Lorsque l’on veut faire parvenir du matériel sensible à un client ou partenaire commercial il convient de prendre les dispositions nécessaires pour que votre envoi soit sécurisé au mieux.
Il existe plusieurs méthodes pour cela pour les plis ou les petits colis.
La première comme dans la vidéo ci-dessous est réalisable mais assez longue, demandes des accessoires, surtout si vous avez plusieurs documents à envoyer, c’est une méthode américaine dont la vidéo a été réalisé par le Defense Security Service (DSS).
L’objectif de sécurité est décrit en France au sein de l’Instruction Générale Interministérielle 1300 article 56. On y trouve dans cet article les règles de bon sens nécessaire pour envoyer du courrier qui n’attire pas les regards. Aujourd’hui c’est ce qu’on appelle la méthode dite du scotch bleu. Celui-ci est un scotch autocollant que l’on doit mettre sur toutes les ouvertures possibles du pli interne. Pour le pli externe il n’est pas nécessaire d’en mettre.
Actuellement l’utilisation d’enveloppe indéchirable est préféré pour l’enveloppe intérieure car cela permet de gagner du temps et de la qualité dans la détection d’une ouverture frauduleuse. n’oubliez pas de communiquer au destinataire le numéro de l’enveloppe pour qu’il puisse identifier s’il y a eu subtilisation de l’enveloppe, pour cela utilisez un autre moyen de communication.
On a beau parler de cyber, cela reste toujours quelque chose de difficile à appréhender et lorsque l’on parle de Sécurité des Systèmes d’Information (SSI) on se focalise principalement sur les aspects logiques mais cette approche même si elle est nécessaire n’est pas suffisante.
Historiquement, on fortifiait ce qui avait besoin d’être protégé des malveillants et des ennemis qu’ils soient extérieurs ou intérieurs. D’ailleurs à ce propos les châteaux les mieux défendus sont souvent tombé grâce à des complicités internes.
Pour aider à la protection il y a des aspects physiques du “cyber” il y a quelques éléments. Le premier dont j’ai déjà parlé est l’instruction interministérielle 901 disponible ici. Celle-ci détaille la protection physique au travers 3 objectifs. Les objectifs 9 à 11 allants des pages 16 à 18. Ces objectifs couvrent toutes les surfaces de l’entreprise, des zones publiques aux zones techniques et évoquent aussi les points d’importance vitale (PIV) décrit dans l’instruction générale Interministérielle 6600 disponible ici. Le second élément qui permet de mettre en place des mesures de protection physique est celle de l’instruction générale Interministérielle 1300 disponible ici. Celle-ci bien que prévu pour des locaux abritant du classifié de défense, permet de disposer d’un référentiel sur des règles de protection physique en particulier les articles 70 et 71 et l’annexe 6 donnant des principes généraux de protection.
Le cyber est un milieu aux extrémités duquel des points terminaux permettent des échanges via des interfaces (poste de travail, objets connectés, scada, …). Ces interfaces ont la mauvaise habitude d’être bien réelles et ce qui est bien réel doit être protégé.
Dans le cas présent il y a plusieurs points à protéger. Le premier et le plus évident c’est le cœur, le data center hébergeant les données, les serveurs. Pour cela II901 nous permet de prendre en compte les aspects protection physique avec les restrictions d’accès et la traçabilité de ceux-ci, mais aussi les problématiques d’énergie, de climatisation, de lutte contre l’incendie et de lutte contre les voies d’eau. En effet plus de serveurs, plus de cyber c’est aussi simple que cela, donc mettre le maximum de moyens pour éviter toute interruption de service est une obligation nécessaire.
Le second point à protéger est le réseau et ses points de connexion. Là encore l’II 901 permet d’avoir une approche cohérente et permet d’assurer la continuité de service entre les data centers et les interfaces. Ici on se rapproche de la protection des data centers.
Enfin dernier endroit où il faut assurer une protection, les interfaces. c’est surement le plus difficile, car il y a une diversité de lieux, cela peut être une zone de bureau cloisonné, un open space, un scada au milieu du désert en passant par un aérogare, ou une plate-forme pétrolière en mer du nord. Pour cela l’approche de LGI 1300 avec les notions d’emprise, bâtiment et local sont très intéressants, car cela peut permettre de moduler la protection en fonction des lieux et des configurations.
En complément de cette protection une analyse de risque permettra aussi de bien dimensionner les mesures et de savoir contre quoi se protéger. Une serrure 3 points au second étage ne protège pas contre une voiture bélier par exemple.
Il suffira de la déficience physique d’un de ces 3 cas pour que la protection de l’édifice entier puisse être mise en défaut et permettre au malveillant d’accéder au cœur de l’entreprise. Ces guides ne permettant pas de tout résoudre mais cela permet de placer des seuils minimum de protection physique pour l’entreprise. Après c’est à vous de jouer pour conduire le changement et faire accepter aux salariés des règles parfois contraignante mais ayant pour objectif d’assurer leur sécurité et celle des biens essentiels de l’entreprise.