Le chapitre A.7 ISO 27001:2022 (14 contrôles) couvre les périmètres physiques, contrôles d'accès, sécurité des bureaux, salles serveur et zones sensible.
TL;DR — En résumé
Template Word gratuit ISO 27001:2022 — Le chapitre A.7 ISO 27001:2022 (14 contrôles) couvre les périmètres physiques, contrôles d'accès, sé
? Template gratuit · Word — Politiques
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe chapitre A.7 ISO 27001:2022 (14 contrôles) couvre les périmètres physiques, contrôles d'accès, sécurité des bureaux, salles serveur et zones sensibles. Ce modèle Word documente une politique complète, du badge à l'extincteur, avec zonage Vert/Orange/Rouge.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe chapitre A.7 de la norme ISO 27001:2022 « Contrôles physiques » regroupe 14 contrôles couvrant l'ensemble des mesures de sécurité physique et environnementale : périmètres de sécurité physique (A.7.1), contrôle des accès physiques (A.7.2), sécurisation des bureaux et locaux (A.7.3), surveillance physique (A.7.4), protection contre les menaces physiques et environnementales (A.7.5), travail en zone sécurisée (A.7.6), politique de bureau propre et d'écran propre (A.7.7), sécurité des équipements (A.7.8 à A.7.13), et politique d'écran de veille (A.7.14). La sécurité physique est souvent sous-estimée dans les projets de certification ISO 27001 au profit des contrôles logiques et organisationnels. Pourtant, un intrus ayant accès physique à un serveur, à une baie réseau, ou à un poste de travail non verrouillé peut contourner la plupart des contrôles logiques en quelques minutes. La politique de sécurité physique est le fondement sur lequel reposent tous les contrôles techniques : des périmètres physiques non maîtrisés rendent les investissements en cybersécurité largement inefficaces.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLes 14 contrôles A.7 ISO 27001:2022 — Vue d'ensemble
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n| Contrôle | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nIntitulé | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nObjectif principal | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
|---|---|---|
| A.7.1 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPérimètres de sécurité physique | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nDéfinir des zones physiques protégeant les actifs d'information sensibles | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nContrôle d'accès physique | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLimiter l'accès physique aux seules personnes autorisées | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.3 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSécurisation des bureaux, salles et installations | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProtéger les locaux contre les accès non autorisés et les menaces | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.4 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSurveillance physique | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nDétecter et dissuader les accès physiques non autorisés | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.5 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProtection contre les menaces physiques et environnementales | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSe protéger contre incendie, inondation, tremblements de terre, coupures électriques | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.6 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nTravail en zones sécurisées | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÉtablir des règles de comportement pour les zones à accès restreint | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.7 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nBureau propre et écran propre | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nRéduire les risques d'accès non autorisé aux informations visibles ou accessibles | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.8 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nEmplacement et protection des équipements | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProtéger les équipements contre les menaces physiques et environnementales | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.9 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSécurité des actifs hors site | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProtéger les équipements utilisés hors des locaux de l'organisation | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.10 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSupports de stockage | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nGérer les supports physiques tout au long de leur cycle de vie | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.11 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nServices généraux | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProtéger les équipements contre les défaillances électriques et autres services généraux | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.12 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSécurité du câblage | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProtéger les câbles d'alimentation et de communication contre les interceptions | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.13 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nMaintenance des équipements | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nAssurer la maintenance correcte pour garantir disponibilité et intégrité | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| A.7.14 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nMise au rebut ou réutilisation sécurisée des équipements | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nS'assurer que les données sont supprimées avant mise au rebut ou réaffectation | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
Zonage de sécurité physique : le modèle Vert/Orange/Rouge
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa politique de sécurité physique doit établir un système de zonage qui définit les niveaux de protection requis en fonction de la sensibilité des actifs hébergés. Le modèle Vert/Orange/Rouge est intuitif et largement utilisé.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nZone Verte — Accès large (accueil, espaces communs)
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLes zones vertes sont accessibles à toutes les personnes ayant un motif légitime : collaborateurs, visiteurs enregistrés, prestataires avec accueil. Elles incluent les zones d'accueil, les espaces de restauration, les salles de réunion accessibles aux externes, et les parkings. Les contrôles minimaux en zone verte : présence d'un accueil avec enregistrement des visiteurs, badges visiteurs distincts des badges collaborateurs, surveillance par caméra, et règles de comportement affichées.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nZone Orange — Accès contrôlé (bureaux, open spaces, salles de réunion internes)
