Episode 44 : Les contrôles à mettre en place autour de ton lecteur badge | Compliance Without coma

Description

Êtes-vous vraiment conscient des risques que représentent les badges d'accès au sein de votre entreprise ? Dans cet épisode de Compliance Without Coma, Fabrice De Paepe nous plonge dans un sujet crucial : la sécurité physique. En tant que professionnels, que vous soyez CISO, RSSI ou Office Manager, il est essentiel de comprendre comment une simple carte d'accès peut devenir une porte ouverte aux vulnérabilités. Fabrice aborde les enjeux majeurs liés aux badges d'accès, en mettant en lumière des problèmes tels que les erreurs humaines, les badges perdus ou oubliés, et les menaces techniques comme le clonage RFID.

La norme ISO 27001 peut sembler complexe pour certains, mais Fabrice la rend accessible à tous. Il explique avec clarté comment des processus efficaces de gestion des badges sont indispensables, notamment lors des départs d'employés. Avez-vous déjà réfléchi à ce qui se passe lorsque quelqu'un quitte l'entreprise ? Qui s'assure que son badge est désactivé ? Ces questions sont au cœur de la discussion et révèlent l'importance d'une approche proactive face aux risques de sécurité.

À travers des exemples pratiques et concrets, Fabrice démontre que la conformité ne doit pas être perçue comme une simple obligation, mais bien comme un outil essentiel pour protéger les accès aux zones sensibles. Imaginez un instant les conséquences d'une négligence dans la gestion des accès : des données sensibles exposées, des incidents de sécurité évitables, et une confiance ternie envers votre entreprise. La sécurité physique ne doit pas être une réflexion après coup, mais une priorité intégrée dans la culture de votre organisation.

Dans cet épisode captivant de Compliance Without Coma, découvrez des contrôles spécifiques à mettre en œuvre pour garantir la sécurité des accès et apprenez comment anticiper les menaces potentielles. Fabrice partage des conseils pratiques et des stratégies pour renforcer la sécurité physique de votre entreprise, tout en respectant les normes de conformité. Ne laissez pas la sécurité de votre entreprise au hasard. Écoutez cet épisode et transformez votre approche de la gestion des accès !

