Le problème des silos de sécurité
La plupart des organisations traitent la sécurité comme trois disciplines distinctes. Le département informatique gère la cybersécurité. Une équipe technique ou un prestataire externe s'occupe de la sécurité physique : badges d'accès, caméras de vidéosurveillance, serrures. Et les ressources humaines, dans la mesure où elles s'en occupent, traitent ce qu'on pourrait appeler la « sécurité humaine » : vérification des antécédents, menaces internes, sensibilisation à l'ingénierie sociale. Ces trois domaines ne communiquent presque jamais entre eux.
Cette compartimentation n'est pas une faiblesse théorique. C'est la faille la plus exploitée dans la sécurité moderne. Les attaquants ne respectent pas votre organigramme. Un adversaire déterminé combinera un e-mail de phishing avec une intrusion physique par filature, exploitera un employé psychologiquement vulnérable et se déplacera latéralement dans des systèmes qu'aucune équipe de sécurité ne surveillait de bout en bout.
ObsidianCorps a été fondé sur une observation simple : les défaillances de sécurité les plus dévastatrices que nous avons examinées impliquaient toujours une défaillance à l'intersection des domaines cyber, physique et humain. L'attaque avait réussi précisément parce qu'aucune équipe n'avait une vue d'ensemble complète.
Comprendre les trois domaines
Cybersécurité : le périmètre numérique
C'est le domaine dans lequel la plupart des organisations investissent le plus massivement, et pour cause. Il englobe la sécurité des réseaux, la protection des terminaux, la gestion des identités et des accès, la sécurité des applications, la protection des données et la réponse aux incidents. Les outils sont matures, les référentiels sont bien établis (ISO 27001, NIST CSF, CIS Controls) et le marché des talents, bien que tendu, est au moins reconnu.
Mais la cybersécurité seule a des angles morts. Elle suppose généralement que les accès physiques sont contrôlés et que les utilisateurs sont bien ceux qu'ils prétendent être. Lorsque ces hypothèses s'avèrent fausses, même d'excellentes défenses cyber s'effondrent.
Sécurité physique : le périmètre matériel
La sécurité physique couvre le contrôle d'accès aux bâtiments et aux zones sensibles, la vidéosurveillance, les contrôles environnementaux et la protection des actifs matériels. Au Luxembourg, notamment dans le secteur financier, les standards de sécurité physique sont souvent élevés, portés par les exigences réglementaires de la CSSF et les normes applicables aux centres de données comme ISO 27001 Annexe A.11.
La faiblesse de la sécurité physique prise isolément est qu'elle se concentre sur la prévention des accès physiques non autorisés sans envisager la manière dont un accès physique peut être exploité pour mener des cyberattaques. Un dispositif USB abandonné dans un parking, un équipement non autorisé branché sur un port réseau non surveillé, un mot de passe espionné à un poste de travail partagé : ce sont des cyberattaques qui trouvent leur origine dans le domaine physique.
Sécurité psychologique : le périmètre humain
C'est le domaine le moins mature et le moins doté en ressources, pourtant c'est là que commence la plupart des attaques. La sécurité psychologique englobe la compréhension de la manière dont les individus prennent des décisions sous pression, de la façon dont la confiance et l'autorité sont exploitées par l'ingénierie sociale, du développement des menaces internes, et de l'influence de la culture organisationnelle et du niveau de stress sur les comportements de sécurité.
L'ingénierie sociale n'est pas une attaque purement technique. C'est une manipulation psychologique qui exploite des biais cognitifs : le biais d'autorité, l'urgence, la réciprocité, la preuve sociale. Se défendre contre elle requiert de comprendre la psychologie humaine, pas seulement de déployer des filtres e-mail.
La convergence des surfaces d'attaque : comment les menaces traversent les domaines
Le concept de convergence des surfaces d'attaque décrit ce qui se produit lorsque des attaquants combinent délibérément des tactiques issues des domaines cyber, physique et psychologique pour atteindre des objectifs qui seraient impossibles dans un seul domaine.
Exemple 1 : la compromission du dirigeant
Un attaquant effectue des recherches sur un directeur financier via LinkedIn et les réseaux sociaux (renseignement en sources ouvertes, technique cyber). Il observe la routine quotidienne du dirigeant, notamment son restaurant préféré (surveillance physique). Au restaurant, il engage une conversation décontractée et crée une relation de confiance (manipulation psychologique). Au fil de « rencontres fortuites » ultérieures, il apprend l'existence d'une acquisition en cours. Il conçoit alors un e-mail de spear-phishing très ciblé qui fait référence à des détails précis tirés de la conversation. Le directeur financier clique parce que l'e-mail paraît authentique ; il fait référence à un contexte réel et confidentiel.
