Sécurité : Protéger les locaux

L’accès aux locaux doit être contrôlé pour éviter ou ralentir un accès direct, non autorisé, que ce soit aux fichiers papier ou aux matériels informatiques, notamment aux serveurs. Les locaux doivent également être protégés contre les autres types de menaces (ex. : incendie, inondation).

Les précautions élémentaires

Restreindre les accès aux locaux au moyen de portes verrouillées.

Installer des alarmes anti-intrusion et les vérifier périodiquement leur bon fonctionnement périodiquement.

Mettre en place des détecteurs de fumée ainsi que des moyens de lutte contre les incendies, et les inspecter annuellement.

Protéger les clés permettant l’accès aux locaux ainsi que les codes d’alarme.

Distinguer les zones des bâtiments selon les risques (ex : prévoir un contrôle d’accès dédié pour la salle informatique).

Tenir à jour une liste des personnes ou catégories de personnes autorisées à pénétrer dans chaque zone et faire une revue périodique de cette liste

Établir les règles et moyens de contrôle d’accès des visiteurs, au minimum en faisant accompagner les visiteurs, en dehors des zones d’accueil du public par une personne appartenant à l’organisme.

Protéger l’accès au réseau (ex. : prises dans les bureaux, baies de brassage) et ne permettre qu’aux équipements autorisés de s’y connecter.

Protéger physiquement les matériels informatiques par des moyens spécifiques (système anti-incendie dédié, surélévation contre d’éventuelles inondations, redondance d’alimentation électrique et/ou de climatisation, etc.).

Ce qu’il ne faut pas faire

• Sous-dimensionner ou négliger l’entretien de l’environnement des salles informatiques (ex. : climatisation, onduleur). Une panne sur ces installations a souvent comme conséquence l’arrêt des machines ou l’ouverture des accès aux salles (pour favoriser la circulation d’air) qui neutralise de fait des éléments concourant à la sécurité physique des locaux.
   
• Laisser visibles (ex. : écran du secrétariat lisible facilement par les visiteurs, salle de réunion dont l’écran est visible de l’extérieur) ou accessibles (ex. : documents critiques imprimés posés à la vue de tous dans les zones d’accueil du public) des données qui devraient rester confidentielles.

Pour aller plus loin

Conserver une trace des accès aux salles ou bureaux susceptibles de contenir du matériel traitant des données personnelles pouvant avoir un impact négatif grave sur les personnes concernées en cas d'incident. Informer les utilisateurs de la mise en place d’un tel système, après information et consultation des instances représentatives du personnel.

S'assurer que seul le personnel dûment habilité soit admis dans les zones à accès restreint. Par exemple :

• à l’intérieur des zones à accès réglementé, exiger le port d’un moyen d’identification visible (ex : badge) pour toutes les personnes ;
   
• les visiteurs (ex : personnel en charge de l’assistance technique) ne doivent avoir qu'un accès limité. La date et l’heure de leur arrivée et départ doivent être consignées ;
   
• réexaminer et mettre à jour régulièrement les permissions d’accès aux zones sécurisées et les supprimer si nécessaire.