc. Une entreprise A, concurrente d’une entreprise B, peut missionner un individu pour intégrer les locaux de l’entreprise B, et acquérir de manière illégale des renseignements précieux. Il peut s’agir de données sur le personnel mais également de stratégies de marché, du code source d’applications ou des informations sur les services et/ou annonces futures de l’entreprise.
Une intrusion physique n’est pas forcément d’origine extérieure mais peut être le fruit d’un collaborateur malveillant, de la même manière qu’un collaborateur interne peut être missionné par un attaquant pour exécuter sciemment une charge malveillante : un individu licencié ou mécontent peut chercher à se venger et nuire à l’entreprise qui l’a licencié. Leur connaissance de l’organisation, y compris de ses vulnérabilités physiques (facilité d’accès aux locaux, absence de contrôle d’accès etc) et cyber (manque de sensibilisation au phishing ou accès privilégiés par exemple), les rend particulièrement dangereux. Les conflits personnels entre collègues peuvent également conduire à des intrusions physiques. Un collaborateur malintentionné peut vouloir accéder à des informations personnelles ou professionnelles pour nuire à un autre employé ou pour influencer négativement sa position ou sa réputation au sein de l’organisation.
Les motivations pour justifier l’intrusion physique d’une entreprise, qu’elles soient concurrentes ou non, sont multiples. Les moyens utilisés pour s’introduire dans les locaux d’une entreprise à des fins malveillantes le sont tout autant.
L'intrusion physique : un risque cyber à différentes facettes
Les techniques d’intrusion physiques sont, comme peut l’être une cyberattaque, plus ou moins sophistiquées. Parmi elles, nous pouvons citer les principales. La méthode du “tailgating” implique que l’attaquant suive de près un employé autorisé pour entrer dans les locaux ou dans des zones sécurisées, sans être détecté. Il profite en effet de l’ouverture des portiques de sécurité, ou des tourniquets sécurisés par l’employé et n’a pas à présenter de badge d’accès.
Du même registre, l’usurpation d’identité est une technique efficace pour laquelle l’intrus peut se faire passer pour un collaborateur, un technicien ou un client. En profitant de la courtoisie ou de l’inattention du personnel qui entre alors dans les locaux, l’individu malveillant présente une fausse identité qui légitime son accès aux bureaux de l’entreprise.
Le risque de l’intrusion physique est très souvent occulté, voire complètement délaissé au profit de la sécurisation des Systèmes d’Information. Ces deux voies de protection sont toutes les deux essentielles et chacune des deux doit être abordée avec la même priorité. Sécuriser physiquement les locaux ne sert à rien si les actifs informatiques ne sont pas sécurisés, et inversement.
Quels sont les risques cyber d'une intrusion physique ?
Dès lors qu’un individu malveillant a pénétré dans vos locaux, le champ des possibles lui est ouvert. Voici une liste exhaustive de ce qu’il est en mesure de réaliser, une fois à l’intérieur de votre entreprise.
- Accès direct aux SI : l’attaquant peut accéder directement aux SI, aux serveurs et aux dispositifs de stockage de données. Cela signifie l’accès aux ordinateurs non verrouillés, des serveurs, des périphériques réseau, et même à des dispositifs portables comme des disques durs externes ou des clés USB.
- Installation de dispositifs malveillants : les intrus peuvent se servir de ces appareils pour y installer des dispositifs malveillants infectés, contenant un rançongiciel ou une charge malveillante. Ces systèmes contiennent aussi, par exemple, des logiciels espions, ou des dispositifs d’écoute. L’objectif final : voler des données, surveiller les activités des utilisateurs, ou causer des dommages à long terme aux systèmes et infine exposer l’entreprise à des risques cyber pouvant avoir de lourdes conséquences.
- Manipulations physiques des dispositifs : il leur est également possible de manipuler physiquement des actifs pour altérer leur fonctionnement normal. Ils peuvent, par exemple, déconnecter ou endommager des systèmes de sécurité, modifier les configurations des serveurs. Ils peuvent également interférer avec les infrastructures critiques comme les systèmes de ventilation ou de refroidissement, ce qui peut avoir des conséquences directes sur la sécurité des SI.
- Vol de données sensibles : l’accès physique non autorisé peut conduire au vol de matériel contenant des informations sensibles. Les documents imprimés, les appareils mobiles ou les supports de stockage sont les matériels les plus volés. Grâce à une potentielle élévation des privilèges, l’individu peut alors s’octroyer les droits d’administrateur du domaine sur lequel le SI de l’entreprise repose. Il a ainsi la possibilité de récupérer des accès sur d’autres postes. Le vol de données confidentielles représente le risque cyber le plus courant dans le cas des intrusions physiques.