Rejoignez-nous pour une discussion et essentielle sur la sécurité physique et la conformité. N'attendez plus pour protéger votre entreprise !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Si tu as un lecteur de badges d'accès dans ton entreprise, cet épisode est pour toi. Que tu sois CISO, RSSI, Office Manager, si ton management veut en placer un, également. Ou bien tout simplement quelqu'un qui ne connaît pas ISO 27001. Je vais t'expliquer les secrets des contrôles qui peuvent se cacher derrière ton petit badge blanc. Je laisse tomber tout ceux avec une photo, ça me coupe déjà toute une série de vulnérabilités ainsi. Je vais te donner deux cas. Un simple, pour un client lambda. Un compliqué. PKI dans un data center. Je vais te lister les vulnérabilités et comment les contrer et voir comment contrer des auditeurs ou plutôt être conforme. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance de cyber et d'ISO 27001. Mais sans brute force de badge... Ou presque. Je suis Fabrice De Paepe, et aujourd'hui je t'explique ce qui se cache comme contrôle derrière ton badge. Félicitations ! Ton équipe IT vient de choisir LA solution de lecteur de badge pour protéger tes entrées. Pas les sorties, non. Car tu dois toujours être en mesure de laisser sortir quelqu'un, car ça c'est du safety. Bravo, c'était facile. Mais l'épisode est terminé, ton contrôle est implémenté, et je lance le jingle de fin. Ben non. A moins que je ne vois des choses que toi tu ne vois pas. Si t'es curieux, suis-moi, on va voyager avec ton petit badge blanc, parfois en absurdie, parfois pas, et surtout sans coma. Donc je te remets d'emblée l'église au milieu du village, ou plutôt le badge, et on plonge dans le contrôle physique A.7.2 de l'ISO 27001:2022. Qu'est-ce qu'il nous dit ? Les zones sécurisées doivent être protégées par des contrôles d'entrée et des points d'accès appropriés. C'est exactement là que rentre mon badge. Avec tous les autres contrôles, comme les cartes d'accès, la biométrie, les tourniquets, les contrôles d'accès physique, je vais uniquement me concentrer sur les badges. Je ne sais plus si je t'avais déjà dit dans un autre épisode, mais chaque contrôle a ses propres vulnérabilités et menaces. Donc, quand tu choisis ton badge, il y a tout un écosystème autour. Basique, comme dirait Orelsan. Ben non, plus compliqué que ce que tu ne crois. On va le voir ensemble. D'ailleurs, le cours CISSP... est bien pour ça. Pour prendre finalement tous les contrôles individuellement, en gros sur 1200 pages, et les mettre en perspective sur 1 km de large mais 1 cm d'épaisseur. Et ça, ça ne fait que croître comme l'univers. C'est en expansion. Donc, quelles sont toutes les vulnérabilités ou presque liées à ton badge d'accès ? Il y a d'abord les vulnérabilités humaines. C'est les plus fréquentes en fait. Le prêt du badge. Tu prêtes ton badge consciemment Et pas à l'insu de ton plein gré, comme ce célèbre cycliste contrôlé positif à l'EPO. Mais dis-moi, tu prêtes tes mots de passe aussi ? C'est pour un ami RSSI, on aimerait savoir. Sinon, tu as le cas de figure où tu as ton collègue qui a oublié son badge et doit absolument aller aux toilettes. Ou alors c'est le premier jour de ton collègue et il n'a pas encore reçu le sien. Alors, il y a deux écoles. Tu l'accompagnes jusqu'aux toilettes comme dans un examen ISC2 Square ou bien tu lui donnes ton badge. Ensuite, on a le badge oublié. Mea culpa. Mea maxima culpa. Ils remettent le latin comme obligatoire dans l'enseignement général en Belgique, et je m'y prépare. Ben, ça m'est arrivé quelques fois d'oublier mon badge. Changement de veste, ou tout simplement, oubli de portefeuille. Même changement de voiture. Car le badge, à un moment, était dans ma voiture pour éviter que je l'oublie. Tu vas me dire, « Laissez un badge de société dans une voiture, c'est pas très sécure. » Mais je t'ai dit que je parlais que des badges blancs, ici. Donc je ne te fais pas l'apologie du badge de couleur avec le nom de mon client, ni de la boîte. Et puis le client auquel je pense a du MFA derrière. On y reviendra plus tard. Donc ce cas-là, tu vas l'avoir plein de fois. Des gens qui oublient leur badge. Et le jour où ma voiture en plus est partie à l'entretien, j'ai oublié de reprendre le badge. Je suis donc arrivé chez mon client sans badge, avec une voiture de remplacement. LOL. Mais du coup, est-ce que tu as un process pour ça ? Ou bien un collègue me passera son badge ? ou me suivra aux toilettes à chaque fois ? Et dans ton process, est-ce que tu notes à qui tu as donné un nouveau badge ? Et le numéro du badge ? Et est-ce que tu lui fais signer pour réception ? Et où mets-tu cette info ? Sur papier ou de manière digitale ? Est-ce que celui qui a oublié son badge voit les signatures des autres ? Et de qui a déjà oublié son badge ou de qui l'oublie souvent ? En fin de compte, où mets-tu ce registre car il y a des données personnelles dessus ? Bah si ! Nom, prénom, numéro de badge et signature, peut-être. À toi de voir pour la signature. Mais cela te permet d'identifier clairement une personne, non ? Bam ! Je viens de t'ajouter le contrôle PI2 pour du GDPR. Merci le badge. À un moment donné, j'avais même trois badges blancs dans mon portefeuille. Et j'avais noté les numéros ailleurs pour savoir lequel appartenait à qui. Pas dessus, évidemment. Ça, c'est uniquement si tu laisses des post-its sur ton écran avec ton mot de passe. Alors là, vas-y, fais-toi plaise. Mais je pourrais laisser mon badge dans ma veste ? Et la veste est dans mon bureau, sur un open space. C'est pas un incident, je te l'accorde. On trust. les collègues. Mais gère ton risque. D'ailleurs, perso, je l'ai toujours sur moi le badge. Tout comme mon portefeuille. Il n'est pas dans ma veste. Je truste mes collègues, mais je ne sais pas qui d'autre est rentré dans le bâtiment quand moi je suis dans une autre salle de réunion. Donc tu peux avoir bien évidemment une perception du risque qui t'est différente. On a aussi le badge perdu. Et façon bigard, tu l'as perdu où ? Bah je sais pas, je l'ai perdu quoi. Mais tu l'as perdu genre... chez toi ou tu ne le retrouves pas ? Ou tu l'as perdu sur le parking derrière l'entrée ? Dois-je déclarer un incident de sécurité ? Pour l'awareness, c'est bien aussi, on mesure. Et pour gérer les risques aussi, c'est intéressant. Ou bien alors, je dois le faire bloquer ? Bon, s'il est chez toi, on peut dire qu'il est oublié. Mais pour combien de jours ? Et surtout, est-ce que tu as dans ton process de badge, le fait de déclarer un badge perdu tout de suite à la Sécu ? On a également le badge utilisé