Sécurité physique

Ces vols peuvent être commis dans les locaux de l'entreprise ou lors du transport du matériel informatique.
Comme le vol, la perte d'équipements informatiques peut avoir des impacts considérables sur la personne concernée.

Quand on parle de mesures ou parades, il faut faire la différence entre les actions préventives et les actions protectrices.

Les mesures préventives ont pour but d'éviter qu'un sinistre ne survienne.

Les mesures de protection ont pour but de protéger le patrimoine en cas de survenance du sinistre.

Il serait illusoire de penser que les mesures préventives rendent impossible tout sinistre. Même dans le cas de mise en place de ce type de parade, il est conseillé de déployer également des mesures de protection.

L'ampleur des moyens de protection nécessaires est inversement proportionnelle aux moyens de prévention mis en place.

Pour différentes raisons liées à la nature des équipements, à leurs conditions de fonctionnement, à leur criticité, au bruit ou à la chaleur dégagée, etc., il est judicieux de mettre en place des locaux informatiques dédiés, séparés des surfaces de travail utilisées par les employés.

On peut distinguer différents types de locaux informatiques, tels que :

Cette salle héberge généralement tous les équipements spécialisés, nécessaires à la fourniture des ressources informatiques. On y trouve les serveurs, gros calculateurs, solutions de sauvegarde et de restauration des données, baies de stockage, etc..

Dans la plupart des sociétés de taille moyenne, cette salle contient également les éléments critiques du réseau(commutateurs, routeurs,...) ainsi que les points d'accès et équipements servant à connecter la société vers le monde extérieur (central téléphonique, accès Internet,...).

Dans de plus grandes infrastructures, on trouve différentes salles spécialisées, appelées salle réseau, salle téléphonie et salle connectique.

Au niveau des très gros centres de calcul, on fait même la distinction entre la salle «morte» où se trouvent les équipements n'exigeant que très peu d'interventions humaines (processeurs, stockage,...) et la salle «vive» où se trouvent les équipements nécessitant des interventions humaines fréquentes (robot de sauvegarde,...).

Au niveau des étages, on trouve habituellement des locaux servant à connecter les équipements de l'étage sur le tronc commun de câblage menant à la salle informatique. Ces salles contiennent ordinairement des panneaux de brassage ainsi que des commutateurs d'étage.

Ces locaux et la connectique sont normalement conçus avec une redondance maximale, de manière à prévenir au maximum des ruptures éventuelles.

Etant donné la criticité de ces équipements, ces locaux sont considérés comme des locaux informatiques et sont donc soumis aux mêmes exigences de conception et de surveillance.

Les mesures de prévention et de protection décrites dans ce document n'ont pas l'ambition d'être exhaustives, ni d'être obligatoires dans tous les cas de figure. Le choix d'application des mesures de prévention et de protection doivent résulter d'une étude incluant une analyse de risques, confrontée à une évaluation budgétaire des parades adaptées.

Pour assurer l'efficacité de toutes les mesures de prévention et de protection proposées, il est indispensable de les inclure dans le cadre d'une approche organisationnelle et procédurale.

Les aspects suivants font l'objet de ce chapitre :

les dégâts des eaux,

les dégâts du feu,

les dégâts liés à l'électricité

les défauts de climatisation,

les incidents de télécommunication,

les intrusions physiques,

les phénomènes électrostatiques,

l'inaccessibilité du centre informatique.

4.1.1. Les incidents

Ce type d'incidents peut avoir des origines diverses telles que :

rupture de conduite d'eau domestique,

rupture de conduite de réfrigération,

infiltration de façade ou de toiture,

déclenchement de systèmes anti-incendie,

obstruction des évacuations d'eaux usagées.

Ce point est d'autant plus critique que la plupart des salles informatiques sont équipées de faux-planchers qui ne permettent pas une détection aisée d'un sinistre. De plus, les gainages de câblage entre les étages sont des évacuations faciles pour l'eau qui se peut se propager ainsi dans toutes les salles «connectique».

