La sécurité physique est un maillon indispensable pour assurer la sécurité de l’information (Disponibilité, Intégrité, Confidentialité et Traçabilité). C’est aussi une composante essentielle et critique de la protection des personnes et des biens contre les actes de malveillance (vol, vandalisme, terrorisme, etc).
Le cyber risque lié aux systèmes de protection physique, ou PPS (Physical protection System), est relativement nouveau, mais il s’est accru avec l’avènement des nouvelles technologies (IP, système de sûreté intégré et convergent, cloud, modules d’intelligences artificielles, etc). Certes, ces technologies répondent aux fonctions principales du PPS (détection, retardement et réponse) et à la fonction secondaire (dissuasion), mais rendent aussi les systèmes plus vulnérables.
Généralement la protection en profondeur est basée sur les fonctions suivantes :
- Détection (sécurité électronique)
- Retardement et dissuasion (sécurité électronique et physique)
- Réponse (personnel)
Dans ce contexte, Le PPS (Physical protection System) intègre à la fois, l’humain, le process et la technologie, qui est connu par le PPT (People, Process and Technology). Les cyberattaques sur ces systèmes sont de plus en plus destructrices et sophistiquées, et peuvent avoir un énorme impact sur les entreprises (Grands comptes ou PME), la sécurité des villes/urbaine, mais aussi et surtout sur la CNI (critical national infrastructure), qui englobe les secteurs d’activité les plus critiques d’une nation.
Ces cyberattaques peuvent être très lourdes pour une entreprise et même pour un pays, car l’impact sera énorme, en premier lieu sur la sécurité des personnes et des biens, et en second lieu, sur la disponibilité (des systèmes de sécurité physique et l’information), l’intégrité (de l’information), la confidentialité (de l’information) et la traçabilité (de l’information).
En analysant les systèmes de protection physique selon la classification PPT (People, Process and Technology), chaque partie est concernée par des sources de menaces et de vulnérabilités, donc des scénarii de risques, ci-dessous quelques exemples :
- Les concepteurs et fabricants de systèmes de sécurité électronique et sûreté (vidéoprotection, contrôle d’accès, anti-intrusion, système de sûreté intégré, etc.), malgré tous leurs efforts, peuvent être également une source de vulnérabilité, et généralement n’implémentent pas une sécurité de bout en bout au sein de leurs produits/solutions, constituant ainsi des vulnérabilités exploitables en toute quiétude par les hackers (absence de security by design, SSDLC)
- Les clients, de leur côté, peuvent créer des vulnérabilités lors de l’étude, l’acquisition, l’intégration et même l’exploitation de ces systèmes. En voici une liste non exhaustive pour exemple :
– absence de due diligence fournisseur
– absence de l’intégration de la sécurité dans les projets de sécurité physique (phases build et run)
– une mauvaise architecture / Cloisonnement
– une insuffisance de la protection des données (chiffrement, etc.)
– un manque de sensibilisation personnel, mauvaise « hygiène » SI, complice
– un manque ou non-respect des procédures, Qui fait quoi et comment ?
– une absence de mise à jour régulière/Patch management
– le non-respect des Recommandations/Référentiels/Guides de bonnes pratiques de la sécurité (ANSSI, CNIL, ASIS, CNPP/APSAD, etc.)
– l’absence d’une coordination efficace entre le SOC (Security Operation Center) et le PC Sécurité ou le CSU (Centre de Supervision Urbain)
– etc
Voilà deux exemples concrets :
- Cyber attaque :
Une attaque par ransomware a infecté le réseau de caméras de surveillance de la ville de Washington, une semaine avant l’investiture de Trump qui a eu lieu le 20/01/2017.
- Cyber vulnérabilité :
Le 14/08/2019, 27.8 millions de données touchées par une faille de sécurité chez un leader EMEA du contrôle d’accès biométrique (société sud-coréenne Suprema)
C’est pourquoi la sécurité physique ne doit pas être négligée !
N’hésitez pas à me contacter si vous avez des questions. Adventium est à votre disposition pour toute assistance et conseil.
Ali L.
S. Consultant/Advisor, Cyber Security | GRC | Physical Security | OT, ICS, IIOT Security | BC | Resilience