Annexe A.7 – Mesures physiques

Introduction

Le bloc A.7 – Mesures physiques regroupe les 14 contrôles de sécurité de l’information relatifs à la protection des locaux, équipements et infrastructures critiques.
Ces mesures visent à prévenir les intrusions, limiter les accès non autorisés et réduire les impacts des menaces environnementales (incendies, inondations, coupures électriques).

Une organisation peut disposer d’un système SSI très avancé sur le plan technique, mais être rendue vulnérable si un intrus peut pénétrer physiquement dans ses locaux ou si les équipements critiques ne sont pas protégés contre les risques environnementaux.

A.7.1 Sécurité du périmètre physique

Explication : Définir un périmètre sécurisé autour des locaux sensibles (datacenters, salles serveurs).
Exemple : Un datacenter est protégé par une clôture, vidéosurveillance et contrôles d’accès multiples.

Warning

Erreur fréquente : laisser des portes secondaires sans contrôle d’accès.

Preuves d’audit : schéma des locaux, preuves de contrôles physiques, photos, rapports de tests.

A.7.2 Sécurité des entrées physiques

Explication : Contrôler l’accès aux bâtiments via badges nominatifs, biométrie ou agents de sécurité.
Exemple : Une salle serveur n’est accessible qu’aux administrateurs via badge + code PIN.

Warning

Erreur fréquente : usage de badges collectifs ou codes partagés.

Preuves d’audit : registres d’accès, journaux de badgeuse, configuration système.

A.7.3 Sécurité des bureaux, salles et installations

Explication : Garantir que les espaces sensibles sont protégés et fermés en dehors des horaires de présence.
Exemple : Une salle réseau est verrouillée et surveillée par caméra 24/7.

Warning

Erreur fréquente : salles serveurs transformées en espace de stockage.

Preuves d’audit : PV de rondes de sécurité, vidéosurveillance, procédure de verrouillage.

A.7.4 Sécurité des équipements

Explication : Les équipements critiques doivent être protégés contre le vol, les manipulations non autorisées et les dommages.
Exemple : Un hôpital fixe ses serveurs dans des racks verrouillés avec contrôle biométrique.

Warning

Erreur fréquente : serveurs laissés en libre accès dans les open-spaces.

Preuves d’audit : registres de maintenance, photos, procédures d’accès.

A.7.5 Sécurité des câblages

Explication : Les câbles réseau et d’alimentation doivent être protégés contre les dommages et manipulations.
Exemple : Un opérateur télécom fait passer les câbles réseau dans des conduits fermés.

Warning

Erreur fréquente : câbles exposés dans des couloirs accessibles au public.

Preuves d’audit : schémas d’installation, photos, rapports d’inspection.

A.7.6 Entretien des équipements

Explication : Les équipements doivent être entretenus pour garantir leur sécurité et disponibilité.
Exemple : Un fournisseur Cloud réalise une maintenance préventive trimestrielle sur ses onduleurs et générateurs.

Warning

Erreur fréquente : absence de contrat de maintenance → pannes imprévues.

Preuves d’audit : contrats de maintenance, rapports d’intervention.

A.7.7 Sécurité en cas de retrait ou transfert des équipements

Explication : Les équipements doivent être désinfectés des données sensibles avant réutilisation ou élimination.
Exemple : Une entreprise broie ses disques durs via un prestataire certifié DIN 66399.

Warning

Erreur fréquente : revente de PC sans effacement sécurisé des disques.

Preuves d’audit : certificats de destruction, registres de retrait.

A.7.8 Sécurité de l’alimentation électrique

Explication : Les systèmes critiques doivent disposer d’une alimentation redondée (onduleurs, groupes électrogènes).
Exemple : Un datacenter Tier III dispose de deux alimentations indépendantes par baie.

Warning

Erreur fréquente : alimentation unique sans secours → indisponibilité en cas de panne.

Preuves d’audit : schémas électriques, tests de bascule, PV de maintenance.

