ISO 27001 – Annexe A.11 : Sécurité physique et environnementale

Quel est l’objectif de l’annexe A.11.1 ?

L'annexe A.11.1 vise à garantir la sécurité des zones physiques et environnementales. L'objectif de ce contrôle de l'Annexe A est d'empêcher l'accès physique non autorisé, les dommages et les interférences aux informations et aux installations de traitement de l'information de l'organisation.

Il s'agit d'un élément important du système de gestion de la sécurité de l'information (ISMS), surtout si vous souhaitez obtenir la certification ISO 27001.

A.11.1.1 Périmètre de sécurité physique

Ceci décrit les périmètres et les limites de sécurité qui comportent des zones contenant des informations sensibles ou critiques et toutes les installations de traitement de l'information telles que des ordinateurs, des ordinateurs portables, etc. Un périmètre de sécurité physique est défini comme « toute frontière de transition entre deux zones ayant des exigences de protection de sécurité différentes ».

Cela peut être assez spécifique, par exemple : À la limite la plus extérieure du site et englobant les espaces extérieurs et intérieurs ; Entre l'extérieur d'un bâtiment et l'intérieur de celui-ci ; Entre un couloir et un bureau ou entre l'extérieur d'un meuble de rangement et l'intérieur de celui-ci. Il pourrait également être simplement indiqué comme étant le QG avec son adresse et les limites de son périmètre.

Des exemples de types de biens et de locaux que l'organisation devra prendre en compte en termes de sécurité physique pourraient inclure :

• Les centres de données qui hébergent des actifs informationnels ;
• Siège social;
• Les travailleurs qui ont tendance à travailler à domicile ; et
• Les travailleurs qui voyagent et utilisent donc les hôtels, les locaux des clients, etc. Avec l'externalisation croissante, par exemple pour les centres de données et l'utilisation de bureaux loués, il est également important de faire référence à ces contrôles avec la politique du fournisseur en A15.1 et les nombreuses autres politiques qui affectent les domiciles/mobiles/ les télétravailleurs aussi. Cela concorde et se rapporte également à votre champ d'application dans 4.3.

En termes simples, l’organisation doit établir des zones sécurisées qui protègent les informations précieuses et les actifs informationnels auxquelles seules les personnes autorisées peuvent accéder. Ceci est également lié à l'évaluation des risques et à l'appétit pour le risque d'une organisation, conformément aux actions 6.1 pour faire face aux risques et aux opportunités.

À titre d'exemple de base, les bureaux contenant des informations précieuses ne doivent être accessibles qu'aux employés de cette organisation, ou avec une autorisation accordée à d'autres personnes, par exemple les visiteurs et les agents de nettoyage/entretien des installations externes qui ont été approuvés conformément à la politique du fournisseur.

A.11.1.2 Contrôles physiques d'entrée

Les zones sécurisées doivent être protégées par des contrôles d’entrée appropriés pour garantir que seul le personnel autorisé est autorisé à y accéder. À titre d'exemple très simple, seuls les employés qui ont reçu le code d'accès à l'alarme et qui ont reçu une clé peuvent accéder au bureau. Les organisations plus réticentes au risque et/ou celles dont les informations sensibles sont menacées pourraient aller beaucoup plus loin en adoptant des politiques incluant également des solutions biométriques et d'analyse.

Les contrôles d'entrée devront être sélectionnés et mis en œuvre en fonction de la nature et de l'emplacement de la zone protégée, ainsi que de la capacité à mettre en œuvre de tels contrôles si, par exemple, l'emplacement n'appartient pas à l'organisation. Les processus d'octroi d'accès via les contrôles d'entrée doivent être robustes, testés et surveillés et peuvent également devoir être enregistrés et audités.

Le contrôle des visiteurs sera également particulièrement important et les processus liés à celui-ci devront être pris en compte. Une attention particulière devrait être accordée à l'accès accordé aux zones dans lesquelles des informations sensibles ou classifiées sont traitées ou stockées. Tandis que les zones contenant des équipements d'infrastructure informatique clés en particulier doivent être davantage protégées et l'accès limité à ceux qui en ont réellement besoin. L'auditeur s'attendra à ce que des contrôles appropriés soient en place et régulièrement testés et surveillés.