par un ex-collaborateur. Bon, là, il y a déjà un épisode sur le JML pour Joiner, Mover, Leaver. C'est l'épisode 17, la checklist qui relie enfin les RH avec la cybersécurité. Donc, je ne vais pas trop rentrer dans le détail ici. Mais par contre, perso, je mets la remise et le blocage du badge dedans, dans le JML, donc au moment du départ du collaborateur. Ou alors, on désactive le badge en attendant de le réattribuer à quelqu'un d'autre. Mais n'oublie pas la traçabilité, du coup. Mais pour faire court, as-tu revu les droits d'accès au moment du départ ? parfois ils ne remettent pas le batch le dernier jour. Ça dépend de plein de contextes. Et est-ce que tu le bloques au dernier jour, ou tu attends qu'ils le rendent ? Ensuite, on a toutes les vulnérabilités techniques. On a les batchs clonables, c'est-à-dire RFID basique, Oralsan, si tu nous entends, le MIFARE, classique cassé, tu sais, les espèces de badges ronds pour activer une borne de charge électrique, ou bien les badges blancs qui te permettent de sécuriser ton bureau IKEA. On a les NFC non sécurisés, donc NFC, c'est pour Near Field Communication. Je ne rentre pas dans le détail de toutes les caractéristiques ici. À toi d'aller voir au moment de l'achat, en fait. D'ailleurs, je t'invite à tester la résistance de ton badge rapidement en fonction de tes risques, avec un flipper 0, par exemple. Ou bien de vérifier les caractéristiques auprès de ton fournisseur de badge. Il y a également comme vulnérabilité l'absence de chiffrement. On a des badges qui peuvent tout transmettre en clair et sans chiffrement. On a également des lecteurs obsolètes. Oui, ils ont tous de la maintenance. Supplier, donc. Et bam, un contrôle de plus. Et des firmware, mises à jour ou des trucs du genre. On a également parfois des systèmes sans journalisation. Et là, comment vas-tu savoir que ton contrôle est efficace ? C'est-à-dire qu'il empêche bien les personnes non autorisées de rentrer. T'as pas ça ? Tu te prends un écart de l'auditeur. Est-ce que ton système a un anti-passback ou pas ? C'est-à-dire passer deux fois sans sortie. L'anti-passback, c'est une fonctionnalité qui empêche une personne d'utiliser un badge d'accès pour rentrer dans une zone, puis de sortir de la zone sans être authentifié à nouveau. Cette fonctionnalité est utile pour protéger les zones sensibles contre les intrusions. Il y a d'ailleurs un film français qui s'appelle « Par où t'es rentré, on t'a pas vu sortir » . C'est ça l'anti-pass-back. Ça veut dire surtout que si tu veux à nouveau rentrer, tu dois avoir badgé pour sortir. C'est bien car ça évite que quelqu'un ne tienne la porte ou qu'on rentre à quatre. Bon, c'est le contraire du cas de safety dont je t'ai parlé tout à l'heure. Et je te laisse voir avec ton syndicat. ton conseil d'entreprise, le bien-être au travail et un autre régulateur pour ton choix. Ensuite, on a les vulnérabilités de processus. La gouvernance. Pas de procédure JML, les badges non désactivés lors d'un départ, pas de revue périodique des accès, pas de badge visiteur temporaire, mais donne-lui ton badge pour aller aux toilettes, un accès trop large, zone inutile, et j'en passe. Donc là, des vulnérabilités d'attaque physique ou sociale. Suivre quelqu'un qui badge, un faux technicien, un faux livreur. Le vol ciblé de badge, c'est-à-dire celui des VIP en général, normalement, ils ne devraient pas avoir plus d'accès que nécessaire. Mais c'est souvent le cas. Ils ont des accès dont ils ne sont pas au courant. On a le social engineering. Oups, j'ai oublié mon badge. Les vulnérabilités de surveillance. Et là, il te faut d'office un autre contrôle, celui de révision des logs. Du coup, tu pourras avoir des alertes inexistantes. Est-ce que le système réagit à des badges non autorisés ou qui ne donnent pas d'accès ? Si je tente un accès avec un badge IKEA, Tu le détectes ? Pour ça, il faut revoir les logs, car en fonction, tu pourras adapter ton risque et ta solution, et ta sensibilisation. Est-ce qu'il y a des accès à des horaires non autorisés ou pas ? À toi de voir. Qui peut accéder quand, quoi, où, comment ? Le nettoyage, par exemple. Ils peuvent rentrer quand ? Les zones sensibles non surveillées. Ou bien, elles le sont, et tu mets en place des choses pour être certain que les contrôles de badges opèrent comme ils devraient. Et ce que l'auditeur aime bien regarder, par exemple, des badges non désactivés après le départ, un clonage RFID, pour voir si tu connais ton risque ou pas. Il peut cloner ton badge et tester si ça passe. Donc tout va dépendre du fait que tu vas lui donner un accès guest, sans badge, et il devra être accompagné, ou alors tu lui donnes un badge, parce qu'il devra quand même aller aux toilettes. Attention à ce que tu fais. Donc on a également du tailgating, donc il pourrait tester la résistance de ta procédure, voir à combien vous passez, pour voir si effectivement, vous passez à plusieurs, et que c'est autorisé dans ta policie ou pas. Il va vérifier l'absence de revue d'accès, ou la revue d'accès. Il va vérifier si les gens sont enclins à prêter leur badge. Ou il va te demander ton badge pour voir si tu dis simplement ce que tu fais, ou si tu fais également ce que tu dis. Donc là, rien que pour ça, jusqu'ici, on a revu pas mal de contrôles déjà. J'en ai au moins 5 en tête. Le A7.2 pour Physical Entry, le A5.15 pour Access Control, le A5.18 pour Access Right, le A6.3 pour Awareness, le A5.20 pour Supplier, et le GDPR, t'as oublié ? Et, petite question subsidiaire, après, est-ce que c'est ta badgeuse ou bien celle de ton landlord ? Si c'est ta badgeuse, est-ce que cela fonctionne encore quand le courant est coupé ? Est-ce que tu as un fournisseur ? Comment tu gères tout ça ? Et si tu as un landlord qui s'en charge, est-ce qu'ils font la revue des accès ? Et comment c'est rentré dans leur système ? Il y a du RGPD dedans, attention. Donc, combien de temps peuvent-ils les garder en ligne ? Avec ta loi ou ta politique ? Comment sais-tu s'ils ont effacé les traces, tu sais, le GDPR ? Et s'ils sous-traitent la gestion des batchs ? Alors là, c'est encore autre chose. Et bam, je t'ajoute le GDPR dans ta révision de fournisseur également. Donc en gros, je viens de te résumer de manière simple comment je démontre à l'auditeur que mon système de batch fonctionne. Tu vois, c'est simple. Et je ne peux pas tout raconter ici, car cela dépend de plein de choses, en fonction de mon analyse de risque derrière. Si j'ai des caméras... des clés, une alarme, que tout cela est mis en fonction du rôle de la personne qui a le badge. Je ne pousse pas plus loin, les