Intro: Malgré qu'ils soient généralement traités de façon segmentée, la sécurité physique et logique sont deux piliers interreliés et surtout interdépendants de la sécurité d'une organisation. Cette réalité n'a jamais été aussi vraie avec la convergence technologique qu'a subie le monde de la sécurité physique, une seule faiblesse logique peut entraîner d'importantes répercussions dans le monde physique et vice-versa. Durant la présentation, nous mettrons en contraste les deux mondes par des exemples concrets.

Section 1: Gestion des identités et des accès
Dans un monde TI où la GIA est rendue omniprésente et de plus en plus évolués (MFA, moindre privilège, passwordless, ségrégation de tâches, gestionnaire de mots de passe, etc…). De l'autre côté, nos systèmes de contrôle d’accès physique reposent souvent sur des systèmes « legacy » et mal implémentés. Nous le démontrons par des exemples (bute-force de code à 4 chiffres, bypass de lecteurs RFID, contournement d’installation déficiente, etc..)

Section 2 : Détection et prévention d’intrusion
Comme à la section 1, nous ferons le « contraste » entre les deux mondes. Encore une foi, la détection et la prévention ont tellement évolué dans le monde de la cybersécurité que ce soit par les pare-feu de nouvelle génération et les IPS sophistiqués (NFFW/DPI), la visibilité du périmètre jusqu’aux postes de travail (EDR/XDR) et même la gestion et la collection des journaux (log collection / SIEM). Dans le monde physique, nous n’avons que très peu évolué. Les journaux ??? qui vérifie les journaux où sont les journaux ? Nous démontrons par des exemples de pentests physique comment les systèmes et les installations des mécanismes de détection et de prévention sont déficientes, facile à contourne et même souvent même pas présent.

Section 3 : Pistes de solutions
Afin de répondre à cette réalité ou le monde physique et logique sont traités de façon indépendante et où une faiblesse de l’un peut impacter directement l’autre, il ne faut plus voir la sécurité comme deux mondes distincts. L’une des pistes les plus prometteuses est dans la gouvernance de nos organisations, ne pensons plus CISO vs CSO, ce qui devrait être un seul rôle. Plusieurs organisations n’ont même pas de structure pour la sécurité physique, mais ils ont des responsables de la « cyber »sécurité. La sécurité physique est donnée au service des ressources matérielles ou au service des immeubles sans même mettre en place un cadre de gouvernance. Nous allons démontrer que les gens qui gèrent la sécurité logique sont déjà bien outillés pour répondre à cette réalité, nous verrons comment la gouvernance est déjà très semblable dans ces deux sphères de la sécurité (analyse de risque et d'impacte, politque/directive, gestion des incidents, etc...), sans oublié, comme nous l'avons mentionné au début, la convergences nous pousse déjà dans cette direction.