A.11.1.3 Sécurisation des bureaux, des salles et des installations

La sécurité des bureaux, des salles et des installations peut sembler simple et évidente, mais elle mérite d’être réfléchie et réexaminée régulièrement qui doit y avoir accès, quand et comment. Certaines des choses qui sont souvent manquées sont : Qui peut voir ou même entendre l'intérieur du bureau de l'extérieur et que faire à ce sujet ? ; L'accès est-il mis à jour lorsque le personnel quitte ou est transféré et n'a donc plus besoin d'accéder à cette salle particulière ? Les visiteurs doivent-ils être accompagnés dans cette zone et c'est le cas, n'est-ce pas ? ; Et le personnel est-il vigilant lorsqu’il s’agit de contester et de dénoncer des personnes qu’il ne reconnaît pas ?

Pour les salles partagées avec d'autres (par exemple, si une salle de réunion est louée), les politiques incluraient également la protection et/ou le retrait des biens de valeur lorsqu'ils ne sont pas occupés par l'organisation – allant des ordinateurs portables aux informations affichées sur des tableaux blancs, des tableaux à feuilles mobiles, etc. .

L'auditeur externe inspectera les contrôles de sécurité des bureaux, des chambres et des installations et vérifiera s'il existe des preuves d'une mise en œuvre, d'un fonctionnement et d'un examen adéquats et fondés sur les risques, de contrôles sur une base périodique.

A.11.1.4 Protection contre les menaces externes et environnementales

Ce contrôle décrit comment la protection physique contre les catastrophes naturelles, les attaques malveillantes ou les accidents est évitée.

Les menaces environnementales peuvent être d'origine naturelle (par exemple les inondations, les tornades, la foudre, etc.) ou d'origine humaine (par exemple les fuites d'eau des installations, les troubles civils, etc.). Il faut tenir compte de ces menaces et identifier les risques, les évaluer et les traiter de manière appropriée. Certaines menaces (par exemple, le fait de se trouver dans une plaine inondable) peuvent être inévitables sans coûts ni inconvénients considérables, mais cela ne signifie pas qu'aucune mesure ne peut être prise. Des conseils spécialisés peuvent être requis pour certains aspects de la gestion environnementale et doivent être pris en compte si nécessaire.

Comprendre votre emplacement et ce qui se trouve à proximité immédiate est essentiel pour identifier les risques potentiels. L'auditeur recherchera des preuves démontrant qu'une réflexion a été menée pour identifier les menaces et vulnérabilités potentielles (à la fois naturelles et d'origine humaine) et que les risques environnementaux ont été évalués et traités ou tolérés en conséquence.

A.11.1.5 Travailler dans des zones sécurisées

Une fois les contrôles d'accès identifiés et mis en œuvre pour les zones sécurisées, il est important qu'ils soient complétés par des contrôles procéduraux relatifs aux risques qui pourraient survenir à l'intérieur de la zone sécurisée. Par exemple, il pourrait être nécessaire d'avoir :

Une connaissance limitée de l'emplacement et de la fonction des zones sécurisées ;
Restrictions sur l'utilisation du matériel d'enregistrement dans les zones sécurisées ;
Restriction du travail non supervisé dans les zones sécurisées dans la mesure du possible ;
Surveillance et journalisation des entrées et sorties.
Après avoir inspecté les contrôles d'accès aux zones sécurisées, l'auditeur veillera ensuite à ce que ceux-ci soient soutenus, si nécessaire, par des politiques et procédures appropriées et que les preuves de leur gestion soient conservées.

A.11.1.6 Zones de livraison et de chargement

Les points d'accès tels que les zones de livraison et de chargement et autres points où des personnes non autorisées pourraient pénétrer dans les locaux doivent être contrôlés et, si possible, isolés des installations de traitement de l'information pour éviter tout accès non autorisé. Les lieux de travail uniquement cloud ou numériques n'ont peut-être pas besoin d'une politique ou d'un contrôle concernant les zones de livraison et de chargement ; dans ce cas, ils le noteraient et l'excluraient spécifiquement de la déclaration d'applicabilité (SOA).

Pour certaines organisations, les zones de livraison/chargement ne sont pas disponibles ou ne sont pas contrôlées par l'organisation (par exemple, un bureau partagé). Cependant, lorsque l'organisation peut contrôler ou influencer ces domaines, il est important que les risques soient identifiés et évalués et que des contrôles appropriés soient donc mis en œuvre. Des exemples de ces contrôles peuvent inclure : Emplacement éloigné du bâtiment de bureaux principal ; Gardiennage supplémentaire ; Surveillance et enregistrement de vidéosurveillance ; Et des procédures pour empêcher que les accès externes et internes soient ouverts en même temps.

