La cybersécurité a fortement évolué au cours de la dernière décennie. L'accès physique n'a pas suivi le même rythme. Cela commence à changer.
Ce que nous avons entendu
Ces derniers mois, j'ai échangé avec le gouvernement australien au niveau de l'État et au niveau fédéral sur la façon dont l'accès physique aux installations est géré.
Au niveau de l'État, j'ai abordé le sujet lors d'une réunion Community Cabinet avec le Queensland Minister for Customer Services et j'ai donné suite avec une note de synthèse comparant les contrôles d'accès physique au cadre IS18 et aux exigences de l'ISO 27001.
Au niveau fédéral, j'ai posé la même question à Andrew Wallace MP lors d'un Defence Forum, en particulier autour d'AUKUS et du personnel allié présent sur des sites australiens partagés.
Les réponses étaient cohérentes. Les installations centrales sont en général bien gérées. Mais sur l'ensemble du parc, y compris les prestataires, les sites partagés et les environnements inter-agences, la gestion de l'accès physique reste inégale et n'a pas encore la maturité de la cybersécurité.
Ce que les normes exigent réellement
L'annexe A de l'ISO 27001:2022 contient 14 mesures de sécurité physique. Les quatre plus pertinentes pour la gestion des accès (A.7.1 à A.7.4) sont nettes : l'entrée physique doit être documentée au niveau individuel, les droits d'accès doivent être attribués par rôle et réexaminés régulièrement, chaque entrée et sortie doit être enregistrée et horodatée, et les registres doivent être consultables sur demande.
Ce ne sont pas des objectifs idéaux. Ce sont des exigences que les organisations attestent lors des audits. La question est de savoir si l'infrastructure opérationnelle les soutient.
Ce qui existe en général
Quatre schémas reviennent régulièrement dans les grandes organisations.
L'angle mort du départ. Quand une personne quitte l'organisation, son accès électronique finit par être désactivé. Les clés mécaniques ne reviennent presque jamais le dernier jour. Sur des sites équipés de systèmes différents, il n'existe aucune vue d'ensemble de ce qu'une personne en partance détient encore.
La carte comme clé partagée. Les badges sont traités comme des clés mécaniques, transmis d'une personne à la suivante sans reprogrammation. La porte s'ouvre. Le journal d'audit affiche un numéro de carte, pas une personne.
La reconstitution prend des jours, pas des minutes. Si un incident de sécurité s'est produit mardi dernier à 2 heures du matin et que quelqu'un demande qui avait accès à cette zone à ce moment-là, la réponse n'est, dans la plupart des organisations, pas immédiatement disponible. Pour les accès électroniques, il faut extraire des journaux issus de plusieurs systèmes et les recouper avec les dossiers du personnel. Pour les clés mécaniques, la réponse n'existe peut-être pas.
L'audit comme déclencheur. Les organisations identifient rarement leurs failles d'accès physique au moyen d'un examen interne. L'écart entre la règle et la pratique n'apparaît que lorsque quelqu'un pose une question à laquelle les systèmes en place ne savent pas répondre.
La trajectoire
Le schéma est connu. L'informatique, les ressources humaines et la finance ont toutes traversé une période où les données vivaient en silos, où les processus étaient manuels et où l'intégration paraissait facultative. La pression réglementaire et la montée en échelle ont fini par imposer la convergence.
L'accès physique en arrive là. AUKUS complexifie la question de qui doit accéder à quoi sur des sites partagés. Les cadres de conformité comme NIS2, DORA et le durcissement des exigences ISO 27001 rendent plus difficile la justification de systèmes déconnectés. L'attention des pouvoirs publics suit.
Y répondre ne demande pas de remplacer le matériel d'accès physique. Cela demande de relier l'existant via une couche capable de répondre à trois questions de manière constante : qui a accès à quoi, cet accès est-il toujours justifié, et pouvons-nous l'attester.
English (Australia) 
Deutsch 
Français 
Nederlands