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLes zones oranges sont accessibles uniquement aux collaborateurs et aux prestataires autorisés avec accompagnement. Elles hébergent les postes de travail, les espaces de travail habituels, et les équipements IT standards. Les contrôles en zone orange : accès par badge/carte, portes à fermeture automatique, politique de bureau propre obligatoire, verrouillage automatique des postes après inactivité (5-10 minutes), interdiction de laisser des documents confidentiels visibles.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nZone Rouge — Accès hautement restreint (salle serveur, local technique, coffre)
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLes zones rouges hébergent les actifs critiques : serveurs, équipements réseau principaux, coffres-forts, archives confidentielles. L'accès est limité à un nombre très réduit de personnes nommément identifiées. Les contrôles en zone rouge : double facteur d'authentification physique (badge + code PIN, badge + biométrie), journalisation de toutes les entrées/sorties avec horodatage, règle des deux personnes pour les accès aux équipements les plus critiques, vidéosurveillance avec enregistrement, cage Faraday si applicable, contrôle environnemental (température, humidité, détection d'eau, extinction incendie spécialisée).
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa sécurité de la salle serveur — Exigences détaillées
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa salle serveur (ou datacenter interne) est le cœur physique du SI. Sa sécurisation mérite une attention particulière :
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nContrôles minimaux pour une salle serveur ISO 27001
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n- \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Accès physique limité à la liste nominative des administrateurs autorisés (min 2 personnes) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Contrôle d'accès avec journalisation (lecteur de badge avec log, ou journal papier en complément) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Caméra de surveillance à l'entrée et à l'intérieur (enregistrement 30 jours minimum) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Alarme anti-intrusion avec notification automatique 24/7 \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Alimentation électrique redondante (deux circuits, UPS, groupe électrogène pour les sites critiques) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Climatisation redondante (N+1 minimum) avec alertes de température et humidité \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Détection et extinction incendie spécialisée (gaz inerte FM-200 ou Novec 1230 recommandé, pas eau ni CO2) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Détection d'eau sous plancher technique \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Câblage organisé et documenté (patch panels labellisés) \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Procédure d'intervention mainteneur avec escorte obligatoire \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
Checklist d'audit — Chapitre A.7 ISO 27001
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n| ID | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nContrôle / Exigence | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nContrôle ISO 27001 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPreuve d'audit | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nStatut | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
|---|---|---|---|---|
| PHY-01 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique de sécurité physique formalisée et approuvée | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.1 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nDocument signé, version datée | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-02 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nZones de sécurité physique définies et documentées (zonage Vert/Orange/Rouge) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.1 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPlan des locaux avec zonage, inventaire des zones | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-03 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nContrôle d'accès physique par badge pour les zones Orange et Rouge | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSystème de contrôle d'accès, politique de badges | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-04 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nJournalisation des accès physiques aux zones critiques (salle serveur) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLogs de contrôle d'accès, rétention 6 mois minimum | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-05 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nVisiteurs enregistrés à l'accueil, escortés dans les zones Orange et Rouge | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nRegistre des visiteurs, procédure d'accueil | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-06 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique de bureau propre appliquée : aucun document confidentiel laissé visible | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.7 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique documentée, audits surprise (spot checks) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-07 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nVerrouillage automatique des postes après 5-10 minutes d'inactivité | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.7 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nConfiguration GPO/MDM, test de vérification | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-08 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nVidéosurveillance couvrant les zones d'accès aux zones critiques | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.4 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPlan caméras, enregistrement 30 jours, déclaration CNIL | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-09 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nAlimentation électrique redondante pour les équipements critiques (UPS) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.11 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nConfiguration UPS, tests de bascule annuels | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-10 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nDétection et extinction incendie spécialisée dans la salle serveur | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.5 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nRapport de maintenance annuel, certificats de conformité | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-11 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nContrôle de température et humidité avec alertes automatiques dans la salle serveur | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.5, A.7.8 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nCapteurs, historique température/humidité, alertes configurées | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-12 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLaptops et équipements hors site couverts par une politique de