{"id":1211,"date":"2022-07-05T10:05:25","date_gmt":"2022-07-05T08:05:25","guid":{"rendered":"https:\/\/www.groupe-asten.fr\/blog\/audit-dintrusion-physique-tout-ce-que-vous-avez-toujours-voulu-savoir-sans-jamais-oser-le-demander\/"},"modified":"2025-11-17T12:06:59","modified_gmt":"2025-11-17T11:06:59","slug":"audit-intrusion-physique-cybersecurite","status":"publish","type":"post","link":"https:\/\/www.groupe-asten.fr\/retail\/audit-intrusion-physique-cybersecurite\/","title":{"rendered":"Audit d’intrusion physique… tout ce que vous avez toujours voulu savoir sans jamais oser le demander"},"content":{"rendered":"\n

Vous avez un doute quant au niveau de s\u00e9curit\u00e9 de votre syst\u00e8me d\u2019information ? Suite au d\u00e9part d\u2019une personne \u00e0 la DSI, vous souhaitez v\u00e9rifier que votre infrastructure informatique n\u2019est pas expos\u00e9e \u00e0 des risques et qu\u2019elle est toujours ma\u00eetris\u00e9e ?\u00a0Sans c\u00e9der \u00e0 la panique, la\u00a0<\/strong>cybers\u00e9curit\u00e9<\/strong><\/a>\u00a0ne doit jamais \u00eatre prise \u00e0 la l\u00e9g\u00e8re et doit faire partie de vos priorit\u00e9s. Et nous pouvons vous aider.<\/strong><\/p>\n\n\n\n

Les ing\u00e9nieurs syst\u00e8mes et r\u00e9seaux du Groupe Asten et nos sp\u00e9cialistes s\u00e9curit\u00e9 vous aident \u00e0 \u00e9tablir un \u00e9tat des lieux complet de votre s\u00e9curit\u00e9 et vous accompagne pour s\u00e9curiser votre architecture informatique et vous prot\u00e9ger des cybermenaces.<\/p>\n\n\n\n

L\u2019objectif de notre audit de cybers\u00e9curit\u00e9 est simple\u202f: vous aider \u00e0 dresser un \u00e9tat des lieux complet des points techniques fiables et de ceux \u00e0 optimiser afin de diminuer les risques.<\/strong><\/p>\n\n\n\n

Audit d\u2019intrusion physique : le contexte<\/strong><\/h2>\n\n\n\n

Imaginons que vous \u00eates un industriel qui dispose de plusieurs sites sensibles r\u00e9partis en France<\/strong>, avec laboratoire de recherche, unit\u00e9 de production et p\u00e9rim\u00e8tre de s\u00e9curit\u00e9 pointu. Votre DSI souhaite faire un \u00e9tat des lieux de la s\u00e9curit\u00e9 et de la protection de ces sites. Vous allez alors nous demander d\u2019auditer chacun de vos sites pour savoir o\u00f9 vous en \u00eates en termes de s\u00e9curit\u00e9 globale. Cela va vous permettre \u00e9galement d\u2019\u00e9valuer la s\u00e9curit\u00e9 des sites les uns par rapport aux autres et d\u2019\u00e9prouver votre protection.<\/p>\n\n\n\n

Pas de bricolage, un p\u00e9rim\u00e8tre bien d\u00e9fini<\/strong><\/p>\n\n\n\n

Dans le cadre de notre audit de cybers\u00e9curit\u00e9 et des tests d\u2019intrusion, nous \u00e9tablissons avec vous le p\u00e9rim\u00e8tre pr\u00e9cis ainsi que la profondeur du champ d\u2019actions,<\/strong> notamment dans le cadre des tests d\u2019intrusion : c\u2019est vous qui d\u00e9finissez jusqu\u2019o\u00f9 vous souhaitez que nous allions (acc\u00e8s au r\u00e9seau interne, exfiltration de donn\u00e9es, audit physique d\u2019acc\u00e8s au site, etc.).<\/p>\n\n\n\n

Dans tous les cas, l\u2019audit de cybers\u00e9curit\u00e9 est couvert par un dispositif de confidentialit\u00e9 \u00e9videmment tr\u00e8s strict et un contrat en bonne et d\u00fbe forme.<\/strong><\/p>\n\n\n\n

Audit d\u2019intrusion physique : la m\u00e9thodologie<\/strong><\/h2>\n\n\n\n

Revenons \u00e0 notre exemple. Vous \u00eates un industriel et vous avez programm\u00e9 avec nous les dates de chacun des audits, pour chacun de vos sites industriels en France.<\/p>\n\n\n\n

Question m\u00e9thode, la fin justifie les moyens ! <\/strong><\/h3>\n\n\n\n

Le jour J, les auditeurs vont installer leur QG non loin du site et commencer un travail croisant le physique et le digital. Se poser avec les PC, commencer \u00e0 scruter le r\u00e9seau, rep\u00e9rer les entr\u00e9es, portails, cam\u00e9ra de surveillance\u2026 La 1e journ\u00e9e va \u00eatre consacr\u00e9e au rep\u00e9rage et aux premi\u00e8res actions, les 3 autres \u00e0 l\u2019intrusion pure.<\/p>\n\n\n\n

