L'importance des mesures de sûreté physique
Pour commencer cette série de cours sur la sécurité, nous allons décrire l’importance des mesures de sûreté physique.
Cela sert notamment à protéger :
le matériel
les données
et le personnel…
… Des menaces du monde réel en utilisant différentes méthodes :
la dissuasion physique
la détection d’intrusions,
et la réponse directe aux menaces.
Dans ce cours, nous allons donc voir les différents moyens :
Le contrôle d'accès
On commence donc les mesures de sûreté physique avec le contrôle des accès.
Avant de parler de sécurité informatique, il faut avant tout parler de sûreté physique. Vous pouvez établir la meilleure stratégie du monde en matière de cybersécurité, mais si n’importe qui peut entrer sur le site et se connecter physiquement au réseau ou directement aux ordinateurs, et bien, ce sera complètement inutile…
Il faut donc mettre en place des moyens de contrôle au niveau du périmètre de l’entreprise pour écarter les menaces venant de l'extérieur.
Agent de sécurité (Security guard)
L’agent de sécurité est probablement le moyen le plus évident de protéger physiquement les accès.
Car il surveille :
les entrées. Afin que personne ne s'introduise sans autorisation,
Il surveille le personnel. Dans le cas où la menace soit interne,
mais aussi le matériel. Pour éviter le vol ou le sabotage
et il surveille les locaux, afin de vérifier que les mesures en place soient bien respectés…
Le point important avec les agents de sécurité, c’est qu’ils sont souvent considérés comme un moyen très couteux…
De plus, ils sont humains et donc très sensibles aux attaques d'ingénierie sociale.
C’est-à-dire qu’ils peuvent se faire manipuler psychologiquement…
Il faut donc prendre en compte le coût de leur formation continue face aux menaces.
Passons maintenant aux moyens que les agents de sécurité ont pour contrôler l'accès.
Badge d’identification (ID Badge)
Le badge d’identification est un moyen simple de contrôler les individus.
Le badge dispose généralement d’une photo et d’informations personnelles telles que les nom et prénom de l’employé.
Et dans certaines entreprises, même les visiteurs doivent avoir un badge !
Le problème, c’est que ce type de badges est généralement très faciles à falsifier.
Liste de personnes autorisées (Access list)
C’est pourquoi, pour + de sécurité, il est intéressant de complémenter l’utilisation du badge avec une liste de personnes autorisées à entrer dans les locaux.
Et c’est l’agent de sécurité qui contrôlera cet accès.
Tableau de contrôle des entrées (Entry control roster).
Passons maintenant au tableau de contrôle des entrées qui est un peu différent de la liste d’accès, car ici, l’agent de sécurité vient noter : qui entre et qui sort ainsi que les horaires d’entrées et de sorties.
Du coup, si un incident de sécurité se produit, et bien, il sera plus facile d'enquêter sur les raisons de l’incident…
En fait, cette méthode est surtout, un très bon moyen de dissuasion, car les employés savent que leurs entrées et sorties sont enregistrées….
Sas de sécurité (Mantrap)
Et enfin voici le sas de sécurité, qu’on appelle en anglais un mantrap.
C’est tout simplement un couloir, avec deux portes, qui se trouve généralement à l’entrée du bâtiment.
Le principe est que la deuxième porte ne peut s’ouvrir que si la première est fermée.
À part, si un agent de sécurité autorise l’accès.
Le principal but est donc de contrôler le flux de personne entrante et sortante.
Les verrous, cadenas, serrures…
Passons maintenant aux différents moyens de verrouiller et déverrouiller un accès.
La serrure (Door lock)
On commence par la plus évidente de toutes, qui est la serrure !
La serrure a été inventée, il y a plus de 6000 ans, en Égypte…
Je trouve ça fascinant, car aujourd’hui, et bien, on utilise toujours le même mécanisme…
En fait, cela fait tellement longtemps que les serrures existent que des techniques pour les compromettre, ont eu le temps de voir le jour.
