{"id":12671,"date":"2026-05-14T09:00:11","date_gmt":"2026-05-13T23:00:11","guid":{"rendered":"https:\/\/portierglobal.com\/?p=12671"},"modified":"2026-05-18T18:57:22","modified_gmt":"2026-05-18T08:57:22","slug":"acces-physique-des-gouvernements","status":"publish","type":"post","link":"https:\/\/portierglobal.com\/fr\/governments-physical-access\/","title":{"rendered":"Les gouvernements commencent \u00e0 remarquer l'acc\u00e8s physique"},"content":{"rendered":"
<\/div>\n\n\n\n

La cybers\u00e9curit\u00e9 a fortement \u00e9volu\u00e9 au cours de la derni\u00e8re d\u00e9cennie. L'acc\u00e8s physique n'a pas suivi le m\u00eame rythme. Cela commence \u00e0 changer.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Ce que nous avons entendu<\/h3>\n\n\n\n

Ces derniers mois, j'ai \u00e9chang\u00e9 avec le gouvernement australien au niveau de l'\u00c9tat et au niveau f\u00e9d\u00e9ral sur la fa\u00e7on dont l'acc\u00e8s physique aux installations est g\u00e9r\u00e9.<\/p>\n\n\n\n

Au niveau de l'\u00c9tat, j'ai abord\u00e9 le sujet lors d'une r\u00e9union Community Cabinet avec le Queensland Minister for Customer Services et j'ai donn\u00e9 suite avec une note de synth\u00e8se comparant les contr\u00f4les d'acc\u00e8s physique au cadre IS18 et aux exigences de l'ISO 27001.<\/p>\n\n\n\n

Au niveau f\u00e9d\u00e9ral, j'ai pos\u00e9 la m\u00eame question \u00e0 Andrew Wallace MP lors d'un Defence Forum, en particulier autour d'AUKUS et du personnel alli\u00e9 pr\u00e9sent sur des sites australiens partag\u00e9s.<\/p>\n\n\n\n

Les r\u00e9ponses \u00e9taient coh\u00e9rentes. Les installations centrales sont en g\u00e9n\u00e9ral bien g\u00e9r\u00e9es. Mais sur l'ensemble du parc, y compris les prestataires, les sites partag\u00e9s et les environnements inter-agences, la gestion de l'acc\u00e8s physique reste in\u00e9gale et n'a pas encore la maturit\u00e9 de la cybers\u00e9curit\u00e9.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Ce que les normes exigent r\u00e9ellement<\/h3>\n\n\n\n

L'annexe A de l'ISO 27001:2022 contient 14 mesures de s\u00e9curit\u00e9 physique. Les quatre plus pertinentes pour la gestion des acc\u00e8s (A.7.1 \u00e0 A.7.4) sont nettes : l'entr\u00e9e physique doit \u00eatre document\u00e9e au niveau individuel, les droits d'acc\u00e8s doivent \u00eatre attribu\u00e9s par r\u00f4le et r\u00e9examin\u00e9s r\u00e9guli\u00e8rement, chaque entr\u00e9e et sortie doit \u00eatre enregistr\u00e9e et horodat\u00e9e, et les registres doivent \u00eatre consultables sur demande.<\/p>\n\n\n\n

Ce ne sont pas des objectifs id\u00e9aux. Ce sont des exigences que les organisations attestent lors des audits. La question est de savoir si l'infrastructure op\u00e9rationnelle les soutient.<\/p>\n\n\n\n

<\/div>\n\n\n\n

Ce qui existe en g\u00e9n\u00e9ral<\/h3>\n\n\n\n

Quatre sch\u00e9mas reviennent r\u00e9guli\u00e8rement dans les grandes organisations.<\/p>\n\n\n\n

L'angle mort du d\u00e9part.<\/strong> Quand une personne quitte l'organisation, son acc\u00e8s \u00e9lectronique finit par \u00eatre d\u00e9sactiv\u00e9. Les cl\u00e9s m\u00e9caniques ne reviennent presque jamais le dernier jour. Sur des sites \u00e9quip\u00e9s de syst\u00e8mes diff\u00e9rents, il n'existe aucune vue d'ensemble de ce qu'une personne en partance d\u00e9tient encore.<\/p>\n\n\n\n