A.7.9 Sécurité de la climatisation et de l’environnement

Explication : Garantir une température et une hygrométrie adaptées dans les locaux sensibles.
Exemple : Un site industriel surveille la température via sondes reliées au SOC.

Warning

Erreur fréquente : absence d’alarme en cas de défaillance climatisation.

Preuves d’audit : rapports de contrôle, contrats de maintenance.

A.7.10 Protection contre les incendies

Explication : Détecteurs automatiques, systèmes d’extinction adaptés (gaz inerte, sprinklers).
Exemple : Une banque équipe ses salles serveurs de systèmes Inergen.

Warning

Erreur fréquente : extincteurs manquants ou inadaptés (eau sur serveurs).

Preuves d’audit : PV de tests, contrat de maintenance incendie.

A.7.11 Protection contre les inondations et sinistres naturels

Explication : Identifier les risques (zones inondables, séismes) et protéger les installations.
Exemple : Un datacenter installe ses serveurs au-dessus du niveau du sol et dispose de pompes de relevage.

Warning

Erreur fréquente : serveurs installés en sous-sol sans protection.

Preuves d’audit : analyse de risques, plans d’urbanisme, photos.

A.7.12 Gestion des visiteurs

Explication : Tous les visiteurs doivent être enregistrés, accompagnés et contrôlés.
Exemple : Une entreprise utilise un registre électronique avec badge visiteur et accompagnement obligatoire.

Warning

Erreur fréquente : visiteurs laissés sans surveillance dans des zones sensibles.

Preuves d’audit : registre visiteurs, procédures, badges temporaires.

A.7.13 Sécurité des zones de livraison et de chargement

Explication : Les zones de livraison doivent être isolées des zones sensibles et surveillées.
Exemple : Une société logistique crée un sas de livraison séparé du bâtiment principal.

Warning

Erreur fréquente : livreurs ayant accès libre aux locaux sensibles.

Preuves d’audit : plans des zones, vidéosurveillance, procédures d’accès.

A.7.14 Nettoyage et maintenance externe

Explication : Les prestataires de nettoyage/maintenance doivent être encadrés et surveillés.
Exemple : Un contrat de nettoyage impose la présence d’un agent SSI lors des interventions en salle serveur.

Warning

Erreur fréquente : accès libre aux prestataires sans contrôle ni supervision.

Preuves d’audit : contrats prestataires, registre d’accès, PV de contrôle.

Conclusion du bloc A.7 – Mesures physiques

Le bloc physique couvre les aspects souvent négligés du SMSI : la protection des infrastructures matérielles et des locaux.
Un seul point faible physique (porte mal verrouillée, câbles exposés, absence de registre visiteur) peut rendre inopérantes toutes les mesures logicielles et organisationnelles.

Un audit ISO/IEC 27001 vérifie donc systématiquement :

La robustesse des accès physiques.
La surveillance des zones sensibles.
La protection contre les sinistres naturels et techniques.

En résumé, la sécurité physique constitue le rempart de base qui empêche un attaquant ou un sinistre de compromettre directement l’intégrité et la disponibilité du système d’information.

P.I.L.O.T.E

Explorateur

Annexe A.7 – Mesures physiques

Introduction

A.7.1 Sécurité du périmètre physique

A.7.2 Sécurité des entrées physiques

A.7.3 Sécurité des bureaux, salles et installations

A.7.4 Sécurité des équipements

A.7.5 Sécurité des câblages

A.7.6 Entretien des équipements

A.7.7 Sécurité en cas de retrait ou transfert des équipements

A.7.8 Sécurité de l’alimentation électrique

A.7.9 Sécurité de la climatisation et de l’environnement

A.7.10 Protection contre les incendies

A.7.11 Protection contre les inondations et sinistres naturels

A.7.12 Gestion des visiteurs

A.7.13 Sécurité des zones de livraison et de chargement

A.7.14 Nettoyage et maintenance externe

Conclusion du bloc A.7 – Mesures physiques

Vue Graphique

Table des Matières