sécurité dédiée | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.9 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique laptops, chiffrement disque dur activé (BitLocker/FileVault) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-13 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProcédure de mise au rebut sécurisée des équipements (effacement données) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.14 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProcédure de décommissionnement, certificats de destruction | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-14 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSupports de stockage gérés tout au long de leur cycle de vie (inventaire, destruction) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.10 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nInventaire des médias, procédure de destruction NIST 800-88 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-15 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nCâblage réseau et électrique protégé et documenté (pas de câbles apparents accessibles) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.12 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPlan de câblage, cheminements protégés, étiquetage | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-16 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nMaintenance des équipements planifiée et documentée (contrats de maintenance) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.13 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPlanning de maintenance, rapport d'interventions | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-17 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nTechniciens de maintenance escortés et leurs actions journalisées en zone sensible | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.13, A.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nJournal d'interventions, procédure d'escorte | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-18 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nAccès distant des prestataires de maintenance revoqué en fin d'intervention | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.13, A.5.18 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nTickets de création/suppression accès, procédure maintenance distante | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-19 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nAudit physique annuel des zones de sécurité (spot checks, tests anti-tailgating) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.1, 9.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nRapport d'audit physique, non-conformités et actions correctives | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-20 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique de sécurité physique révisée annuellement | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.1, 10.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nHistorique des révisions, changelog | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-21 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nGestion des clés physiques (locaux, armoires, coffres) documentée | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nRegistre des clés, procédure de perte, double | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-22 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nChiffrement obligatoire des disques durs (postes et serveurs) en cas de vol | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.9, A.8.24 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nRapport de déploiement BitLocker/LUKS, couverture 100% | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-23 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nDétection d'eau sous plancher technique de la salle serveur | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.5 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nCapteurs d'eau installés, test de déclenchement | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-24 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nZone de travail sécurisée définie pour les discussions confidentielles (A.7.6) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.6 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nSalles de réunion désignées pour conf., règles affichées | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
| PHY-25 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nBadgeage obligatoire à l'entrée/sortie : pas de porte ouverte maintenue (anti-tailgating) | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nA.7.2 | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProcédure anti-tailgating, sensibilisation utilisateurs | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nÀ vérifier | \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
Points de vigilance
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe tailgating : la menace la plus banale et la plus efficace
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe tailgating (ou piggybacking) consiste à pénétrer dans une zone sécurisée en suivant de près une personne autorisée, profitant de la courtoisie naturelle qui évite de laisser une porte se fermer sur quelqu'un. C'est l'un des vecteurs d'intrusion physique les plus simples et les plus efficaces. La prévention passe par la sensibilisation (rappeler que tenir la porte est une violation de la politique de sécurité, même pour quelqu'un avec les bras chargés), les sas de sécurité (airlock) pour les zones hautement sensibles, et des audits surprise de comportement.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa mise au rebut des équipements : risque souvent négligé
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa mise au rebut d'équipements informatiques sans effacement préalable des données est une source fréquente de violations de données. Un disque dur contenant des données confidentielles jeté à la poubelle ou revendu sans effacement peut exposer des données sensibles. La norme NIST SP 800-88 fournit des lignes directrices sur les méthodes d'effacement selon le niveau de sensibilité des données (overwrite logique, dégaussage magnétique, destruction physique).
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nFAQ — Politique de sécurité physique ISO 27001 A.7
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa sécurité physique est-elle aussi importante que la cybersécurité pour ISO 27001 ?
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nOui. La norme ISO 27001 traite la sécurité physique avec la même importance que les contrôles techniques. Un intrus ayant un accès physique à un serveur ou à un équipement réseau peut extraire des données, installer un malware ou désactiver des systèmes de sécurité sans jamais interagir avec le réseau logique. Les auditeurs ISO 27001 vérifient systématiquement les contrôles physiques lors de l'audit sur site, notamment l'accès à la salle serveur, la politique de bureau propre et le registre des visiteurs.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLes petites organisations avec peu de locaux doivent-elles aussi appliquer A.7 intégralement ?