Alors forcément, il faut plutôt considérer les serrures et les verrous, comme un moyen de retarder une intrusion, et non comme une protection totalement efficace…
A ce sujet et pour vous en convaincre, je vous invite à faire un petit tour sur la chaîne de LockPickingLawyer sur YouTube, qui montre bien qu’aucun verrou n’est réellement efficace…
Lecteur de badge (Badge reader)
Voyons maintenant le lecteur de badge qui est un moyen d’ouvrir une serrure électronique en utilisant soit :
Une carte
ou bien, un porte-clé RFID, qu’on appelle en anglais un Key-fob
Contrôle d'accès basé sur des jetons (Token-based)
Voyons maintenant les jetons d'authentification qu’on traduit en anglais par Hardware Tokens.
C’est une méthode de contrôle d’accès sous identification par jetons.
Alors, dans la sûreté physique, il ne s’agit pas de vrai jeton physique, mais d’un code composé de plusieurs chiffres, qui a la particularité de changer dans le temps, par exemple toutes les minutes…
Ces codes, qui changent régulièrement, sont des codes que l’on appelle « pseudo-aléatoires », c'est-à-dire que si l’on connaît leurs variables d’initialisation et bien, on peut reproduire la séquence de code sur deux appareils.
Et ainsi vérifier que celui qui a saisi le code est bien la bonne personne.
Il existe plusieurs moyens de générer ces codes.
Par exemple, il fut un temps, on utilisait un petit porte-clé avec un écran qui affichait ce fameux code, qui changeait régulièrement…
Mais aujourd’hui, on utilise plutôt des applications mobiles telles que Google Authenticator
et il est même possible, de recevoir ce code, soit par SMS ou par email, afin de vous authentifier…
Les serrures biométriques (Biometric locks)
Passons maintenant aux serrures biométriques, qui sont des dispositifs, permettent aussi le contrôle d'accès, mais en utilisant les attributs physiques d’une personne comme :
les empreintes digitales
la reconnaissance de l'iris
ou encore la reconnaissance vocale pour authentifier un individu.
Ces attributs physiques sont, en théorie, impossibles à changer, car ils sont uniques pour chaque individu.
Verrous pour le matériel
Passons maintenant au type de verrous conçu pour du matériel…
Ils sont généralement destinés à protéger les équipements, comme le câble antivol qui permet de sécuriser un ordinateur portable contre le vol.
En général, chaque laptop, disposent d’une cavité renforcée dans laquelle on peut y insérer un antivol.
Mais attention, car ce type d’antivol dispose généralement d’un câble très fin, qui est très facile à couper…
Dans le même genre, on a aussi des serrures pour protéger les serveurs.
Ces types serrures combinent généralement l’utilisation :
d’une clé physique,
d’un système biométrique,
ou encore un code PIN.
Il existe aussi des verrous USB (USB Lock) qui sont de petits “bouchons” venant s'insérer dans les ports USB, afin de les rendre inutilisables…
Car il faut savoir, qu’une prise USB peut être un point d’attaque pour une personne mal intentionnée…
C’est-à-dire qu’il pourrait, par exemple, y brancher un « enregistreur de frappe », ou encore même, une clé USB, qui installerait des applications malveillantes.
Ces “bouchons” sont insérés à l'aide d’une clé qui leur est propre et cette clé permet donc aussi de les retirer.
En général, cette clé est vendue avec plusieurs bouchons !
Confidentialité
Et pour finir ce cours, on va parler du filtre de confidentialité qui est un film qu’on ajoute sur les écrans afin de réduire l’angle de vue…
Eh oui, car on sous-estime souvent l’efficacité de cette technique d'ingénierie sociale que l’on appelle simplement : regarder par-dessus l’épaule.
Parce que ce type d’attaque, ne demande aucune compétence en informatique, pour jeter un œil, sur l’écran d’un utilisateur et relever des informations sensibles de la sûreté physique, telles que :
Ce filtre de confidentialité permet donc de réduire ce risque avec la sûreté physique, surtout si vous utilisez votre ordinateur dans des lieux publics…
Plus des cours CompTIA A+
