Faire un test intrusion physique?

Pourquoi faire un test d’intrusion physique ?

Les menaces des entreprises ne viennent pas toujours d’une mise à jour manquante, d’une copie de sauvegarde pas fait rapidement ou d’une politique manquante.

Des fois c’est une personne qui entre chez vous, vole vos données et voilà.

Faire un test d’intrusion physique, c’est :

• Évaluer la fiabilité des contrôles (serrures, badges, caméras) face à un attaquant.
• Mesurer l’efficacité des procédures (vérification d’identité, gestion des visiteurs, rondes de sécurité).
• Mettre le doigt sur les failles humaines (manipulation sociale ou “tailgating”) avant qu’un criminel les exploite.

Quand faire ce test ?

1.Après une réorganisation ou un déménagement
Vos accès changent, les plans de plomberie aussi, et les gardiens ne connaissent pas toujours les nouveaux couloirs. Un test réalisé juste après la transition met en évidence les oublis de configuration et les points à risque. (ex : badge temporaire resté actif)

2. Avant une certification (ISO 27001, PCI-DSS)
Pour prouver votre conformité, on ne se contente pas d’un rapport de politiques : il faut une preuve tangible qu’aucun visiteur non autorisé ne peut se rendre dans notre salle de serveurs.

Dans ISO 27001:2022, la sécurité physique est couverte dans l’Annexe A, thème « Contrôles physiques », et plus précisément dans les clauses A.7.1 à A.7.13. Mais spécifiquement:

• A.7.1 — Physical Security Perimeters (périmètres de sécurité physique)
• A.7.2 — Physical Entry Control (contrôle des accès physiques)
• A.7.3 — Securing Offices, Rooms and Facilities (protection des locaux et installations)
• A.7.4 — Physical Security Monitoring (surveillance de la sécurité physique)
• A.7.5 — Protecting against Physical and Environmental Threats (protection contre les menaces physiques et environnementales

3. Suite à un incident
Après une brèche numérique, c’est le moment idéal pour tester vos défenses physiques puisqu’un attaquant qui a infiltré un poste de travail peut passer par une autre entrée.

4. Quand la paranoïa augmente
Si vous gérez des données sensibles (R-D, secrets, dossiers santé), vous ne voulez pas que n’importe qui se promène dans vos bureaux. C’est la raison numéro 1 des grandes entreprises.

Perdre la maîtrise des accès, c’est perdre le contrôle des actifs.

Pour les PME, je remarque qu’il y a souvent une grande confiance dans les équipes « Tous nos employés sont de bonne foi ! » Sauf que… la naïveté ouvre bien des portes. Un test physique révèle ces vulnérabilités avant qu’un stagiaire curieux ou un visiteur malveillant n’en profite.

• Une recherche de type OSINT

Un petit mot sur la phase OSINT puisque avant de faire le travail, il faut faire nos devoirs. la recherche d’information en sources ouvertes, ou OSINT (Open Source Intelligence). On vérifie ce qui se dit sur vous, ce qu’on peut trouver sur votre entreprise sans même avoir à se déplacer.

On trouve souvent des choses interessantes comme des documents mal protégés sur votre site web, des communiqués de presse qui donnent trop de détails, ou des profils LinkedIn qui explique les technologies ou directment la photo d’un badget d’accès. Avec ces informations on a des noms, des horaires, des procédures internes, des accès secondaires.

Les bonnes et les moins bonnes raisons de faire un test

Bonnes raisons

• Validation réelle : vous voulez vraiment savoir si un voleur en habit peut déjouer vos caméras.
• Conformité réglementaire : Pour confirmer notre conformité et des fois exigée dans certains contextes.
• Amélioration continue : renforcer vos procédures en intégrant des retours concrets.
• Sensibilisation : rien de tel qu’une démonstration « en vrai » pour convaincre la direction et le personnel de l’importance de la sécurité physique.

Moins bonnes raisons

• Faire joli sur papier : commander un rapport que personne ne lira, juste pour cocher une case.
• Comparer deux fournisseurs : si vous voulez juste un concours de prix, vous n’obtiendrez pas d’analyses profondes.
• Test « one-off » sans suite : un audit sans plan d’action, c’est comme une alarme sans intervention, ça ne sert à rien.
• Trop tôt dans la vie de l’entreprise : si vous n’avez pas encore de contrôle d’accès, mieux vaut d’abord mettre en place les bases (badges, caméras, politiques) avant de tester leurs limites.

Comment choisir un bon consultant

• Expertise prouvée et références
  Cherchez des firmes spécialisées en tests physiques, pas des généralistes du cyber avec un plugin « serrures » dans leur méthode. Exigez un historique de mandats similaires (taille, secteur)
• Méthodologie claire
  Évitez les descriptifs vagues : « nous ferons un Pentest physique ». Vous méritez un plan détaillé : phases de reconnaissance, d’ingénierie sociale, de contournement technique, de rapport et de re-test.
• Transparence sur les outils et techniques
  Les meilleurs consultants vous expliquent comment ils vont s’y prendre, utilisant du pick-lock, copie de badge, manipulation social. S’ils cachent leurs méthodes, méfiance, vous pourriez être facturé pour un test de mauvaise qualité.
• Rapport et suivi
  Le rapport doit contenir :

Description des attaques (comment, où, quand).

Niveau de risque (impact + probabilité).

Recommandations concrètes (équipement, procédures, formation).

Options de re-test pour vérifier la mise en œuvre.

• Culture du partage
  Ce point est un important pour moi et mes valeurs personnelle, choisissez un partenaire qui ne pointe pas du doigt les failles et les gens qui ont échoué, il doit vous coacher, former votre équipe et proposer un vrai transfert de compétences.

Quels résultats attendre

Un bon test d’intrusion physique ne se limite pas à ouvrir une porte ; il révèle la vraie posture de sécurité de l’organisation :

• Détails des vulnérabilités
  Identification précise des points faibles : portes mal verrouillées, caméras aveugles, accès techniques non contrôlés.
• Impact d’affaire
  Scénario chiffré, « Un attaquant a pu atteindre le serveur de paie en 10 minutes ».
• Plan d’action
  Priorisation des correctifs, améliorations à 0 $ (changer un protocole) vs investissement (installation d’un tourniquet, badge).
• Sensibilisation du personnel
  Retour d’expérience, vos employés découvrent qu’un inconnu a pu passer la porte en disant « j’ai oublié mon badge » !
• Reprise des tests
  Validation que les correctifs fonctionnent (idéalement deux à trois mois plus tard).

Exemple

On est arrivés dans un grand bureau, comme une tour à bureaux au centre-ville, avec réceptionniste, caméras, cartes d’accès etc. L’équipe est arrivé avec assurance et a simplement demandé la permission d’aller dans le bureau de la direction sous prétexte de devoir « effectuer un petit changement ».

À notre surprise, on nous a laissés passer sans poser de questions, sans vérification d’identité, sans accompagnement.

Une fois à l’intérieur, on a été laissés seuls, durant de longues minutes.

Assez longtemps pour fouiller les tiroirs, examiner les documents sur le bureau, prendre en photo les dossiers, et même repartir avec quelques documents dans nos sacs.

Ce qui m’a marqué, c’est à quel point l’équipe était stressé avant de commencer, la peur d’être arrêté, confronté, dénoncé. alors que finalement il n’y avait rien. Encore aujourd’hui, les failles n’étaient pas technologiques. C’était l’humain, sous prétexte de bonne foi.