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe principe de proportionnalité s'applique : une startup de 10 personnes n'a pas les mêmes besoins qu'un datacenter multi-sites. Cependant, même les petites organisations doivent mettre en œuvre les contrôles de base : verrouillage automatique des postes, bureau propre, chiffrement des disques durs, sécurisation de l'armoire réseau, et registre des visiteurs. La justification d'une exclusion de certains contrôles A.7 doit être documentée dans la Déclaration d'Applicabilité (SoA) avec une explication du risque résiduel accepté.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPoints clés à retenir — Politique Sécurité Physique ISO 27001 A.7
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n- \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Le chapitre A.7 couvre 14 contrôles essentiels de la sécurité physique et environnementale. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Le zonage Vert/Orange/Rouge est la structure de base pour organiser les contrôles physiques selon la sensibilité des actifs hébergés. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- La salle serveur requiert un niveau de protection maximum : accès restreint nominatif, journalisation, redondance électrique, détection incendie spécialisée et climatisation contrôlée. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- Le tailgating est l'une des menaces physiques les plus simples et les plus efficaces — la sensibilisation et les sas de sécurité sont les contre-mesures clés. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- La politique de bureau propre et le verrouillage automatique des postes sont des contrôles bas coût et haute efficacité attendus systématiquement par les auditeurs. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
- La mise au rebut des équipements sans effacement préalable des données est une source fréquente de violations — appliquer NIST SP 800-88. \\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
Rédigé par Ayi NEDJIMI — Consultant ISO 27001 & Cybersécurité
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLiens connexes :\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique Sécurité Réseau A.8.20 ·\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nProcédure Onboarding/Offboarding ·\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nInventaire des Actifs ISO 27001 ·\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nPolitique Sauvegarde A.8.13\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nMise en œuvre opérationnelle des contrôles A.7 : étapes et ressources
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa mise en œuvre effective des 14 contrôles de sécurité physique et environnementale de l'Annexe A.7 d'ISO 27001:2022 nécessite une planification rigoureuse qui intègre les contraintes propres à chaque organisation : taille des locaux, type d'activité, ressources disponibles et niveau de maturité sécurité initial.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa première étape est le diagnostic de l'existant : cartographie des zones physiques selon le modèle Vert/Orange/Rouge, inventaire des contrôles physiques déjà en place (badges, caméras, alarmes, armoires sécurisées), et évaluation des écarts par rapport aux exigences A.7. Ce diagnostic peut s'appuyer sur la checklist d'audit présentée précédemment et doit impliquer les responsables des locaux, de l'IT et de la sécurité physique.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa priorisation des investissements doit suivre une approche basée sur les risques : les contrôles protégeant les actifs les plus critiques (salle serveur, datacenter, postes de travail des administrateurs) sont prioritaires sur les contrôles des zones à risque moindre. Un budget type pour une PME de 100 personnes inclut : lecteurs de badge avec journalisation (8-15k€), caméras IP avec stockage 30 jours (5-10k€), armoires sécurisées pour les équipements critiques (2-5k€), et formation du personnel sur les procédures de sécurité physique (1-2k€ en e-learning).