Aucun domaine de sécurité pris isolément n'aurait détecté cette attaque. Une surveillance OSINT aurait pu signaler la phase de reconnaissance. La sensibilisation à la sécurité physique aurait pu rendre le dirigeant méfiant face à la « rencontre fortuite ». Les défenses cyber auraient pu intercepter l'e-mail de phishing. Mais seule une approche intégrée permet de relier ces éléments.
Exemple 2 : l'escalade de la menace interne
Un employé est passé à côté d'une promotion et montre visiblement sa rancœur (indicateur psychologique). Il commence à accéder à des fichiers en dehors de son périmètre habituel (indicateur cyber). Il se met à venir au bureau à des heures inhabituelles (indicateur physique). Il met à jour son profil LinkedIn et commence à se connecter avec des concurrents (indicateur OSINT).
Dans une organisation cloisonnée, les RH voient un problème de moral, la sécurité informatique détecte des schémas d'accès anormaux et la sécurité physique constate des badgages inhabituels. Personne ne relie ces signaux en un tableau cohérent de menace interne avant que des données aient été exfiltrées.
Exemple 3 : le pont physique-cyber dans la chaîne d'approvisionnement
Un attaquant compromet une entreprise de nettoyage qui intervient dans un immeuble de bureaux (chaîne d'approvisionnement, accès physique). Un agent d'entretien, de manière consciente ou via un badge compromis, installe un petit implant réseau (un dispositif ressemblant à un chargeur de téléphone) derrière un bureau après les heures d'ouverture. L'appareil fournit un accès à distance persistant au réseau interne, contournant toutes les défenses cyber périmètriques. Le vecteur d'intrusion initial était entièrement physique ; l'exploitation était entièrement cyber.
Pourquoi l'intégration échoue : les obstacles organisationnels
Si le bien-fondé de l'intégration est aussi évident, pourquoi les organisations continuent-elles de fonctionner en silos ? Plusieurs obstacles structurels persistent :
- Les lignes hiérarchiques : la cybersécurité relève du DSI ou du CTO. La sécurité physique dépend des services généraux ou des opérations. Les RH relèvent du DRH. Ils ont des budgets différents, des priorités différentes et des indicateurs différents.
- Les cultures professionnelles : les professionnels de la cybersécurité ne parlent pas le même langage que ceux de la sécurité physique. Ils assistent à des conférences différentes, détiennent des certifications différentes et ont souvent des tolérances au risque différentes.
- Les lacunes outillage : les plateformes SIEM cyber n'ingèrent pas les journaux de contrôle d'accès physique. Les systèmes de sécurité physique ne se corrèlent pas avec les plateformes de gestion des identités. Il n'existe pas de tableau de bord unifié.
- La concurrence budgétaire : les budgets sécurité sont limités. Les équipes cyber, physique et formation se disputent les mêmes fonds plutôt que d'investir dans des capacités intégrées.
- La fragmentation réglementaire : différentes réglementations mettent l'accent sur des domaines différents. Les circulaires de la CSSF portent sur le risque informatique. Les réglementations incendie se concentrent sur la sécurité physique. Le RGPD se focalise sur la protection des données. Les équipes conformité traitent chacune d'elles isolément.
Le cadre d'évaluation de la sécurité holistique ObsidianCorps
Nous avons développé un cadre pratique pour évaluer et améliorer la posture de sécurité intégrée. Il évalue cinq dimensions dans l'ensemble des trois domaines de sécurité :
Dimension 1 : gouvernance et leadership
Existe-t-il un point unique de responsabilité pour la sécurité dans les trois domaines ? Le conseil d'administration reçoit-il un compte rendu de sécurité intégré, ou des rapports distincts sur la sécurité cyber et physique ? Existe-t-il une stratégie de sécurité unifiée ?
Dimension 2 : évaluation des risques
L'évaluation des risques tient-elle compte de scénarios d'attaque inter-domaines ? Les modèles de menaces se limitent-ils aux cybermenaces, ou incluent-ils des vecteurs d'attaque physiques et psychologiques ? Des scénarios semblables à ceux décrits ci-dessus font-ils partie de l'analyse du paysage des menaces ?
Dimension 3 : détection et surveillance
Pouvez-vous corréler des événements entre les domaines ? Si un employé badge dans le bâtiment à 3 h du matin tout en se connectant simultanément au VPN depuis une adresse IP étrangère, quelqu'un remarque-t-il la contradiction ? Les journaux de contrôle d'accès physique, les journaux d'événements cyber et les signaux RH alimentent-ils un processus d'analyse commun ?