contrôles. Car on a du MFA. Oui, le MFA n'est pas que digital. J'ai un badge, c'est quelque chose que tu possèdes. J'ai une clé, c'est quelque chose que tu possèdes. Et j'ai un code d'alarme, c'est quelque chose que tu connais. C'est du MFA. Bon, sauf pour les deux premiers, car c'est le même facteur d'authentification. Quelque chose que tu possèdes. Mais on aurait pu ajouter aussi quelque chose que tu es, avec de la biométrie. Mais ça, ça allonge les contrôles sur ce contrôle derrière. Donc peut-être qu'une fois, je ferai un épisode sur le contrôle biométrique et je t'expliquerai comment je suis arrivé au bureau du CISO sans mon empreinte de pouce. Tu es toujours là ? Bon, on part maintenant vers le cas le plus compliqué. Et c'est empirique. J'ajoute des contrôles. Car maintenant que tu sais tout cela, tu vas devoir gérer le badge qui protège une PKI, Public Key Infrastructure, dans un datacenter. Le plus important est donc de protéger les clés privées de nos clients. C'est ta mission. Donc, le cas le plus compliqué, la PKI dans le DC. Et là, c'est une zone sécurisée différente. On est d'accord ? Donc, je présume que tout le monde n'a pas accès parmi les personnes qui ont un badge. Tu me suis ? Ok. Donc, est-ce que tu es capable de voir si ton badge fonctionne correctement ? Est-ce que tu sais voir si le service de nettoyage a accès ? Peut-être que oui, peut-être que pas. J'en sais rien, je ne connais pas tes politiques. Mais faisons-le autrement, pour que tu comprennes. Est-ce qu'un étudiant peut avoir accès ? Donc, est-ce que tu vas regarder toutes les entrées positives, et c'est un KPI, qui ne veut rien dire en l'état, hormis que ton système de badge fonctionne et est up and running, ça ne me représente pas un risque, ou bien tu regardes comme moi, parce que tu es fainéant, uniquement les tentatives d'intrusion. La plupart du temps, des employés nouveaux, qui ne savent pas, qui ne peuvent pas badger. et de ce que cela déclenche derrière, incident ou pas. Mais en fait, tu dois être capable de démontrer à l'auditeur que tu sais qui rentre et s'il y a des tentatives d'intrusion. Donc moi, je regarde ces erreurs-là et je crée un incident. Et si je te le dis, si je te dis par exemple qu'on n'a pas eu d'incident pendant trois mois, est-ce que c'est parce que ton système de badge fonctionne ou bien réellement on n'a pas eu d'incident ? Et là, tu me dis, ben non, en fait, j'ai pas été voir dans les logs. Ah ! Ça change tout. Donc on a peut-être eu des incidents, mais tu ne les mesures pas. Ou ton système a été à l'arrêt pendant trois jours, et les portes ouvertes, comment tu sais ? Et puis... J'ai déjà eu la réflexion d'un client qui m'a dit « on n'a pas eu d'incident, car on n'a pas reçu de mail de notification » . Est-ce que tu vois le problème ? Qu'est-ce qui te prouve que ton mail fonctionne ? Si le mail est à l'arrêt, tu n'es pas au courant qu'il y a eu une intrusion. Donc pour ce client-là, j'ai été voir dans les logs et on a trouvé des choses. Mais pour l'incident, il n'y en avait pas, puisque pas d'envoi d'email. Tu vois un souci ? Tu vas me dire que je pousse. Hé. Je te rappelle qu'on est dans le cadre d'une PKI, ici. Donc, ce que je t'invite à faire, c'est de, par exemple, tester que le système fonctionne tous les jours avec un badge de test, et que ce test soit logué, non pas comme incident, mais comme KCI, un Key Control Indicator. Ça permet de tester l'efficacité du contrôle. Tu reçois le mail, OK, c'est secure. Et ça, je pense que selon le risque, une fois par jour, ça devrait suffire, je dirais. Et à ce moment-là, tu sais que ton contrôle opère. Donc on parle d'effectiveness, efficacité. Et quand Marc part en vacances, il faut que Jacques le fasse à sa place, sinon il n'y a pas de test. Et ça c'est du job rotation, bam, un autre contrôle. Ça te permet de répondre à la question comment t'assures-tu que ton système de prévention d'intrusion fonctionne ? Et aussi, as-tu prévu un no-break ? Est-ce qu'il fonctionne encore en cas de coupure de courant ou pas, ton lecteur de badge ? Et qui a accès au log ? L'IT ? En read-write ? Ou bien l'IT en read-only ? et l'office manager en read-write. Et bam, un autre contrôle, le SOD, segregation of duties. Et est-ce que toutes les entrées sont tracées ? Ou bien tu as aussi des badges anonymes ? Note que je comprends la nécessité, parfois, d'avoir des badges anonymes. Pour les techniciens externes, par exemple, on évite le coma. Mais du coup, tu as inscrit le numéro de badge du technicien et son heure d'arrivée est de sortie quelque part dans un registre ? Ou bien je vois juste badge anonyme dans les logs et je te mets un écart parce que pour moi, on ne sait pas qui est rentré. Peu importe, mais tu vois l'idée. Last but not least, as-tu testé le badge de ton CEO ? A-t-il accès au DC ? Ça te choque ? Est-ce que ça te choque ce que je dis ou pas ? Parce que s'il a accès au DC, sans même le savoir, et que je copie son badge, personne n'est au courant de la copie, et je rentre. Enfin, c'est lui qui rentre, tu m'as compris. Et un badge seul, je te rappelle que c'est authentication faible. Bon, je viens... Au moins d'en citer 10 des contrôles, ou 10 points d'attention, en fonction que cela soit simple ou plus compliqué. Alors, t'as toujours envie de mettre un lecteur de badge pour le contrôle d'accès ? Voilà, tu vois, c'était facile. Si tu as apprécié, partage-le avec quelqu'un qui te dit souvent « Oh, mais il n'y a qu'à mettre le badge à l'entrée et on n'en parle plus, on sera conforme » . Nous sommes les comma breakers. Nous refusons la conformité qui endort. Nous refusons la sécurité en illusion. Nous refusons les cases cochées qui assurent mais ne protègent pas. Nous savons une chose, conforme ne veut pas dire sécurité. Nous croyons que la conscience bat les procédures, que la compréhension bat les politiques, que l'action bat les excuses. Nous ne cherchons pas le minimum requis, nous visons le réel impact. Nous ne dormons pas sur nos risques, nous les regardons en face. Parce qu'en fait, une checklist ne stoppe pas une attaque. Un audit ne bloque pas un cœur, et un esprit éveillé change tout. Nous apprenons, nous anticipons, nous agissons, toujours. Nous sommes. les comma breakers. Et si tu es ici, c'est que tu refuses de dormir. Je te dis déjà à vendredi prochain pour un autre épisode de Compliance Without Coma. Si je me suis pas fait incendier d'ici là par un ayatollah des différentes classes de badges RFID et de leurs fréquences, mais en général il y a moins de commentaires sur les podcasts que sur les trolls sur les réseaux sociaux. A vendredi.