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa documentation requise pour l'audit de certification comprend : la politique de sécurité physique signée par la direction, les procédures d'accès à chaque zone sécurisée, les registres de maintenance des équipements de sécurité physique, les rapports d'incidents physiques (tentatives d'intrusion, tailgating, perte de badge), et les preuves de test des mécanismes (test d'alarme mensuel, exercice d'évacuation annuel). Ces documents doivent être conservés selon la politique de rétention définie dans le SMSI, généralement 3 ans minimum.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nInteractions entre sécurité physique et cybersécurité : les angles morts
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLa convergence entre sécurité physique et cybersécurité crée des vecteurs d'attaque hybrides que les approches silotées ne permettent pas de détecter. Les incidents les plus sophistiqués combinent une intrusion physique et une compromission informatique pour contourner les défenses techniques.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe vol d'équipements reste l'un des vecteurs les plus courants d'exposition des données : un laptop non chiffré volé dans une voiture ou un bureau est une faille de données au sens du RGPD, avec obligation de notification à la CNIL sous 72 heures. Le chiffrement intégral du disque (BitLocker, FileVault, VeraCrypt) est la contre-mesure minimale, complétée par une solution MDM permettant l'effacement à distance et la localisation du terminal.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLes attaques par USB drop (abandon de clés USB infectées dans les zones de passage) ciblent la curiosité des employés et contournent les défenses réseau en infectant directement un poste interne. La contre-mesure technique est le blocage des ports USB via politique GPO ou solution MDM, combinée à une sensibilisation régulière des utilisateurs. L'audit physique doit inclure des tests de résistance (red team physique laissant de fausses clés USB pour mesurer le taux de connexion).
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nLe shoulder surfing et l'accès non autorisé aux écrans sont des risques souvent sous-estimés dans les espaces de travail ouverts et les lieux publics (trains, cafés). Les filtres de confidentialité pour écrans, les politiques de verrouillage automatique après inactivité (5 minutes maximum), et la sensibilisation au contexte de travail (éviter de traiter des informations sensibles en espace public) sont des mesures complémentaires. Ces comportements doivent être intégrés dans la politique clean desk/clean screen et vérifiés lors des audits internes.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\nEnfin, les attaques sur les systèmes de contrôle d'accès physique eux-mêmes constituent une menace émergente : les lecteurs de badge connectés en IP peuvent être compromis si leur firmware n'est pas maintenu à jour, permettant à un attaquant de manipuler les journaux d'accès ou d'ouvrir des portes à distance. Ces systèmes doivent être intégrés dans le programme de gestion des vulnérabilités et bénéficier du même niveau d'attention que les systèmes IT traditionnels.
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\n\\\\\\\\\\\\\\\\nLa continuité entre la sécurité physique et le plan de continuité d'activité (PCA) est une exigence souvent mal couverte dans les SMSIs. La clause A.7.13 (Équipements et actifs hors site) et A.7.14 (Mise au rebut ou recyclage sécurisé des équipements) encadrent respectivement la sécurisation des équipements utilisés en dehors des locaux (télétravail, déplacements) et la destruction sécurisée des supports en fin de vie. Ces deux contrôles sont fréquemment négligés alors qu'ils couvrent des risques réels : vol d'un laptop en déplacement ou récupération de données sur un disque dur mis au rebut sans effacement sécurisé.
\\\\\\\\\\\\\\\\nUn programme de formation et sensibilisation à la sécurité physique adapté aux différents profils (employés généraux, visiteurs, prestataires, administrateurs systèmes) est requis par la clause 7.3 d'ISO 27001. Les modules spécifiques à la sécurité physique couvrent les procédures d'accès, la politique clean desk, la gestion des badges visiteurs, et les comportements à adopter en cas d'intrusion ou d'urgence (évacuation, confinement). Ces formations doivent être documentées avec preuves de complétion pour les audits de certification.
\\\\\\\\\\\\\\\\n\\\\\\\\n\\\\\\\\n\\\\\\\\nGestion des incidents de sécurité physique : procédures et documentation
\\\\\\\\nLes incidents de sécurité physique — intrusion, tentative d'accès non autorisé, vol d'équipement, vandalisme — doivent être gérés avec le même niveau de rigueur que les incidents de cybersécurité. La norme ISO 27001 clause A.7.10 exige une procédure formalisée de gestion des incidents physiques, avec documentation, analyse des causes racines et mesures correctives.
\\\\\\\\nLa procédure de réponse aux intrusions physiques doit définir : qui est notifié en premier (responsable sécurité physique, RSSI, direction, police si nécessaire), comment la scène est sécurisée pour préserver les preuves (ne pas toucher au matériel, ne pas réinitialiser les systèmes de contrôle d'accès), comment les logs des systèmes de contrôle d'accès et des caméras sont exportés et préservés (format standard, stockage sécurisé), et quel est le délai de notification aux parties prenantes. Cette procédure doit être testée au moins une fois par an via un exercice simulé.