Dimension 4 : réponse et reprise d'activité
Le plan de réponse aux incidents couvre-t-il les incidents de sécurité physique ? Les incidents d'ingénierie sociale ? Les menaces internes ? Ou s'agit-il d'un pur manuel de réponse aux incidents cyber ? Les simulations de crise sont-elles multi-domaines, ou ne testent-elles que les capacités informatiques ?
Dimension 5 : culture et sensibilisation
La formation de sensibilisation à la sécurité couvre-t-elle la sécurité physique (filature, bureau propre) et la manipulation psychologique (ingénierie sociale, prétextage) en parallèle du phishing ? Le signalement est-il encouragé dans tous les domaines ? Un employé peut-il signaler une observation physique suspecte aussi facilement qu'un e-mail suspect ?
Nous évaluons chaque dimension selon une échelle de maturité de 1 (ad hoc) à 5 (optimisé), générant un graphique radar qui met visuellement en évidence les lacunes d'intégration. La plupart des organisations obtiennent de bons scores sur les capacités individuelles par domaine, mais de mauvais scores sur l'intégration inter-domaines.
Étapes pratiques vers l'intégration
Une intégration complète est un parcours de plusieurs années, mais des progrès significatifs sont réalisables en quelques mois. Voici par où nous recommandons de commencer :
Étape 1 : reporting unifié
Mettre en place un compte rendu de sécurité unique pour la direction qui couvre les trois domaines. Cela ne nécessite pas une réorganisation. Cela nécessite une réunion mensuelle au cours de laquelle le RSSI, le responsable de la sécurité physique et le représentant de la sécurité RH présentent ensemble et discutent des intersections.
Étape 2 : scénarios de menaces inter-domaines
Ajoutez au moins trois scénarios inter-domaines à votre registre des risques. Modélisez les chemins d'attaque décrits dans cet article et évaluez votre capacité actuelle à les détecter et à y répondre. Utilisez ces scénarios lors de votre prochain exercice de simulation de crise.
Étape 3 : corrélation des journaux
Intégrez les journaux de contrôle d'accès physique dans votre SIEM aux côtés des données d'événements cyber. La plupart des systèmes de contrôle d'accès modernes peuvent exporter des données au format syslog ou CSV. Même des règles de corrélation basiques, comme le déclenchement d'une alerte lors d'un accès VPN depuis l'étranger alors que le badge de l'utilisateur l'indique dans le bâtiment, apportent une valeur significative.
Étape 4 : formation à la sensibilisation intégrée
Restructurez votre programme de sensibilisation à la sécurité pour aborder les trois domaines dans chaque session, plutôt que de traiter la sécurité physique et l'ingénierie sociale comme des sujets distincts. Les individus font face à ces menaces de manière intégrée ; la formation doit refléter cette réalité.
Étape 5 : exercices conjoints
Organisez au moins une simulation de crise par an qui inclut des éléments physiques et psychologiques aux côtés du scénario cyber. Intégrez à l'exercice une tentative d'intrusion physique, un appel d'ingénierie sociale ou une demande de presse, et pas seulement des alertes réseau.
L'avantage luxembourgeois
Le Luxembourg est idéalement positionné pour adopter la sécurité holistique. La taille réduite du pays signifie que les communautés de sécurité cyber, physique et humaine se recoupent considérablement. Des organisations comme CIRCL fournissent un excellent renseignement sur les cybermenaces. La maturité réglementaire du secteur financier sous la supervision de la CSSF signifie que des structures de gouvernance sont déjà en place. Et l'environnement multilingue et multiculturel du Luxembourg crée une sensibilité naturelle aux vecteurs d'ingénierie sociale qui exploitent les suppositions linguistiques et culturelles.
Le défi consiste à relier ces atouts en une approche unifiée. Les organisations qui y parviennent bénéficieront d'un réel avantage concurrentiel, notamment dans les secteurs des services financiers et de l'administration de fonds où la confiance et la résilience sont des facteurs de différenciation.
L'avenir est intégré
La tendance est sans équivoque. NIS2 exige « une approche tous risques » en matière de sécurité. DORA impose une « résilience opérationnelle numérique » qui englobe la gestion du risque informatique, la gestion des incidents et les tests de résilience. Les assureurs interrogent de plus en plus sur les programmes de sécurité physique et de menaces internes aux côtés des contrôles cyber.
Les organisations qui continuent de traiter la cybersécurité, la sécurité physique et la sécurité psychologique comme des disciplines distinctes se retrouveront de plus en plus vulnérables face à des attaquants qui ne partagent pas cette vision compartimentée. Le bien-fondé de la sécurité holistique n'est pas théorique. Il est opérationnel, réglementaire et financier. La seule question est de savoir si vous intégrez de manière proactive, selon vos propres conditions, ou de manière réactive, après un incident ayant exploité les failles entre vos silos.