L'auditeur inspectera la protection de livraison et de chargement pour s'assurer qu'il existe des contrôles appropriés relatifs au contrôle des matériaux entrants (par exemple, les livraisons) et au contrôle des matériaux sortants (par exemple pour la prévention des fuites d'informations). Cependant, le niveau d'assurance concernant la livraison et le chargement par rapport aux niveaux de risque évalués que l'auditeur recherchera dépendra de la disponibilité et de la propriété de ces installations.

Quel est l’objectif de l’annexe A.11.2 ?

L'annexe A.11.2 concerne l'équipement. L'objectif de ce contrôle de l'Annexe A est de prévenir la perte, les dommages, le vol ou la compromission des actifs et l'interruption des opérations de l'organisation.

A.11.2.1 Emplacement et protection de l'équipement

L'équipement doit être localisé et protégé pour réduire les risques liés aux menaces et aux dangers environnementaux, ainsi que contre tout accès non autorisé. L'emplacement de l'équipement sera déterminé par un certain nombre de facteurs, notamment la taille et la nature de l'équipement, son utilisation proposée, son accessibilité et les exigences environnementales. Les responsables de l'implantation des équipements doivent procéder à une évaluation des risques et appliquer, dans la mesure du possible, les mesures suivantes en fonction des niveaux de risque :

• Les installations de traitement de l'information (ordinateurs portables, ordinateurs de bureau, etc.) traitant des données sensibles doivent être positionnées et l'angle de vue restreint afin de réduire le risque que les informations soient vues par des personnes non autorisées lors de leur utilisation.
• Les installations de stockage sont sécurisées pour éviter tout accès non autorisé avec les clés détenues par des détenteurs de clés autorisés.
• La nourriture et les boissons doivent être tenues à l’écart des équipements TIC.
• Les routeurs sans fil, les imprimantes partagées, etc. doivent être positionnés de manière à permettre un accès facile en cas de besoin et à ne pas empêcher quiconque de travailler ou à laisser des informations sur l'imprimante qui ne devraient pas s'y trouver.
• Les installations de traitement de l'information, telles que les ordinateurs portables, sont situées de manière à être stockées en toute sécurité lorsqu'elles ne sont pas utilisées et facilement accessibles en cas de besoin.
• Les travailleurs à domicile doivent également réfléchir attentivement à l'emplacement et au positionnement de leurs équipements afin d'éviter des risques similaires à ceux auxquels sont exposés les travailleurs des bureaux, ainsi que toute utilisation ou accès involontaire par la famille et les amis.

A.11.2.2 Utilitaires de support

L'équipement doit être protégé contre les pannes de courant et autres perturbations causées par des pannes des services publics de support. Par exemple, les risques liés à des alimentations électriques défectueuses ou défectueuses doivent être évalués et pris en compte. Cela pourrait inclure : Alimentations doubles provenant de différentes sous-stations ; Installations de production d'énergie de secours ; Tests réguliers de la fourniture et de la gestion de l’énergie. Pour les télécommunications, afin de maintenir leur capacité à continuer, les considérations pourraient inclure : Routage double ou multiple ; Équilibrage de charge et redondance dans les équipements de commutation ; Surveillance et alerte de la capacité de bande passante.

De nombreux risques seront liés à la « disponibilité » des systèmes de traitement de l'information et les contrôles doivent donc répondre aux exigences commerciales en matière de disponibilité, conformément à tout plan de continuité des activités et à toute évaluation d'impact réalisée à cet effet. L'auditeur recherchera des preuves que les contrôles ont été régulièrement testés pour garantir qu'ils fonctionnent correctement aux niveaux souhaités (générateurs de secours, etc.).

A.11.2.3 Sécurité du câblage

Les câbles électriques et de télécommunications transportant des données ou prenant en charge les services d'information doivent être protégés contre toute interception, interférence ou dommage. Si les câbles d'alimentation et de réseau ne sont pas placés et protégés de manière adéquate, il est possible qu'un attaquant puisse intercepter ou perturber les communications ou couper l'alimentation électrique.