\\\\\\\\nLa documentation des incidents physiques alimente le registre des incidents qui est examiné lors des revues de direction et des audits de certification. Chaque incident doit être documenté avec : date, heure, lieu, nature de l'incident, personnes impliquées (si connues), mesures immédiates prises, analyse des causes racines, et plan d'action correctif avec responsable et délai. Cette traçabilité démontre la maturité du processus de gestion des incidents et permet d'identifier les tendances (zones récurrentes d'incidents, heures à risque, types d'incidents fréquents) pour adapter les mesures préventives.
\\\\\\\\nL'articulation avec la réponse aux incidents cyber est essentielle pour les incidents hybrides : une intrusion physique dans la salle serveur doit déclencher simultanément la procédure de réponse aux incidents physiques ET la procédure de réponse aux incidents cyber (analyse des logs d'accès aux systèmes, vérification de l'intégrité des équipements, recherche de devices malveillants installés). Le RSSI et le responsable sécurité physique doivent coordonner leurs investigations pour garantir une réponse complète à un incident qui peut avoir à la fois des dimensions physiques et numériques.
\\\\\\\\n\\\\n\\\\nIntégration de la sécurité physique dans le SMSI ISO 27001 : bonnes pratiques
\\\\nL'intégration efficace des contrôles de sécurité physique dans un Système de Management de la Sécurité de l'Information (SMSI) ISO 27001 dépasse la simple réponse aux exigences du chapitre A.7. Elle requiert une approche systémique qui traite la sécurité physique comme une dimension intégrée de la sécurité de l'information, pas comme un domaine séparé géré par les services généraux de façon indépendante.
\\\\nLa coordination entre le RSSI et le responsable des installations est le premier facteur clé de succès. Trop souvent, la sécurité physique est gérée par les services généraux ou la direction immobilière sans lien formel avec le RSSI. L'ISO 27001 exige que les deux domaines soient alignés : les politiques de contrôle d'accès physique doivent être cohérentes avec les politiques de contrôle d'accès logique, les classifications des zones physiques doivent refléter la sensibilité des informations traitées dans chaque zone, et les procédures d'urgence (évacuation, coupure d'alimentation) doivent intégrer les aspects de sauvegarde et de continuité informatique.
\\\\nLa révision annuelle des contrôles physiques dans le cadre de la revue de direction (clause 9.3 d'ISO 27001) doit examiner : les résultats des audits de sécurité physique internes, les incidents physiques survenus et les enseignements tirés, l'évolution des menaces physiques (nouvelles techniques d'intrusion, évolution de la menace dans la zone géographique), l'efficacité des mesures correctives mises en place depuis la dernière revue, et les investissements nécessaires pour la période suivante. Cette revue structurée garantit que les contrôles physiques évoluent avec les risques et que la direction reste engagée dans leur maintien.
\\\\n\\n\\nTechnologies émergentes pour la sécurité physique des locaux professionnels
\\nLes technologies de sécurité physique évoluent rapidement et offrent de nouvelles capacités de protection et de détection qui complètent utilement les contrôles traditionnels documentés dans l'Annexe A.7. Évaluer ces technologies dans le contexte des exigences ISO 27001 permet d'identifier les investissements à fort impact.
\\nLa vidéosurveillance intelligente basée sur la vision par ordinateur permet désormais une détection comportementale en temps réel : détection du tailgating (une personne qui suit une autre sans badge), comptage des personnes dans les zones sensibles (alerte si le nombre dépasse le seuil autorisé), détection d'objets abandonnés, et reconnaissance de comportements suspects (attente prolongée devant une porte sécurisée, tentatives répétées d'accès). Ces fonctionnalités augmentent significativement la valeur de la vidéosurveillance par rapport à la simple enregistrement a posteriori, tout en réduisant la charge de surveillance humaine.