Chapters

Introduction aux badges d'accès et ISO 27001
0sec
Vulnérabilités humaines liées aux badges d'accès
1min
Vulnérabilités techniques des systèmes de badge
2min
Vulnérabilités de processus et gouvernance de la sécurité
7min
Cas complexe : gestion des badges dans un datacenter
12min
Conclusion et réflexions sur la sécurité proactive
17min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

Je m’appelle Fabrice De Paepe et je te partage des insights concrets, des conseils d’expert, des retours terrain (et quelques piques bien placées), pour mieux comprendre ce que cache l’ISO 27001, DORA, NIS2, ou encore le RGPD ainsi que tout ce qui a trait à la sensibilisation, sécurité de l'information, actualité cyber.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Description

Rejoignez-nous pour une discussion et essentielle sur la sécurité physique et la conformité. N'attendez plus pour protéger votre entreprise !

🎙️ Compliance Without Coma — Le podcast qui rend la sécurité de l’information, les normes et la gouvernance (presque) fun.

💼 Animé par Fabrice De Paepe, expert en cybersécurité, consultant ISO 27001 et fondateur de Nitroxis.

📲 Pour aller plus loin : abonne-toi, partage, et retrouve-moi sur LinkedIn, Instagram, TikTok, Youtube, Facebook, etc.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Transcription

