"Il ne sert à rien de dresser une ligne Maginot logique si n'importe qui peut entrer dans la salle serveurs par la fenêtre ", ironise Christian Pollefoort, consultant en sécurité pour la société Lexsi, chargée des audits de sécurité physique. Si l'exemple est volontairement exagéré, il témoigne toutefois d'une réalité : pour beaucoup d'entreprises, la sécurité des infrastructures est secondaire. Le rôle d'un audit de sécurité physique est d'harmoniser la sécurité des infrastructures avec celle du système d'information, le plus souvent par le biais d'une politique de sécurité efficace. C'est d'ailleurs pour cela que les méthodes organisationnelles consacrent une large part de leurs questionnaires à la sécurité physique.

Hélas, l'image de la sécurité 100 % logique a la vie dure, souvent entretenue par des sociétés d'audit, car cette solution coûte moins cher. " Il est beaucoup plus facile et rapide de former un jeune ingénieur à la sécurité logique que de le rendre opérationnel pour les audits de sécurité physique ", confirme Christian Pollefoort.

Ainsi, ce n'est pas parce qu'un auditeur applique une méthode formelle que la sécurité physique sera forcément assurée au mieux. L'expérience du prestataire dans ce domaine compte pour beaucoup : " Nous constatons que la sécurité physique devient un véritable critère différenciateur. Et la tendance ne va pas s'inverser : on commence à voir apparaître aux États-Unis des centres de données conçus pour résister à un impact de missile sol-sol. On y viendra en France également ", prophétise Fabrice Coquio, directeur général pour la France de l'hébergeur Interxion. L'exemple est extrême, mais la tendance est bien réelle.

Ainsi, seule l'expérience du prestataire pourra prévoir, par exemple, les dégâts que peut causer de la limaille de fer magnétisée dans les conduits d'aération de l'entreprise. " C'est radical pour neutraliser les disques durs. C'est pourquoi nous conseillons de placer les bouches d'aération sur le toit, et non dans la rue ", commente Christian Pollefoort.

Un bon audit de sécurité physique se déroule de façon concentrique, de l'extérieur des locaux vers le saint des saints : la salle des serveurs. Les points inspectés pourront être directement liés à l'informatique (emplacement des postes de travail en accès libre) ou plus organisationnels (tous les employés sont-ils badgés, ou seulement les visiteurs ?). Et l'on se rend souvent compte que l'audit de sécurité physique rejoint l'audit organisationnel : " Avant d'acheter des gadgets technologiques, il faut valider les processus organisationnels. Ce n'est pas tout d'utiliser des badges ou des calculettes d'authentification forte, encore faut-il coordonner les procédures de départ des collaborateurs entre la DRH et le service informatique." L'audit doit aussi déterminer la conformité des matériels aux normes nationales et européennes, voire évaluer la pertinence de l'implantation géographique des locaux. Certains prennent même en compte des risques étonnants : " On ne pense pas assez aux risques liés à des mouvements sociaux qui peuvent bloquer l'accès à un bâtiment clé ou arrêter l'exploitation ", confie Fabrice Coquio. Mieux : les risques sismiques, d'inondation ou la résistance des sols devraient être pris en compte. Autant de données qui échappent généralement aux audits de sécurité généralistes.