\\nLes solutions d'authentification biométrique (empreinte digitale, reconnaissance faciale, iris) éliminent les risques liés aux badges perdus ou volés, mais soulèvent des questions RGPD importantes : les données biométriques sont des données sensibles (article 9 RGPD), leur collecte nécessite une base légale spécifique (consentement ou nécessité pour l'exécution d'un contrat) et une DPIA préalable, et elles ne peuvent pas être collectées au seul motif de la commodité. L'utilisation de la biométrie pour le contrôle d'accès dans les zones critiques (datacenter, salle de serveurs) peut être justifiée par des impératifs de sécurité, mais doit être soigneusement documentée et proportionnée aux risques identifiés.
\\n\n\nBudget et planification des investissements en sécurité physique
\nDimensionner le budget de sécurité physique dans le cadre d'un SMSI ISO 27001 exige une analyse rigoureuse des risques identifiés, des contre-mesures disponibles et de leur coût relatif. Cette analyse permet d'allouer les ressources là où elles réduisent le plus efficacement le risque résiduel.
\nPour une PME de 50 à 200 personnes hébergeant une salle serveur en propre, le budget annuel de sécurité physique se répartit typiquement entre : la maintenance et le renouvellement des systèmes de contrôle d'accès (lecteurs, badges, centrale de contrôle) pour 20 à 30% du budget, la maintenance et l'amélioration de la vidéosurveillance pour 15 à 25%, les formations et sensibilisations du personnel pour 10 à 15%, les tests et audits (y compris les exercices d'intrusion physique) pour 10 à 20%, et les améliorations infrastructurelles (renforcement des portes, amélioration du câblage, protection contre les risques environnementaux) pour 20 à 30%. Cette répartition varie selon l'état de maturité initial et les risques spécifiques identifiés lors de l'analyse.
\nLe calcul du ROI des investissements en sécurité physique suit la même logique que pour la cybersécurité : coût de l'incident évité × probabilité de l'incident × réduction de probabilité apportée par le contrôle, comparé au coût du contrôle. Un système de contrôle d'accès biométrique à 20 000€ qui réduit de 80% la probabilité d'une intrusion physique dont le coût moyen est estimé à 100 000€ (vol de matériel, interruption d'activité, fuites d'informations) et dont la probabilité annuelle est estimée à 5% a un ROSI de (100 000 × 0.05 × 0.8 - 20 000/5) / (20 000/5) = 100%. Ce calcul, nécessairement approximatif, est suffisant pour guider les arbitrages budgétaires.
\nSynthèse : feuille de route sécurité physique ISO 27001 A.7
La mise en conformité avec le chapitre A.7 d'ISO 27001:2022 est un parcours structuré qui peut s'étaler sur 6 à 18 mois selon le point de départ de l'organisation. Cette feuille de route synthétique permet de planifier les étapes et d'aligner les investissements sur les priorités de risque.
La phase de diagnostic (1 à 2 mois) réalise l'état des lieux complet : audit des accès physiques existants, cartographie des zones, inventaire des équipements de sécurité physique, et évaluation des écarts par rapport aux 14 contrôles A.7. Ce diagnostic produit un plan d'action priorisé par niveau de risque avec estimation des coûts et délais de remédiation.
La phase de remédiation prioritaire (3 à 6 mois) traite les risques élevés : sécurisation de la salle serveur et des zones critiques, mise en place du contrôle d'accès par badge sur les zones Orange et Rouge, déploiement ou renforcement de la vidéosurveillance, et formalisation des politiques et procédures documentaires nécessaires à l'audit de certification. Ces actions constituent le minimum requis pour une certification ISO 27001 réussie.
La phase de consolidation (6 à 12 mois) approfondit le programme : formation et sensibilisation du personnel, mise en place des audits internes A.7, intégration de la sécurité physique dans le programme de gestion des incidents, et déploiement de technologies complémentaires (détection comportementale, renforcement anti-intrusion). À l'issue de cette phase, l'organisation dispose d'un programme de sécurité physique mature, documenté et auditable qui contribue pleinement à la robustesse du SMSI et à la résilience opérationnelle face aux menaces physiques et cyber-physiques.
Un projet cybersécurité ?
Expert dispo · Réponse 24h