Actuellement, de nombreuses entreprises réalisent à quel point elles sont vulnérables à la cybersécurité, souvent focalisées sur les menaces comme le phishing, les ransomwares ou les attaques par déni de service. Néanmoins, il ne faut pas pour autant oublier les risques liés à une sécurité physique déficiente. En effet, des données ne sont pas en sécurité si les locaux où elles sont conservées ne le sont pas.
Les menaces sur les infrastructures physiques sont diverses, allant des catastrophes naturelles aux actions malveillantes telles que les effractions. Il est donc indispensable de mener une réflexion globale sur ces risques et d'instaurer une organisation physique qui les anticipe.
1) La sécurité de l'information inclut la sécurité informatique et la sécurité physique
Les responsables de la sécurité des informations (RSSI) doivent intégrer à leur stratégie la sécurité physique en plus de la sécurité informatique. Trop d'entreprises négligent encore la sécurisation des supports physiques, laissant parfois des serveurs ou des ordinateurs à la portée de tous, ou des espaces de travail non sécurisés. Chaque professionnel devrait revoir ses habitudes quotidiennes pour renforcer la sécurité physique de son organisation. Une sécurité défaillante peut conduire à des pertes de données, des accès non autorisés ou des modifications indésirables, pouvant déboucher sur des fuites coûteuses en termes de risques juridiques, réputationnels et opérationnels :
Risque juridique : Le RGPD exige que toute violation de données personnelles soit notifiée à la CNIL et aux personnes concernées sous 72 heures. Les amendes peuvent être sévères, jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires global.
Risque réputationnel : Une violation peut détruire la confiance et la réputation d'une entreprise, avec un impact potentiellement fatal sur sa pérennité.
Risque opérationnel : Un incident aussi mineur qu'un verre d'eau renversé sur des documents importants peut paralyser l'activité de l'entreprise.
2) Mise en place d'un système de protection physique des locaux
Nous constatons une augmentation importante des risques liés aux catastrophes naturelles. Inondations et incendies en tête de liste. Les organisations devraient effectuer une analyse des risques pour leur système d'information et déterminer les mesures de protection adéquates. Voici quelques actions simples recommandées par la CNIL :
Installation d'alarmes anti-intrusion.
Installation de détecteurs de fumée et d'équipements de lutte contre les incendies.
Distinction des zones à risque dans les bâtiments et contrôle des accès.
Protection physique des installations essentielles (comme la climatisation et la surélévation contre les inondations).
Ces quelques actions sont naturellement génériques et doivent impérativement être conçu sur-mesure pour chaque structure. Assurer la sécurité des locaux est essentiel pour protéger les informations d'une organisation. Face à des menaces croissantes, investir dans des mesures de sécurisation physique est non seulement vital mais souvent basé sur des actions simples et efficaces. Les risques les plus élémentaires sont souvent les plus négligés !