Speaker #0
Si tu as un lecteur de badges d'accès dans ton entreprise, cet épisode est pour toi. Que tu sois CISO, RSSI, Office Manager, si ton management veut en placer un, également. Ou bien tout simplement quelqu'un qui ne connaît pas ISO 27001. Je vais t'expliquer les secrets des contrôles qui peuvent se cacher derrière ton petit badge blanc. Je laisse tomber tout ceux avec une photo, ça me coupe déjà toute une série de vulnérabilités ainsi. Je vais te donner deux cas. Un simple, pour un client lambda. Un compliqué. PKI dans un data center. Je vais te lister les vulnérabilités et comment les contrer et voir comment contrer des auditeurs ou plutôt être conforme. Bienvenue dans Compliance Without Coma, le podcast qui parle de gouvernance de cyber et d'ISO 27001. Mais sans brute force de badge... Ou presque. Je suis Fabrice De Paepe, et aujourd'hui je t'explique ce qui se cache comme contrôle derrière ton badge. Félicitations ! Ton équipe IT vient de choisir LA solution de lecteur de badge pour protéger tes entrées. Pas les sorties, non. Car tu dois toujours être en mesure de laisser sortir quelqu'un, car ça c'est du safety. Bravo, c'était facile. Mais l'épisode est terminé, ton contrôle est implémenté, et je lance le jingle de fin. Ben non. A moins que je ne vois des choses que toi tu ne vois pas. Si t'es curieux, suis-moi, on va voyager avec ton petit badge blanc, parfois en absurdie, parfois pas, et surtout sans coma. Donc je te remets d'emblée l'église au milieu du village, ou plutôt le badge, et on plonge dans le contrôle physique A.7.2 de l'ISO 27001:2022. Qu'est-ce qu'il nous dit ? Les zones sécurisées doivent être protégées par des contrôles d'entrée et des points d'accès appropriés. C'est exactement là que rentre mon badge. Avec tous les autres contrôles, comme les cartes d'accès, la biométrie, les tourniquets, les contrôles d'accès physique, je vais uniquement me concentrer sur les badges. Je ne sais plus si je t'avais déjà dit dans un autre épisode, mais chaque contrôle a ses propres vulnérabilités et menaces. Donc, quand tu choisis ton badge, il y a tout un écosystème autour. Basique, comme dirait Orelsan. Ben non, plus compliqué que ce que tu ne crois. On va le voir ensemble. D'ailleurs, le cours CISSP... est bien pour ça. Pour prendre finalement tous les contrôles individuellement, en gros sur 1200 pages, et les mettre en perspective sur 1 km de large mais 1 cm d'épaisseur. Et ça, ça ne fait que croître comme l'univers. C'est en expansion. Donc, quelles sont toutes les vulnérabilités ou presque liées à ton badge d'accès ? Il y a d'abord les vulnérabilités humaines. C'est les plus fréquentes en fait. Le prêt du badge. Tu prêtes ton badge consciemment Et pas à l'insu de ton plein gré, comme ce célèbre cycliste contrôlé positif à l'EPO. Mais dis-moi, tu prêtes tes mots de passe aussi ? C'est pour un ami RSSI, on aimerait savoir. Sinon, tu as le cas de figure où tu as ton collègue qui a oublié son badge et doit absolument aller aux toilettes. Ou alors c'est le premier jour de ton collègue et il n'a pas encore reçu le sien. Alors, il y a deux écoles. Tu l'accompagnes jusqu'aux toilettes comme dans un examen ISC2 Square ou bien tu lui donnes ton badge. Ensuite, on a le badge oublié. Mea culpa. Mea maxima culpa. Ils remettent le latin comme obligatoire dans l'enseignement général en Belgique, et je m'y prépare. Ben, ça m'est arrivé quelques fois d'oublier mon badge. Changement de veste, ou tout simplement, oubli de portefeuille. Même changement de voiture. Car le badge, à un moment, était dans ma voiture pour éviter que je l'oublie. Tu vas me dire, « Laissez un badge de société dans une voiture, c'est pas très sécure. » Mais je t'ai dit que je parlais que des badges blancs, ici. Donc je ne te fais pas l'apologie du badge de couleur avec le nom de mon client, ni de la boîte. Et puis le client auquel je pense a du MFA derrière. On y reviendra plus tard. Donc ce cas-là, tu vas l'avoir plein de fois. Des gens qui oublient leur badge. Et le jour où ma voiture en plus est partie à l'entretien, j'ai oublié de reprendre le badge. Je suis donc arrivé chez mon client sans badge, avec une voiture de remplacement. LOL. Mais du coup, est-ce que tu as un process pour ça ? Ou bien un collègue me passera son badge ? ou me suivra aux toilettes à chaque fois ? Et dans ton process, est-ce que tu notes à qui tu as donné un nouveau badge ? Et le numéro du badge ? Et est-ce que tu lui fais signer pour réception ? Et où mets-tu cette info ? Sur papier ou de manière digitale ? Est-ce que celui qui a oublié son badge voit les signatures des autres ? Et de qui a déjà oublié son badge ou de qui l'oublie souvent ? En fin de compte, où mets-tu ce registre car il y a des données personnelles dessus ? Bah si ! Nom, prénom, numéro de badge et signature, peut-être. À toi de voir pour la signature. Mais cela te permet d'identifier clairement une personne, non ? Bam ! Je viens de t'ajouter le contrôle PI2 pour du GDPR. Merci le badge. À un moment donné, j'avais même trois badges blancs dans mon portefeuille. Et j'avais noté les numéros ailleurs pour savoir lequel appartenait à qui. Pas dessus, évidemment. Ça, c'est uniquement si tu laisses des post-its sur ton écran avec ton mot de passe. Alors là, vas-y, fais-toi plaise. Mais je pourrais laisser mon badge dans ma veste ? Et la veste est dans mon bureau, sur un open space. C'est pas un incident, je te l'accorde. On trust. les collègues. Mais gère ton risque. D'ailleurs, perso, je l'ai toujours sur moi le badge. Tout comme mon portefeuille. Il n'est pas dans ma veste. Je truste mes collègues, mais je ne sais pas qui d'autre est rentré dans le bâtiment quand moi je suis dans une autre salle de réunion. Donc tu peux avoir bien évidemment une perception du risque qui t'est différente. On a aussi le badge perdu. Et façon bigard, tu l'as perdu où ? Bah je sais pas, je l'ai perdu quoi. Mais tu l'as perdu genre... chez toi ou tu ne le retrouves pas ? Ou tu l'as perdu sur le parking derrière l'entrée ? Dois-je déclarer un incident de sécurité ? Pour l'awareness, c'est bien aussi, on mesure. Et pour gérer les risques aussi, c'est intéressant. Ou bien alors, je dois le faire bloquer ? Bon, s'il est chez toi, on peut dire qu'il est oublié. Mais pour combien de jours ? Et surtout, est-ce que tu as dans ton process de badge, le fait de déclarer un badge perdu tout de suite à la Sécu ? On a également le badge utilisé par un ex-collaborateur. Bon, là, il y a déjà un épisode sur le JML pour Joiner, Mover, Leaver. C'est l'épisode 17, la checklist qui relie enfin les RH avec la cybersécurité. Donc, je ne vais pas trop rentrer dans le détail ici. Mais par contre, perso, je mets la remise et le blocage du badge dedans, dans le JML, donc au moment du départ du collaborateur. Ou alors, on désactive le badge en attendant de le réattribuer à quelqu'un d'autre. Mais n'oublie pas la traçabilité, du coup. Mais pour faire court, as-tu revu les droits d'accès au moment du départ ? parfois ils ne remettent pas le batch le dernier jour. Ça dépend de plein de contextes. Et est-ce que tu le bloques au dernier jour, ou tu attends qu'ils le rendent ? Ensuite, on a toutes les vulnérabilités techniques. On a les batchs clonables, c'est-à-dire RFID basique, Oralsan, si tu nous entends, le MIFARE, classique cassé, tu sais, les espèces de badges ronds pour activer une borne de charge électrique, ou bien les badges blancs qui te permettent de sécuriser ton bureau IKEA. On a les NFC non sécurisés, donc NFC, c'est pour Near Field Communication. Je ne rentre pas dans le détail de toutes les caractéristiques ici. À toi d'aller voir au moment de l'achat, en fait. D'ailleurs, je t'invite à tester la résistance de ton badge rapidement en fonction de tes risques, avec un flipper 0, par exemple. Ou bien de vérifier les caractéristiques auprès de ton fournisseur de badge. Il y a également comme vulnérabilité l'absence de chiffrement. On a des badges qui peuvent tout transmettre en clair et sans chiffrement. On a également des lecteurs obsolètes. Oui, ils ont tous de la maintenance. Supplier, donc. Et bam, un contrôle de plus. Et des firmware, mises à jour ou des trucs du genre. On a également parfois des systèmes sans journalisation. Et là, comment vas-tu savoir que ton contrôle est efficace ? C'est-à-dire qu'il empêche bien les personnes non autorisées de rentrer. T'as pas ça ? Tu te prends un écart de l'auditeur. Est-ce que ton système a un anti-passback ou pas ? C'est-à-dire passer deux fois sans sortie. L'anti-passback, c'est une fonctionnalité qui empêche une personne d'utiliser un badge d'accès pour rentrer dans une zone, puis de sortir de la zone sans être authentifié à nouveau. Cette fonctionnalité est utile pour protéger les zones sensibles contre les intrusions. Il y a d'ailleurs un film français qui s'appelle « Par où t'es rentré, on t'a pas vu sortir » . C'est ça l'anti-pass-back. Ça veut dire surtout que si tu veux à nouveau rentrer, tu dois avoir badgé pour sortir. C'est bien car ça évite que quelqu'un ne tienne la porte ou qu'on rentre à quatre. Bon, c'est le contraire du cas de safety dont je t'ai parlé tout à l'heure. Et je te laisse voir avec ton syndicat. ton conseil d'entreprise, le bien-être au travail et un autre régulateur pour ton choix. Ensuite, on a les vulnérabilités de processus. La gouvernance. Pas de procédure JML, les badges non désactivés lors d'un départ, pas de revue périodique des accès, pas de badge visiteur temporaire, mais donne-lui ton badge pour aller aux toilettes, un accès trop large, zone inutile, et j'en passe. Donc là, des vulnérabilités d'attaque physique ou sociale. Suivre quelqu'un qui badge, un faux technicien, un faux livreur. Le vol ciblé de badge, c'est-à-dire celui des VIP en général, normalement, ils ne devraient pas avoir