Comme \u00e0 l\u2019arm\u00e9e, \u00ab c\u2019est le terrain qui commande<\/em> \u00bb. C\u2019est donc une fois sur place que notre \u00e9quipe de gentils hackers va \u00e9chafauder son plan pour arriver \u00e0 ses fins : soit en mode cach\u00e9, soit sous couverture, derri\u00e8re une identit\u00e9 bidon (technicien, homme de m\u00e9nage, voire en arborant une tenue \u00ab emprunt\u00e9e \u00bb sur place !).<\/p>\n\n\n\n

Le Saint Graal, la salle serveur !<\/strong><\/h3>\n\n\n\n

Le but \u00e9tant d\u2019atteindre le graal : la salle serveur<\/strong> tout en relevant les failles crois\u00e9es sur le chemin. En se mettant dans la peau d\u2019un activiste par exemple, ils vont pointer les \u00e9l\u00e9ments sensibles qui pourraient leur permettre de nuire au site :<\/p>\n\n\n\n

    \n
  • Relev\u00e9 des vannes de gaz, d\u2019eau (\u2026) accessibles<\/li>\n\n\n\n
  • Rep\u00e9rage des surfaces o\u00f9 on pourrait d\u00e9plier un drapeau<\/li>\n\n\n\n
  • Photographie des documents sensibles non prot\u00e9g\u00e9s, des paperboards mal effac\u00e9s, des dossiers qui tra\u00eenent<\/li>\n\n\n\n
  • Connexion \u00e0 des PC ouverts ou des ports Ethernet accessibles<\/li>\n\n\n\n
  • Passage de portes cens\u00e9es \u00eatre infranchissables<\/li>\n\n\n\n
  • Entr\u00e9e dans des zones interdites<\/li>\n\n\n\n
  • \u00ab\u00a0Emprunt\u00a0\u00bb de PC portables ou du petit mat\u00e9riel couteux ou susceptible de contenir des informations int\u00e9ressantes<\/li>\n\n\n\n
  • \u2026<\/li>\n<\/ul>\n\n\n\n

    Tout au long de leur progression, ils vont vous tenir au courant par sms. C\u2019est important, car c\u2019est vous qui d\u00e9samorcerez la situation en cas de probl\u00e8me avec les \u00e9quipes sur place.<\/p>\n\n\n\n

    S\u2019ils se font rep\u00e9rer, ils ne rendront pas les armes facilement\u2026 Ils vont alors tenter le tout pour le tout en misant sur l\u2019ing\u00e9nierie sociale<\/strong>.<\/p>\n\n\n\n

    Objectif : discuter avec le ou les interlocuteurs pour arriver \u00e0 leur fin\u2026 Same player play again\u2026<\/em> Ils pourront m\u00eame tenter d\u2019effectuer une arnaque au pr\u00e9sident si n\u00e9cessaire !<\/p>\n\n\n\n

    S\u2019ils atteignent la salle serveur, ils se prennent en photo dedans comme \u00ab preuve \u00bb. Et s\u2019ils sont arriv\u00e9s l\u00e0 en se faufilant, il leur faudra alors ressortir tout aussi discr\u00e8tement. Une sorte d\u2019\u00e9preuve de Fort Boyard, mais sans la cl\u00e9. Sans oublier qu\u2019ils peuvent \u00e9galement atteindre le ou les serveurs de fa\u00e7on num\u00e9rique\u2026<\/p>\n\n\n\n

    Audit d\u2019intrusion physique : le r\u00e9sultat<\/strong><\/h2>\n\n\n\n

    Comme \u00e9voqu\u00e9 plus haut, ces missions sont d\u00e9finies avec vous et encadr\u00e9es par un contrat solide et un ordre de mission<\/strong> les prot\u00e9geant. Vous (le commanditaire) \u00eates inform\u00e9 en temps r\u00e9el de leur progression.<\/p>\n\n\n\n

    Vous allez ensuite recevoir un \u00e9tat des lieux complet et document\u00e9 des vuln\u00e9rabilit\u00e9s et des pr\u00e9conisations selon leur criticit\u00e9<\/strong>, ainsi que les conseils et solutions<\/strong> d\u2019\u00e9volution et correction \u00e0 mettre en place. Et un accent sera mis sur les priorit\u00e9s <\/strong>!<\/p>\n\n\n\n

      \n
    • Un rapport d\u2019audit<\/li>\n\n\n\n
    • Faire un \u00e9tat des lieux de la s\u00e9curit\u00e9 du site en relevant les points forts et les points faibles.<\/li>\n\n\n\n
    • Lister tous les points de vuln\u00e9rabilit\u00e9<\/li>\n\n\n\n
    • Apporter des \u00e9l\u00e9ments de conseils et de rem\u00e9diation<\/li>\n\n\n\n
    • Une r\u00e9union de restitution, particuli\u00e8rement cruciale lorsque les \u00e9quipes ont \u00e9t\u00e9 prises en d\u00e9faut\u2026<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

      Groupe Asten d\u00e9ploie des audits de cybers\u00e9curit\u00e9 et vous aide \u00e0 dresser un \u00e9tat des lieux complet des points techniques fiables et de ceux \u00e0 optimiser afin de diminuer les risques.<\/p>\n","protected":false},"author":3,"featured_media":1212,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_seopress_robots_primary_cat":"none","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[4],"tags":[],"class_list":["post-1211","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actus-cloud"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/posts\/1211","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/comments?post=1211"}],"version-history":[{"count":0,"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/posts\/1211\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/media\/1212"}],"wp:attachment":[{"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/media?parent=1211"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/categories?post=1211"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.groupe-asten.fr\/retail\/wp-json\/wp\/v2\/tags?post=1211"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}