4.1.2. Les conséquences
Les conséquences vont évidemment dépendre de l'ampleur du sinistre, mais on peut dire que les domaines susceptibles d'être touchés sont :

divers courts-circuits entraînant la rupture de service des équipements,

dangers d'électrocution,
dysfonctionnement de certaines alarmes ou autres sécurités,

détérioration des équipements,

corrosion des câbles et connecteurs.

4.1.3. Les contre-mesures
Prévention

choisissez judicieusement la localisation des locaux informatiques, en évitant les risques d'inondation (évitez les sous-sols, évitez le dernier étage,...),

limitez la circulation d'eau dans la salle informatique (placez le groupe de conditionnement d'air en dehors de la salle informatique,...),

choisissez les chemins de tuyauterie, en évitant de traverser ou de surplomber la salle informatique.

Protection

mettez en place des systèmes de détection de fuites,

surélevez les équipements informatiques,
utilisez des tubes hermétiques pour le câblage d'alimentation (220V), ainsi que pour le câblage réseaux,

compartimentez le plancher de manière à contenir et diriger l'eau vers des systèmes d'évacuation.

4.2.1. Les incidents
Ce type d'incidents, qu'ils soient d'origine accidentelle ou criminelle, peut conduire à la destruction partielle de la société et plus particulièrement des équipements informatiques.

4.2.2. Les conséquences
Les conséquences de ce type de sinistre peuvent être très importantes à tous les niveaux de la société et non pas uniquement de l'informatique. En ce qui concerne le système informatique, cela peut causer l'indisponibilité de tout ou partie de l'architecture et ce pour une assez longue période. Les dommages sont souvent couplés à des dégâts des eaux causés par les tentatives d'extinction de l'incendie et à des dégâts causés par les fumées.

Les dégâts habituellement constatés sont de différents types tels que :

destruction totale ou partielle du centre informatique,

destruction totale ou partielle du câblage cuivre et fibre optique,

dégâts liés à la pollution par la fumée et par les produits d'extinction,

atteintes physiques aux équipements informatiques.

4.2.3. Les contre-mesures
Prévention

prenez en compte le voisinage des bâtiments,

évitez le stockage de produits inflammables dans, ou à proximité des salles informatiques,

vérifiez régulièrement les circuits électriques,

évitez les chapelets de blocs «multiprises»,

mettez en place de mécanismes de détection de fumée,

étudiez les chemins de propagation du feu et mettez en place des équipements de compartimentage (sas, parois anti-feu,...).

Protection

mettez en place de mécanismes d'extinction de feu sur base de produits ne portant pas préjudice au matériel informatique et ne portant pas atteinte au personnel (se renseigner auprès du service des pompiers de la localité),
choisissez judicieusement les sorties de secours,

faites respecter l'interdiction de fumer,
établissez et mettez à l'épreuve un plan catastrophe, incluant un repli de l'informatique vers un centre spécifique,

utilisez des armoires ignifugées pour le stockage des supports informatiques (veillez à garder ces armoires fermées). Les dégâts liés à l’électricité

4.3.1. Les incidents

Malheureusement, l'apparition et la durée de ces phénomènes ne peuvent presque jamais être prévues, sauf dans les cas de coupure annoncée par le fournisseur ou par le service logistique en charge du bâtiment.
Une coupure de courant peut être malveillante ou résulter d'une fausse manœuvre, mais aussi être causée par des phénomènes naturels tels que les orages, les tempêtes,...;

4.3.2. Les conséquences
Le risque de dommages dépend de la brutalité de la coupure de courant, car certains équipements sont capables de gérer ce type de phénomènes de manière à clôturer sainement les transactions en cours.

Les conséquences peuvent être diverses :

perte de données,

panne d'équipements,

risques d'incendie,

électrocution du personnel.