plus d'accès que nécessaire. Mais c'est souvent le cas. Ils ont des accès dont ils ne sont pas au courant. On a le social engineering. Oups, j'ai oublié mon badge. Les vulnérabilités de surveillance. Et là, il te faut d'office un autre contrôle, celui de révision des logs. Du coup, tu pourras avoir des alertes inexistantes. Est-ce que le système réagit à des badges non autorisés ou qui ne donnent pas d'accès ? Si je tente un accès avec un badge IKEA, Tu le détectes ? Pour ça, il faut revoir les logs, car en fonction, tu pourras adapter ton risque et ta solution, et ta sensibilisation. Est-ce qu'il y a des accès à des horaires non autorisés ou pas ? À toi de voir. Qui peut accéder quand, quoi, où, comment ? Le nettoyage, par exemple. Ils peuvent rentrer quand ? Les zones sensibles non surveillées. Ou bien, elles le sont, et tu mets en place des choses pour être certain que les contrôles de badges opèrent comme ils devraient. Et ce que l'auditeur aime bien regarder, par exemple, des badges non désactivés après le départ, un clonage RFID, pour voir si tu connais ton risque ou pas. Il peut cloner ton badge et tester si ça passe. Donc tout va dépendre du fait que tu vas lui donner un accès guest, sans badge, et il devra être accompagné, ou alors tu lui donnes un badge, parce qu'il devra quand même aller aux toilettes. Attention à ce que tu fais. Donc on a également du tailgating, donc il pourrait tester la résistance de ta procédure, voir à combien vous passez, pour voir si effectivement, vous passez à plusieurs, et que c'est autorisé dans ta policie ou pas. Il va vérifier l'absence de revue d'accès, ou la revue d'accès. Il va vérifier si les gens sont enclins à prêter leur badge. Ou il va te demander ton badge pour voir si tu dis simplement ce que tu fais, ou si tu fais également ce que tu dis. Donc là, rien que pour ça, jusqu'ici, on a revu pas mal de contrôles déjà. J'en ai au moins 5 en tête. Le A7.2 pour Physical Entry, le A5.15 pour Access Control, le A5.18 pour Access Right, le A6.3 pour Awareness, le A5.20 pour Supplier, et le GDPR, t'as oublié ? Et, petite question subsidiaire, après, est-ce que c'est ta badgeuse ou bien celle de ton landlord ? Si c'est ta badgeuse, est-ce que cela fonctionne encore quand le courant est coupé ? Est-ce que tu as un fournisseur ? Comment tu gères tout ça ? Et si tu as un landlord qui s'en charge, est-ce qu'ils font la revue des accès ? Et comment c'est rentré dans leur système ? Il y a du RGPD dedans, attention. Donc, combien de temps peuvent-ils les garder en ligne ? Avec ta loi ou ta politique ? Comment sais-tu s'ils ont effacé les traces, tu sais, le GDPR ? Et s'ils sous-traitent la gestion des batchs ? Alors là, c'est encore autre chose. Et bam, je t'ajoute le GDPR dans ta révision de fournisseur également. Donc en gros, je viens de te résumer de manière simple comment je démontre à l'auditeur que mon système de batch fonctionne. Tu vois, c'est simple. Et je ne peux pas tout raconter ici, car cela dépend de plein de choses, en fonction de mon analyse de risque derrière. Si j'ai des caméras... des clés, une alarme, que tout cela est mis en fonction du rôle de la personne qui a le badge. Je ne pousse pas plus loin, les contrôles. Car on a du MFA. Oui, le MFA n'est pas que digital. J'ai un badge, c'est quelque chose que tu possèdes. J'ai une clé, c'est quelque chose que tu possèdes. Et j'ai un code d'alarme, c'est quelque chose que tu connais. C'est du MFA. Bon, sauf pour les deux premiers, car c'est le même facteur d'authentification. Quelque chose que tu possèdes. Mais on aurait pu ajouter aussi quelque chose que tu es, avec de la biométrie. Mais ça, ça allonge les contrôles sur ce contrôle derrière. Donc peut-être qu'une fois, je ferai un épisode sur le contrôle biométrique et je t'expliquerai comment je suis arrivé au bureau du CISO sans mon empreinte de pouce. Tu es toujours là ? Bon, on part maintenant vers le cas le plus compliqué. Et c'est empirique. J'ajoute des contrôles. Car maintenant que tu sais tout cela, tu vas devoir gérer le badge qui protège une PKI, Public Key Infrastructure, dans un datacenter. Le plus important est donc de protéger les clés privées de nos clients. C'est ta mission. Donc, le cas le plus compliqué, la PKI dans le DC. Et là, c'est une zone sécurisée différente. On est d'accord ? Donc, je présume que tout le monde n'a pas accès parmi les personnes qui ont un badge. Tu me suis ? Ok. Donc, est-ce que tu es capable de voir si ton badge fonctionne correctement ? Est-ce que tu sais voir si le service de nettoyage a accès ? Peut-être que oui, peut-être que pas. J'en sais rien, je ne connais pas tes politiques. Mais faisons-le autrement, pour que tu comprennes. Est-ce qu'un étudiant peut avoir accès ? Donc, est-ce que tu vas regarder toutes les entrées positives, et c'est un KPI, qui ne veut rien dire en l'état, hormis que ton système de badge fonctionne et est up and running, ça ne me représente pas un risque, ou bien tu regardes comme moi, parce que tu es fainéant, uniquement les tentatives d'intrusion. La plupart du temps, des employés nouveaux, qui ne savent pas, qui ne peuvent pas badger. et de ce que cela déclenche derrière, incident ou pas. Mais en fait, tu dois être capable de démontrer à l'auditeur que tu sais qui rentre et s'il y a des tentatives d'intrusion. Donc moi, je regarde ces erreurs-là et je crée un incident. Et si je te le dis, si je te dis par exemple qu'on n'a pas eu d'incident pendant trois mois, est-ce que c'est parce que ton système de badge fonctionne ou bien réellement on n'a pas eu d'incident ? Et là, tu me dis, ben non, en fait, j'ai pas été voir dans les logs. Ah ! Ça change tout. Donc on a peut-être eu des incidents, mais tu ne les mesures pas. Ou ton système a été à l'arrêt pendant trois jours, et les portes ouvertes, comment tu sais ? Et puis... J'ai déjà eu la réflexion d'un client qui m'a dit « on n'a pas eu d'incident, car on n'a pas reçu de mail de notification » . Est-ce que tu vois le problème ? Qu'est-ce qui te prouve que ton mail fonctionne ? Si le mail est à l'arrêt, tu n'es pas au courant qu'il y a eu une intrusion. Donc pour ce client-là, j'ai été voir dans les logs et on a trouvé des choses. Mais pour l'incident, il n'y en avait pas, puisque pas d'envoi d'email. Tu vois un souci ? Tu vas me dire que je pousse. Hé. Je te rappelle qu'on est dans le cadre d'une PKI, ici. Donc, ce que je t'invite à faire, c'est de, par exemple, tester que le système fonctionne tous les jours avec un badge de test, et que ce test soit logué, non pas comme incident, mais comme KCI, un Key Control Indicator. Ça permet de tester l'efficacité du contrôle. Tu reçois le mail, OK, c'est secure. Et ça, je pense que selon le risque, une fois par jour, ça devrait suffire, je dirais. Et à ce moment-là, tu sais que ton contrôle opère. Donc on parle d'effectiveness, efficacité. Et quand Marc part en vacances, il faut que Jacques le fasse à sa place, sinon il n'y a pas de test. Et ça c'est du job rotation, bam, un autre contrôle. Ça te permet de répondre à la question comment t'assures-tu que ton système de prévention d'intrusion fonctionne ? Et aussi, as-tu prévu un no-break ? Est-ce qu'il fonctionne encore en cas de coupure de courant ou pas, ton lecteur de badge ? Et qui a accès au log ? L'IT ? En read-write ? Ou bien l'IT en read-only ? et l'office manager en read-write. Et bam, un autre contrôle, le SOD, segregation of duties. Et est-ce que toutes les entrées sont tracées ? Ou bien tu as aussi des badges anonymes ? Note que je comprends la nécessité, parfois, d'avoir des badges anonymes. Pour les techniciens externes, par exemple, on évite le coma. Mais du coup, tu as inscrit le numéro de badge du technicien et son heure d'arrivée est de sortie quelque part dans un registre ? Ou bien je vois juste badge anonyme dans les logs et je te mets un écart parce que pour moi, on ne sait pas qui est rentré. Peu importe, mais tu vois l'idée. Last but not least, as-tu testé le badge de ton CEO ? A-t-il accès au DC ? Ça te choque ? Est-ce que ça te choque ce que je dis ou pas ? Parce que s'il a accès au DC, sans même le savoir, et que je copie son badge, personne n'est au courant de la copie, et je rentre. Enfin, c'est lui qui rentre, tu m'as compris. Et un badge seul, je te rappelle que c'est authentication faible. Bon, je viens... Au moins d'en citer 10 des contrôles, ou 10 points d'attention, en fonction que cela soit simple ou plus compliqué. Alors, t'as toujours envie de mettre un lecteur de badge pour le contrôle d'accès ? Voilà, tu vois, c'était facile. Si tu as apprécié, partage-le avec quelqu'un qui te dit souvent « Oh, mais il n'y a qu'à mettre le badge à l'entrée et on n'en parle plus, on sera conforme » . Nous sommes les comma breakers. Nous refusons la conformité qui endort. Nous refusons la sécurité en illusion. Nous refusons les cases cochées qui assurent mais ne protègent pas. Nous savons une chose, conforme ne veut pas dire sécurité. Nous croyons que la conscience bat les procédures, que la compréhension bat les politiques, que l'action bat les excuses. Nous ne cherchons pas le minimum requis, nous visons le réel impact. Nous ne dormons pas sur nos risques, nous les regardons en face. Parce qu'en fait, une checklist ne stoppe pas une attaque. Un audit ne bloque pas un cœur, et un esprit éveillé change tout. Nous apprenons, nous anticipons, nous agissons, toujours. Nous sommes. les comma breakers. Et si tu es ici, c'est que tu refuses de dormir. Je te dis déjà à vendredi prochain pour un autre épisode de Compliance Without Coma. Si je me suis pas fait incendier d'ici là par un ayatollah des différentes classes de badges RFID et de leurs fréquences, mais en général il y a moins de commentaires sur les podcasts que sur les trolls sur les réseaux sociaux. A vendredi.