Dans la mesure du possible, les câbles réseau et électriques doivent être souterrains ou autrement protégés et séparés afin de les protéger contre les interférences. En fonction de la sensibilité ou de la classification des données, il peut être nécessaire de séparer les câbles de communication pour différents niveaux et d'inspecter en outre les points de terminaison pour déceler les appareils non autorisés. L'auditeur inspectera visuellement les câbles et, s'ils sont pertinents par rapport au niveau de classification/de risque, demandera une preuve d'inspection visuelle.

A.11.2.4 Entretien de l'équipement

L’équipement doit être correctement entretenu pour garantir sa disponibilité et son intégrité continues. Les exigences en matière d'entretien de routine, préventif et réactif des équipements varieront en fonction du type, de la nature, de l'environnement d'implantation et de la fonction de l'équipement ainsi que de tout accord contractuel avec les fabricants et les fournisseurs tiers. La maintenance doit être effectuée sur l'équipement à des fréquences appropriées pour garantir qu'il reste efficacement fonctionnel et réduire le risque de panne.

C'est une bonne idée de conserver les calendriers de maintenance comme preuve pour l'auditeur si votre équipement a besoin d'être entretenu ou a été réparé (cela peut être soigneusement lié à l'inventaire des actifs informationnels A8.1.1 si vous le souhaitez). Les journaux de cette maintenance doivent indiquer qui a effectué la maintenance, ce qui a été fait et qui a autorisé la maintenance. L'auditeur vérifiera ces journaux pour s'assurer que les calendriers sont adéquats et proportionnés, et que les activités ont été correctement autorisées et menées.

A.11.2.5 Retrait des actifs

Les équipements, informations ou logiciels retirés du site nécessitent également une gestion. Cela peut être contrôlé par une certaine forme de processus d'enregistrement et de départ ou plus simplement associé à un employé dans le cadre de son rôle et géré conformément à ses conditions d'emploi - l'annexe A 7 qui devrait bien sûr traiter de la sécurité des informations !

Dans un monde du travail toujours mobile, certains actifs, tels que les appareils mobiles, peuvent être systématiquement retirés des locaux de l'organisation pour faciliter le travail mobile ou à domicile. Lorsque les actifs ne sont pas conçus pour être systématiquement retirés du site ou s'ils sont de nature sensible, hautement classifiée, précieuse ou fragile, des processus doivent être en place pour demander et autoriser le retrait et pour vérifier le retour des actifs.

Il convient d’envisager la limitation de la durée pendant laquelle les actifs peuvent être retirés et doit être basée sur le risque. L'auditeur vérifiera que ces évaluations des risques ont été effectuées en cas de retrait non routinier d'actifs et pour les politiques qui déterminent ce qui est ou non routinier.

A.11.2.6 Sécurité des équipements et des actifs hors site

Des contrôles de sécurité doivent être appliqués aux actifs hors site, en tenant compte des différents risques liés au travail en dehors des locaux de l'organisation. Il s’agit d’un domaine de vulnérabilité commun et il est donc important que le niveau de contrôle approprié soit mis en œuvre et lié à d’autres contrôles et politiques mobiles pour les travailleurs à domicile, etc.

Des considérations doivent être prises et des évaluations des risques effectuées pour les actifs qui sont retirés du site, que ce soit de manière routinière ou exceptionnelle. Les contrôles comprendront probablement un mélange de : Contrôles techniques tels que les politiques de contrôle d'accès, la gestion des mots de passe, le cryptage ; Des contrôles physiques tels que les verrous Kensington pourraient également être envisagés ; parallèlement à des contrôles de politique et de processus tels que l'instruction de ne jamais laisser les actifs sans surveillance à la vue du public (par exemple enfermant le coffre de la voiture).

Il est particulièrement important d’examiner les tendances en matière d’incidents de sécurité liés aux actifs hors site. L'auditeur s'attendra à voir des preuves de cette évaluation des risques et des contrôles proportionnés sélectionnés en fonction des niveaux de risque évalués. Ils s’attendront également à voir des preuves de conformité aux politiques.

A.11.2.7 Élimination ou réutilisation sécurisée de l'équipement

Tous les éléments d'équipement, y compris les supports de stockage, doivent être vérifiés pour garantir que toutes les données sensibles et tous les logiciels sous licence ont été supprimés ou écrasés en toute sécurité avant leur élimination ou leur réutilisation. Il s’agit d’un autre domaine de vulnérabilité commune dans lequel de nombreux incidents sont dus à de mauvaises pratiques d’élimination ou de réutilisation.