Il ne faut pas oublier que les équipements de connectique distribués dans les étages ainsi que les ordinateurs personnels et périphériques sont également des éléments critiques souvent très sensibles aux coupures de courant.

4.3.3. Les contre-mesures
Prévention

veillez à rendre les circuits d'alimentation au niveau du câblage électrique redondants,

veillez à un conception adéquate de l'alimentation électrique (tableaux, puissance,...)

équipez les éléments critiques de l'informatique d'une double alimentation,

mettez en place des mesures visant à éviter les blocs «multiprises»,

équipez le bâtiment d'un mécanisme évitant les remontées de «foudre»,

installez des paratonnerres.

Protection

mettez en place des circuits de secours en cas de rupture (groupe électrogène),

mettez en place des circuits «no break» dans l'ensemble du bâtiment pour y connecter les machines et périphériques sensibles,
utilisez des solutions UPS (Uninterruptible Power Supply) avec logiciel d'alarme dans les salles ne pouvant fournir de circuit de secours.

On peut souvent remarquer que le problème de coupure de courant se prolonge lors du redémarrage. En effet, les équipements, tentant de redémarrer tous ensemble créent une surcharge qui fait sauter les fusibles. Il est conseillé de procéder à un redémarrage séquentiel des équipements.

4.4.1. Les incidents
Les équipements informatiques sont conçus pour travailler dans un environnement spécifique qu'il faut respecter, afin d'éviter les incidents suivants :

défaut de fonctionnement de l'approvisionnement en eau ou en courant de réseau,

panne ou dysfonctionnement du système de réfrigération,

effets du rayonnement solaire direct.

4.4.2. Les conséquences
Il faut veiller à respecter les conditions normales de fonctionnement, sous peine de s'exposer à divers dysfonctionnements aléatoires difficiles à diagnostiquer. Toutefois, on peut dire que les conséquences habituelles d'une panne de climatisation sont les suivantes :

nécessité de couper et de redémarrer les équipements de façon cyclique,

vieillissement prématuré des composantes informatiques,

détérioration des batteries de secours des UPS.

4.4.3. Les contre-mesures

Prévention

mettez en place des mécanismes veillant à limiter le rayonnement solaire direct,

installez un système de ventilation redondant, dimensionné correctement à pouvoir suffire aux besoins actuels et futurs,

mettez en place une solution de contrôle de la température équipée d'un module d'alerte.

Protection

installez un méchanisme de contrôle d'accés physique des locaux informatiques,

mettez en place une procédure de sauvegarde (pour un usage en mode restreint), permettant d'arrêter les éléments non critiques de votre infrastructure informatique.

4.5.1. Les incidents
Parmi ce genre d'incidents, on peut citer les suivants :

sabotage,

panne ou perte d'équipement,

perturbation du signal,

rupture des canaux de liaison,

rupture de service d'un fournisseur,

panne d'un central téléphonique.

On inclut ordinairement sous ce nom d'autres incidents que ceux touchant directement les éléments physiques, comme les intrusions logiques sur les systèmes informatiques. Ceux-ci ne font pas l'objet de la présente fiche.

4.5.2. Les conséquences
L'impact dépend évidemment de l'usage qui est fait des services touchés dans les chaînes de production critiques.

Les conséquences sont les suivantes :

rupture de fonctionnement de certains logiciels,

isolation de la société par rapport au monde extérieur,

corruptions éventuelles de données,

désactivation de certains mécanismes de surveillance (vidéo, alarme,...).

4.5.3. Les contre-mesures
Prévention

protégez judicieusement les locaux de télécommunication,

appliquez des gaines blindées aux liaisons extérieures (blindage, avertissement, bornes,...),

séparez les gainages de courant fort, courant faible et les conduits de climatisation,

protégez les équipements de communication (antennes,...) contre la foudre.