La carte comme cl\u00e9 partag\u00e9e.<\/strong> Les badges sont trait\u00e9s comme des cl\u00e9s m\u00e9caniques, transmis d'une personne \u00e0 la suivante sans reprogrammation. La porte s'ouvre. Le journal d'audit affiche un num\u00e9ro de carte, pas une personne.<\/p>\n\n\n\n

La reconstitution prend des jours, pas des minutes.<\/strong> Si un incident de s\u00e9curit\u00e9 s'est produit mardi dernier \u00e0 2 heures du matin et que quelqu'un demande qui avait acc\u00e8s \u00e0 cette zone \u00e0 ce moment-l\u00e0, la r\u00e9ponse n'est, dans la plupart des organisations, pas imm\u00e9diatement disponible. Pour les acc\u00e8s \u00e9lectroniques, il faut extraire des journaux issus de plusieurs syst\u00e8mes et les recouper avec les dossiers du personnel. Pour les cl\u00e9s m\u00e9caniques, la r\u00e9ponse n'existe peut-\u00eatre pas.<\/p>\n\n\n\n

L'audit comme d\u00e9clencheur.<\/strong> Les organisations identifient rarement leurs failles d'acc\u00e8s physique au moyen d'un examen interne. L'\u00e9cart entre la r\u00e8gle et la pratique n'appara\u00eet que lorsque quelqu'un pose une question \u00e0 laquelle les syst\u00e8mes en place ne savent pas r\u00e9pondre.<\/p>\n\n\n\n

<\/div>\n\n\n\n

La trajectoire<\/h3>\n\n\n\n

Le sch\u00e9ma est connu. L'informatique, les ressources humaines et la finance ont toutes travers\u00e9 une p\u00e9riode o\u00f9 les donn\u00e9es vivaient en silos, o\u00f9 les processus \u00e9taient manuels et o\u00f9 l'int\u00e9gration paraissait facultative. La pression r\u00e9glementaire et la mont\u00e9e en \u00e9chelle ont fini par imposer la convergence.<\/p>\n\n\n\n

L'acc\u00e8s physique en arrive l\u00e0. AUKUS complexifie la question de qui doit acc\u00e9der \u00e0 quoi sur des sites partag\u00e9s. Les cadres de conformit\u00e9 comme NIS2, DORA et le durcissement des exigences ISO 27001 rendent plus difficile la justification de syst\u00e8mes d\u00e9connect\u00e9s. L'attention des pouvoirs publics suit.<\/p>\n\n\n\n

Y r\u00e9pondre ne demande pas de remplacer le mat\u00e9riel d'acc\u00e8s physique. Cela demande de relier l'existant via une couche capable de r\u00e9pondre \u00e0 trois questions de mani\u00e8re constante : qui a acc\u00e8s \u00e0 quoi, cet acc\u00e8s est-il toujours justifi\u00e9, et pouvons-nous l'attester.<\/p>\n\n\n\n

<\/div>","protected":false},"excerpt":{"rendered":"

Les contr\u00f4les d'acc\u00e8s physiques sont inclus dans le p\u00e9rim\u00e8tre de la norme ISO 27001 et des cadres de conformit\u00e9 gouvernementaux. La plupart des organisations ne peuvent pas d\u00e9montrer ce qu'exigent les normes. Cet \u00e9cart devient de plus en plus difficile \u00e0 ignorer.<\/p>","protected":false},"author":3,"featured_media":12685,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"content-type":"","inline_featured_image":false,"rank_math_focus_keyword":"physical access","rank_math_title":"Physical Access Is Getting Government Attention | portier","rank_math_description":"Physical access to facilities is under new scrutiny. portier CEO on what governments are signalling and what it means for operators.","rank_math_robots":"","footnotes":""},"categories":[100,244],"tags":[201,178,205,154,202],"class_list":["post-12671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-resources","category-letters","tag-access-governance","tag-critical-infrastructure-compliance","tag-enterprise-it","tag-iso-27001","tag-physical-access-control"],"acf":{"read_time":"","lede":""},"_links":{"self":[{"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/posts\/12671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/comments?post=12671"}],"version-history":[{"count":7,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/posts\/12671\/revisions"}],"predecessor-version":[{"id":12709,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/posts\/12671\/revisions\/12709"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/media\/12685"}],"wp:attachment":[{"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/media?parent=12671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/categories?post=12671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/portierglobal.com\/fr\/wp-json\/wp\/v2\/tags?post=12671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}