ObjectifCyber

Chapitre 9 — Sécurité Physique & Gestion des Actifs

La sécurité physique est souvent négligée mais reste fondamentale : un attaquant physique peut contourner tous les contrôles logiques. Ce module couvre aussi la gestion des actifs et la destruction sécurisée des données.

Mémorisez ! Défense en profondeur physique = concentric rings. Du plus externe au plus interne : Périmètre → Bâtiment → Espace → Racks. À chaque niveau, des contrôles différents : clôtures/caméras → contrôle d'accès → zones sécurisées → câbles Kensington.

Mémorisez ! Destruction physique > Chiffrement + écrasement > Simple suppression logique. Pour les données très sensibles, toujours choisir la destruction physique (broyage, incinération, démagnétisation).
Astuce Examen

Le degaussing (démagnétisation) est inefficace sur les SSD et clés USB (pas de support magnétique). Pour les SSD : cryptographic erase ou destruction physique. Pour les HDD : degaussing, overwriting ou destruction. L'overwriting DoD 7 passes est lui aussi controversé pour les SSD modernes — préférer le cryptographic erase.

1. Un sas de sécurité (mantrap) est conçu pour :

Mantrap = sas à deux portes (airlock). La première porte doit se fermer et verrouiller avant que la seconde s'ouvre. Empêche le tailgating (suivre quelqu'un en profitant de son accès). Souvent combiné avec un contrôle biométrique ou badge pour chaque porte.

2. Quelle méthode de destruction de données est appropriée pour un SSD contenant des données confidentielles ?

Pour les SSD : le degaussing ne fonctionne pas (pas de support magnétique). L'overwriting est problématique (le firmware SSD peut ne pas écrire là où on le demande — wear leveling). Cryptographic erase = méthode recommandée pour SSD (chiffrer avec AES, puis supprimer la clé). Ou destruction physique (broyage).

3. Une cage de Faraday est utilisée pour :

Cage de Faraday = enclos métallique qui bloque les champs électromagnétiques RF. Utilisations : 1) Forensique = isoler un téléphone/ordinateur pour empêcher l'effacement à distance (kill switch). 2) SCIF (Sensitive Compartmented Information Facility) = salle sécurisée anti-écoute. 3) Protection contre EMP (Electromagnetic Pulse).

4. Des bollards (bornes anti-véhicule) autour d'un bâtiment protègent contre :

Bollards = bornes de béton ou métal encastrées dans le sol autour d'un bâtiment. Empêchent les véhicules de percuter l'entrée (ram attack, vehicular terrorism). Souvent utilisés autour des banques, ambassades, centres de données. Ne protègent pas contre les attaquants à pied.

5. La "cryptographic erase" (effacement cryptographique) consiste à :

Cryptographic erase = 1) Tout le disque est chiffré (ou l'était déjà). 2) La clé de chiffrement est détruite (supprimée du TPM ou HSM). Sans la clé, les données chiffrées sur le disque sont inutilisables même si physiquement récupérées. Méthode recommandée pour SSD, smartphones, et stockage cloud.

6. Un système d'extinction incendie à gaz (FM-200, Novec 1230) est préféré dans un centre de données car :

Systèmes à eau (sprinklers) = destruction certaine des équipements électroniques. Gaz inertes (FM-200, Novec 1230, CO2) = éteignent le feu en réduisant l'oxygène ou en absorbant la chaleur, sans dommages matériels. Note : CO2 est dangereux pour les humains, nécessite évacuation. FM-200 et Novec sont plus sûrs pour le personnel.

7. EOSL (End of Support Life) représente un risque de sécurité majeur parce que :

EOSL = plus de support du fabricant = plus de patches de sécurité. Les nouvelles vulnérabilités découvertes restent à jamais non corrigées. Ex: Windows XP (EOSL 2014) — EternalBlue (2017) a exploité des systèmes XP non patchés. Solution : migrer vers des systèmes supportés ou isoler (segmenter) les systèmes EOSL critiques.

8. Une CMDB (Configuration Management Database) est utilisée pour :

CMDB = base de données centralisant tous les Configuration Items (CI) : serveurs, réseaux, applications, et leurs relations. Utilisée pour le change management, impact analysis, et la réponse aux incidents. Permet de savoir "si je modifie ce serveur, quels systèmes sont affectés ?" Outil clé d'ITIL/ITSM.

9. Le "degaussing" est la technique appropriée pour détruire les données sur :

Degaussing = champ magnétique intense qui désorganise les domaines magnétiques. Fonctionne uniquement sur les supports magnétiques : HDD mécaniques et bandes magnétiques (LTO). Inefficace sur SSD, USB (mémoire flash), CD/DVD (optique), smartphones. Pour ces supports : cryptographic erase ou destruction physique.

10. La "défense en profondeur" physique (concentric rings) signifie :

Defense in Depth physique = cercles concentriques. Ex: Clôture extérieure → Badges d'accès bâtiment → Sas (mantrap) → Badge accès salle serveur → Cage de rack verrouillée → Câble Kensington. Chaque couche ajoute du temps et de la difficulté pour l'attaquant, et une opportunité de détection.