Protection

mettez en place de liaisons «doubles» avec chemins d'accès séparés, et au travers de deux centraux différents,

doublez tous les équipements critiques et mettez en place des systèmes de répartition des charges,

mettez en place des liaisons de secours quand c'est possible,

ayez recours à plusieurs opérateurs capables d'assurer le passage, en cas de rupture de service.

4.6.1. Les incidents et conséquences
La circulation de personnes non autorisées dans les locaux informatiques (et dans les locaux de la société) peut mener à divers événements non désirés tels que :

vol de matériel,

perte de confidentialité,

sabotage.

4.6.2. Les conséquences
Les conséquences peuvent être les suivantes:

perte de réputation (mise en cause de la crédibilité dans le cas de divulgation d'informations hautement confidentielles,...),

pertes financières directes (destruction de données cruciales, mise hors service de tout le système informatique,...),

perte de temps (efforts pour rétablir les données détruites,...).

4.6.3. Les contre-mesures
Dans ce domaine particulièrement, il est indispensable d'encadrer toutes les parades avec des mesures organisationnelles, procédurales et d'audit.

Prévention

mettez en place une protection générale du bâtiment (blindage, «bunker»,..) avec limitation du nombre d'ouvertures (fenêtres, portes,...),

utilisez un service de détection de déplacements et d'intrusions relié à une centrale de contrôle 24h/24h,

mettez en place un contrôle d'accès (badge, biométrie,...) permettant de contrôler et de tracer les accès aux locaux critiques,

mettez en place une politique d'identification des visiteurs.

Protection

utilisez de mécanismes antivol pour les périphériques et les ordinateurs personnels ou portables,

veillez au respect d'une politique du bureau en ordre (clean desk), qui demeure une mesure limitant au maximum le risque de vol de données ou de matériels,

mettez en place un mécanisme de surveillance vidéo.

Avant d'implémentation ces mesures de surveillance veuillez en demander l'autorisation auprès de la Commission Nationale pour la Protection des Données. (Art. 11 de la loi du 2 aôut 2002)

4.7.1. Les incidents
Tous les phénomènes électromagnétiques et électrostatiques sont regroupés sous cette appellation.

Ces perturbations peuvent provenir d'une source extérieure à la société, dans le cas de phénomènes météo, d'émissions radios ou d'appareillages électriques divers. La source peut également être liée au bâtiment.

4.7.2. Les conséquences
Les conséquences peuvent être les suivantes :

dysfonctionnements aléatoires,

corruptions de données stockées sur des supports magnétiques.

Un autre phénomène est l'utilisation des rayonnements émis par le système informatique pour intercepter des données. C'est le cas des réseaux «wireless», par exemple.

4.7.3. Les contre-mesures
Prévention

installez les locaux informatiques (traitement et connectique) éloignés des installations électriques, des ascenseurs et des autres sources de perturbation,

utilisation de fibre optique dans les liens verticaux (p.ex. entre les différents étages), de manière à limiter les risques,

mettez à la terre de tous les équipements et non pas uniquement des composantes informatiques,

choisissez judicieusement les revêtements des sols.

Protection

portez des bracelets de mise à la terre pour toutes les interventions sur l'architecture informatique.

4.8.1. Les incidents
L'accès au centre informatique peut être rendu impossible pour plusieurs raisons telles que :

catastrophe naturelle et attentats,

décision judiciaire suite à un sinistre,

manifestations, émeutes et mouvements sociaux.

4.8.2. Les conséquences
Les conséquences de l'incapacité d'accès peuvent être diverses :

arrêt de fonctionnement du centre de traitement,

altération du bon fonctionnement des équipements, spécifiquement des équipements sensibles.

4.8.3. Les contre-mesures
Prévention

installez vos sites là où les risques de catastrophes naturelles sont réduits,

mettez en oeuvre des protections contre les intrusions.

Protection

mettez en place une solution de prise de contrôle à distance sécurisée,

prévoyez la possibilité de passage sur un site de repli.