Chapters

Introduction aux badges d'accès et ISO 27001
0sec
Vulnérabilités humaines liées aux badges d'accès
1min
Vulnérabilités techniques des systèmes de badge
2min
Vulnérabilités de processus et gouvernance de la sécurité
7min
Cas complexe : gestion des badges dans un datacenter
12min
Conclusion et réflexions sur la sécurité proactive
17min

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

About Compliance Without coma

🔐 Normes. Risques. Gouvernance. Sans prise de tête.

Bienvenue dans Compliance Without Coma, le podcast qui parle de sécurité de l’information, de conformité, de risques et de normes… sans jargon et sans somnifère.

🎯 Que tu sois étudiant, DSI, consultant, entrepreneur ou juste curieux : ici, on vulgarise la cybersécurité, on détricote la gouvernance, on rend les normes sexy (si, si).

Pas de bullshit. Pas de blabla. Juste de quoi briller en réunion et prendre de vraies décisions.

🧠 anecdotes d’audit, bonnes pratiques à piocher et pièges à éviter… tout y passe.

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.

Embed

Introduction aux badges d'accès et ISO 27001

0sec

Vulnérabilités humaines liées aux badges d'accès

1min

Vulnérabilités techniques des systèmes de badge

2min

Vulnérabilités de processus et gouvernance de la sécurité

7min

Cas complexe : gestion des badges dans un datacenter

12min

Conclusion et réflexions sur la sécurité proactive

17min

Chapters

Introduction aux badges d'accès et ISO 27001

0sec

Vulnérabilités humaines liées aux badges d'accès

1min

Vulnérabilités techniques des systèmes de badge

2min

Vulnérabilités de processus et gouvernance de la sécurité

7min

Cas complexe : gestion des badges dans un datacenter

12min

Conclusion et réflexions sur la sécurité proactive

17min