Si un équipement contenant des informations sensibles est mis au rebut, il est essentiel que les appareils et composants contenant des données soient physiquement détruits ou effacés en toute sécurité à l'aide d'outils et de technologies appropriés. Si l'équipement doit être réutilisé, il est important que toutes les données précédentes et les logiciels potentiellement installés soient « effacés » en toute sécurité et que l'appareil soit remis dans un état « propre » connu. En fonction du niveau de sensibilité des données contenues sur l'équipement détruit, il peut être nécessaire d'assurer la destruction physique et cela doit être fait à l'aide d'un processus pouvant être entièrement audité.

Souvent, des sociétés tierces sont utilisées pour l'élimination et si tel est le cas, il est essentiel de garantir que le niveau approprié de « certificat de destruction » est fourni – les clients puissants peuvent s'attendre à le voir également si vous détenez des données clients précieuses et une partie de vos données. votre contrat avec eux spécifie une destruction sécurisée.

Pour ce contrôle, l'auditeur vérifiera que les technologies, politiques et processus appropriés sont en place et que les preuves de destruction ou d'effacement sécurisé ont été effectuées correctement lorsque cela est nécessaire (liées au déclassement dans votre inventaire d'actifs informationnels, le cas échéant également) .

A.11.2.8 Équipement utilisateur sans surveillance

Comme pour la sécurisation des bureaux, les utilisateurs doivent s'assurer que tout équipement sans surveillance dispose de la protection appropriée, même s'il s'agit d'un mot de passe et d'un écran de verrouillage pour la sécurité de base des informations. Il est de bon sens de protéger l'équipement lorsqu'il est laissé sans surveillance, mais cela dépendra du niveau de confiance placé dans l'endroit où l'appareil est laissé (par exemple, chambres d'hôtel, lieux de conférence, etc.). Les locaux organisationnels doivent également être pris en compte s'il existe un risque, par exemple un volume élevé de trafic de visiteurs, des bureaux partagés avec des changements fréquents de personnel avec des rôles différents.

Si l'équipement est laissé la nuit à un endroit où les agents de nettoyage et d'autres entrepreneurs peuvent avoir accès en dehors des heures normales de bureau, il est important de prendre en compte les risques de vol et de falsification et d'appliquer des contrôles sensés et adéquats. Des politiques, des processus et des programmes de sensibilisation doivent être en place pour garantir que les utilisateurs sont conscients de leurs responsabilités lorsqu'ils laissent un équipement sans surveillance, que ce soit au sein de l'organisation ou à l'extérieur s'ils sont mobiles.

L'auditeur vérifiera que les niveaux de contrôle sont en place, adaptés aux niveaux de risque et qu'il existe des preuves de vérification de la conformité (par exemple, les inspections itinérantes après les heures d'ouverture ou pendant les pauses déjeuner sont une pratique populaire pour les audits sur site).

A.11.2.9 Politique de bureau et d'écran clairs

Des procédures opérationnelles pour les papiers et les supports de stockage amovibles ainsi qu'une politique d'écran clair pour les installations de traitement de l'information devraient généralement être adoptées à moins que tous les autres contrôles et risques ne signifient qu'elles ne sont pas nécessaires. Les politiques de bureau et d'écran clairs sont considérées comme de bonnes pratiques et sont relativement simples à mettre en œuvre. Toutefois, dans certains environnements opérationnels urgents, elles peuvent ne pas être pratiques.

Dans ce cas, d’autres contrôles destinés à gérer les risques peuvent être mis en place à la place. Par exemple, si un bureau dispose d’un niveau élevé de contrôle d’accès physique avec très peu de trafic de visiteurs et d’entrepreneurs externes, de tels contrôles peuvent être jugés inutiles. Cependant, le risque de « menace interne » peut toujours être pertinent et peut atteindre des niveaux inacceptables. En fin de compte, comme pour toutes les considérations de sécurité, les décisions relatives à la mise en œuvre ou non de politiques de bureau et d'écran clairs doivent être basées sur une évaluation des risques.

L'auditeur examinera comment les décisions de mettre en œuvre ou non des politiques de bureau et d'écran clairs ont été prises et examinées à une fréquence appropriée. Si de telles politiques sont en place, ils rechercheront des preuves de tests de conformité ainsi que le signalement et la gestion de toute violation.