- Création de points d’accès non sécurisés : en connectant des dispositifs non autorisés ou en modifiant les configurations réseau, les intrus peuvent créer des points d’accès non sécurisés dans le réseau de l’entreprise. Cela permet de créer un accès à distance ultérieur au réseau de l’entreprise.
- Interruption des opérations : une intrusion physique peut entraîner une interruption des opérations commerciales. Que ce soit directement par des dommages physiques aux infrastructures, ou indirectement par des cyberattaques initiées à partir de l’accès physique. Cela peut inclure la désactivation des systèmes de sécurité, l’arrêt de machines, de processus critiques ou l’interruption de services internes.
Quelles stratégies déployer pour limiter cette menace cyber ?
Réaliser des audits réguliers
Les audits de sécurité informatique réguliers constituent une méthode proactive pour évaluer et améliorer les mesures de sécurité existantes d’une entreprise. De la même manière, des audits physiques impliquent une inspection détaillée des installations en présentiel afin d’identifier les vulnérabilités potentielles qui pourraient être exploitées pour un accès non autorisé. L’audit doit couvrir divers aspects tels que les points d’entrée, la qualité des serrures, les systèmes d’alarme, et même l’évaluation des procédures en cas d’urgence. L’objectif est de détecter les vulnérabilités avant qu’elles ne soient exploitées par des intrus.
Les audits permettent d’observer et de traiter les vulnérabilités sur le long terme, en adaptant les stratégies actuelles aux nouvelles menaces et aux changements dans l’environnement de l’entreprise. Cela inclut la réévaluation périodique des risques, l’allocation de ressources pour des améliorations sécuritaires et la formation des collaborateurs en conséquence.
Sensibiliser les collaborateurs
Comme nous l’avons déjà indiqué plus tôt dans l’article, les collaborateurs sont la première porte d’accès à vos locaux. Ils peuvent être dupés en laissant entrer quelqu’un qu’ils prennent pour un technicien, un nouveau collaborateur, etc. Ainsi, la sensibilisation et la formation sont essentielles pour limiter le risque d’une intrusion physique. Un programme efficace de sensibilisation doit inclure des formations régulières, des mises à jour sur les protocoles de sécurité, et des simulations d’intrusion pour tester la réactivité des salariés. L’objectif : les rendre vigilants et conscients des procédures à suivre en cas de menace. Après chaque simulation ou formation, il est pertinent de recueillir les retours des employés pour identifier les zones à améliorer, et d’identifier les processus qui ont mal été exécutés, mal compris ou dont l’application n’est pas évidente.
Adopter des technologies de sécurité adéquates
Au-delà de l’aspect humain, la technologie est également un facteur déterminant. L’adoption de technologies modernes et efficaces, telles que les systèmes de contrôle d’accès récents, de la surveillance vidéo ou encore des systèmes d’alarme, est un pilier central dans la sécurisation physique de votre organisation.
Ces dispositifs doivent être intégrés dans une stratégie globale de cybersécurité, qui comprend non seulement l’installation et la maintenance régulière des équipements mais aussi des mises à jour logicielles et des tests réguliers pour s’assurer de leur efficacité. Avant de déployer ces dispositifs, assurez-vous que ceux-ci sont compatibles avec les procédures de réponse aux incidents de votre organisation, pour garantir une coordination efficace en cas d’intrusion réelle.
Recourir à l'externalisation
L’externalisation est de plus en plus plébiscitée par les organisations. En effet, l’externalisation de l’audit à la sensibilisation permet d’acquérir une expertise et des ressources qui ne sont pas forcément disponibles en interne. Faire appel à des professionnels experts et dédiés à ces sujets permet donc de bénéficier de leur expérience approfondie, d’une disponibilité 24/7/365, de technologies de pointe et de réduire les coûts opérationnels.
L’intrusion physique demeure un risque sous-évalué dans les stratégies de cybersécurité des entreprises. Cette négligence, tant des risques physiques et cyber, expose les organisations à des risques importants et des cyberattaques, qui peuvent avoir des répercussions profondes sur leur intégrité et la sécurité de leurs données. Face à cette typologie de menaces et de ces , il est primordial de reconsidérer l’importance de la sécurité physique et de l’intégrer dans la stratégie globale de cybersécurité.
Anthony Dufour & Guillaume Lahaye
Audit senior Managers