Lazzaro Pesjachowicz

Afin de lancer le débat Lazzaro Pesjachowicz, Le Président du CLUSIF, a rappelé que l’on dit souvent que l’homme est le maillon faible. Toutefois, il est vrai que l’information se trouve dans un environnement physique qui est aussi vulnérable.

Sylvain Conchon, Damien Chaminade et Alexis Millot

Sylvain Conchon de la société Conix est intervenu pour proposer une méthode unifiée d’identification et d’appréciation des risques. Cette méthode permet d’établir un parallèle entre la SSI et la sécurité physique. Elle prend en compte les menaces et leurs impacts associés. Ainsi, il a démontré qu’il était possible de donner une définition universelle basée sur trois paramètres qui serait une fonction des vulnérabilités, des menaces et des conséquences. Durant son intervention, il a remarqué qu’une terminologie proche existait entre la SSI et la sécurité physique.
En conclusion, il a expliqué qu’avec cette méthodologie, il a été obtenu une meilleure cohérence des conclusion des audit terrain. Elle apporte aussi de la complétude des conclusions de l’audit terrain. Enfin, travailler avec une méthodologie permet d’avoir une démarche reproductible et répétable.
Enfin, cette approche peut s’exporter à de nombreux domaines comme la sûreté de fonctionnement, les risques psycho-sociaux, les risques projet, les risques de responsabilité sociétale. Par contre, pour lui, il n’est pas certain que l’on puisse aller vers une convergence entre la SSI et la sécurité physique.

Quand le déploiement de caméras vidéo réduit les actes malveillants

Damien Chaminade, expert indépendant en sûreté/sécurité, a proposé un retour d’expérience de l’installation d’un système de vidéosurveillance dans le cadre d’une entreprise de retail. Ce groupe était confronté à de nombreux incidents de types vols, vandalisme se, espionnage, intrusions, agressions, fraudes... avec des enjeux business importants. Suite à un audit réalisé, on constate que les mesures de protections physiques sont perfectibles avec des locaux mal protégés, des déploiements non sécurisés des outils comme la vidéo... Ainsi, trois enjeux ont été déterminés : réduire le coût des actes malveillants, protéger les informations et encourager les synergies avec le business.

L’objectif de cette démarche vise à renforcer la sécurité physique sur les 110 sites du groupe. Ainsi, une méthodologie de. Gestion de projets a été mise en œuvre avec un audit de sûreté, un cahier des charges, la validation du CE, puis la réalisation des travaux.

Ainsi, un système de vidéosurveillance et une solution de contrôle ont été déployés. Cette mise en œuvre a été réalisé en coordination avec l’ensemble des services de l’entreprise en particulier la RH pour le côté gestion des identités et contrôle d’accès, le CE pour l’autorisation de la vidéo et le CIL et la CNIL pour vérifier le respects des réglementation en vigueur.

Suite à cela on a réalisé une architecture locale, associé à un système de contrôle d’associé en relation avec la RH qui a permis dans le même temps d’être relié avec la carte d’accès au restaurant d’entreprise. En termes d’architecture pour des questions de sécurité, il a été décidé d’effectuer une séparation des réseaux de vidéo et celui de l’entreprise.

A ce jour, le déploiement a été réalisé sur plus de 80% des sites. Il a permis de réduire les incidents de 70%. De plus, les résolutions des affaires sont plus rapides… Cet outil a facilité les visite des salariés au sein des sites du groupe grâce à un badge unique ce qui a renforcé le sentiment d’appartenance. De plus, on a pu sécuriser l’accès aux imprimantes grâce aux badges uniques. L’entreprise a aussi gagné en conformité. Pour ce qui est du facilitiez management en couplant le badge et l’accès on a pu relier cela a des capteurs de présence dans les sales afin de couper l’électricité dans les salles en cas d’absence. Le ROI est d’environ une année. Enfin, le groupe a pu réduire ses primes d’assurance. Toutefois, le badge unique génère de nouveaux risques. Par contre, les salariés sont plus sensibilisés aux risques.

Quand la clé de la sécurité peut dépendre d’un trousseau de clés…

Alexis Millot de la société Exo7 Consulting a présenté les travaux qu’il a effectué en collaboration avec et Alexandre Triffault OFC sur l’importance des systèmes de clés physique pour garantir la sécurité physique et logique. Il a constaté que dans les entreprises la gestion des clés est un des points faibles. En effet, très souvent on utilise des passes universels qui ouvrent toutes les portes et des passes partiels donnant l’accès qu’à un certain nombre de salles souvent réservés aux personnels d’entretien, sous-traitants… En fait, pour lui le piratage de ces clés quelques soit leur type à cylindres, à trous... est très aisée. C’est pour cela, qu’il a recommandé de travailler avec seulement des clés protégées. Il a aussi mis en garde sur l’utilisation d’armoires à clés car si une personne malveillante prend des photos des clés dans cette armoire elle pourrait se fabriquer des passes.

Jean-Marc Gremy

Jean-Marc Gremy, le Vice-Président du CLUSIF, qui a animé la session de questions-réponses, a rappelé l’existence d’une convergence entre la sécurité physique et logique. Effectivement, a repris Sylvain Conchon, constate qu’il y a une convergence entre les deux mondes en particulier au niveau du vocabulaire. Pour Damien Chaminade, il est possible de mener des actions de sensibilisations communes avec comme garde-fou les responsables de la conformité et les CIL.