Parce que… c’est l’épisode 0x627!

Shameless plug

• 10 et 11 septembre 2025 - GoSec 2025
  
  
  
  • Code rabais de 15% - GSPOL25
  
  
  
  


• 13 septembre 2025 - BSides Montreal 2025


• 12 au 17 octobre 2025 - Objective by the sea v8


• 14 et 15 octobre 2025 - ATT&CKcon 6.0


• 14 et 15 octobre 2025 - Forum inCyber Canada
  
  
  
  • Code rabais de 30% - CA25KDUX92
  
  
  
  


• 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec


• 17 au 20 novembre 2025 - European Cyber Week


• 25 et 26 février 2026 - SéQCure 2026

Description

Introduction : deux mondes indissociables

Dans cet épisode spécial du podcast avec Christophe d’Arlhac, la discussion porte sur la sécurité physique et sa convergence croissante avec la cybersécurité. Ces deux domaines, autrefois traités en silos, sont devenus indissociables au cours des vingt dernières années. Chaque mois, leur interdépendance s’amplifie davantage.

La raison est simple : un badge volé, une caméra piratée ou une clé USB perdue sont des actifs physiques qui génèrent rapidement des incidents numériques majeurs. Une fois qu’un acteur malveillant obtient un accès physique à un actif numérique, toutes les mesures de sécurité digitales deviennent inefficaces. Sans protection physique adéquate, la sécurité numérique est compromise.

Les incidents réels et leurs conséquences

Plusieurs cas concrets illustrent l’importance de cette convergence. Chez British Airways en 2018, des disques durs ont été physiquement volés, compromettant des millions de données utilisées ensuite pour du piratage. L’incident de Verkada en 2021 a exposé plus de 150 000 caméras dans des prisons, hôpitaux et entreprises, révélant un manque flagrant de segmentation réseau. Ces dispositifs censés protéger le physique sont devenus des portes d’entrée vers l’ensemble du système d’information.

L’incendie du data center OVH à Strasbourg en 2021 démontre qu’au-delà des attaques malveillantes, les incidents accidentels peuvent avoir des répercussions catastrophiques. Des milliers de serveurs ont été détruits, impactant de nombreuses organisations. Ces incidents, bien que médiatisés, ne sont malheureusement pas isolés - les centres de données qui brûlent sont plus courants qu’on ne le pense.

Un exemple plus banal mais révélateur : un data center installé dans une armoire où la personne effectuant le ménage débranchait quotidiennement le rack de serveurs pour brancher son aspirateur. Ce cas illustre qu’une sécurité physique déficiente peut entraîner des pertes de production et de données, même sans intention malveillante.

L’évolution réglementaire

Les normes internationales prennent de plus en plus en compte cette réalité. L’ISO 27001, l’ISO 22301, le RGPD, les lois de programmation militaire et la directive NIS 2 insistent lourdement sur la sécurité physique. Ces régulations imposent des contrôles renforcés, particulièrement pour les entreprises critiques, et exigent désormais explicitement la coordination entre les fonctions sûreté et cybersécurité.

Cette évolution réglementaire reconnaît qu’il est devenu impossible de dissocier ce qui est physique de ce qui est numérique. Un téléphone utilisé pour l’authentification multifacteur est-il un actif physique ou numérique ? Un badge avec empreinte numérique relève-t-il du physique ou du cyber ? Ces questions illustrent la convergence complète des deux domaines.

L’interdépendance technologique

Les systèmes de contrôle d’accès, de détection, les caméras IP, les alarmes connectées et les capteurs divers créent une interdépendance forte entre physique et numérique. Cette réalité impose de repenser la gestion des incidents. Si les incidents cyber sont généralement bien tracés, les incidents physiques restent souvent confinés aux services d’accueil ou généraux, sans remonter aux RSSI, CISO ou DSI. Cette cloisonnement de l’information représente un risque majeur pour l’organisation.

La résistance au partage d’information entre ces deux univers provient parfois de peurs légitimes : crainte pour son poste, charge de travail supplémentaire, perte de prérogatives. Pourtant, dépasser ces inquiétudes individuelles pour adopter une vision globale reste essentiel pour protéger efficacement l’entreprise.

L’équation fondamentale de sûreté

Un concept clé de la sécurité physique mérite d’être mieux connu en cybersécurité : l’équation de sûreté. Le temps de résistance d’une protection doit être strictement supérieur à la somme du temps de détection et du temps d’intervention. Cette formule simple permet d’optimiser la protection de sites dispersés, qu’il s’agisse d’éoliennes, de tours cellulaires ou d’installations hydroélectriques.

Cette équation s’applique autant au physique qu’au numérique. L’intervention peut être à distance (un administrateur bloquant ou effaçant des données) ou physique (un agent de sécurité se déplaçant sur site). En multipliant les barrières - barriérages, caméras, alarmes, sas, portes blindées - on retarde l’intrusion et on laisse le temps à la détection et à l’intervention d’opérer. Le principe fondamental reste : retarder, détecter, réagir.

Recommandations pratiques

Pour améliorer la sécurité globale, plusieurs actions concrètes sont préconisées : limiter l’accès aux zones sensibles par des badges, surveillance humaine et vidéo redondante ; créer des comités de sécurité communs pour éviter l’exclusion et favoriser une vision d’ensemble ; prévoir des plans de secours et des redondances ; sécuriser tous les périphériques critiques ; segmenter les réseaux (notamment séparer caméras internes et externes).

Il est recommandé d’instaurer un référent capable d’intégrer sûreté et cybersécurité, d’organiser des exercices hybrides combinant intrusion physique et incident cyber, et de réviser les politiques de sécurité pour inclure explicitement le volet physique. Des audits croisés entre équipes physiques et cyber permettraient de décloisonner les approches.

La sensibilisation continue

La sécurité physique ne se limite pas aux locaux de l’entreprise. Elle concerne aussi les salons professionnels, les transports, les restaurants. Trop de professionnels gardent leur badge visible en public, exposent leur laptop avec des autocollants identifiant leur employeur, ou publient sur les réseaux sociaux des photos compromettantes. Les badges comportent souvent des QR codes facilement copiables.

La formation croisée des équipes constitue un levier d’amélioration majeur : les équipes de sûreté physique doivent être sensibilisées aux nouvelles technologies cyber, tandis que les équipes numériques doivent comprendre les problématiques physiques. Cette double formation créerait une cohésion renforcée et une culture de sécurité véritablement globale.

Conclusion

La convergence entre sécurité physique et cybersécurité n’est plus optionnelle. Les conflits internationaux actuels montrent d’ailleurs que l’attaque physique ne peut être dissociée du numérique, avec des technologies comme les drones téléguidés qui redistribuent les capacités militaires. Pour les entreprises, penser global et transverse n’est plus un choix mais une nécessité. Dans un monde où un simple aspirateur peut causer une panne de serveurs, et où un badge volé ouvre la porte à une cyberattaque, seule une approche intégrée garantit une protection efficace.

Collaborateurs

• Nicolas-Loïc Fortin


• Christophe D’ARLHAC

Crédits

• Montage par Intrasecure inc


• Locaux virtuels par Riverside.fm