Afficher le résumé Masquer le résumé
Dans l’esprit collectif, la cybersécurité évoque en premier lieu la sécurisation de systèmes digitaux. Si ces derniers sont vulnérables de l’intérieur (e-mails vérolés, identifiants compromis, etc.), ils disposent également d’une infrastructure physique (bureaux, data centers, usines, etc.) qui peut, elle aussi, être victime d’intrusions. De nouvelles réglementations européennes, comme la directive européenne NIS 2 et le CRA (Cyber Resilience Act), devraient remettre, à juste titre, la sécurité physique au cœur des stratégies cyber.
La menace physique : une réalité qu’il est temps de confronter
Nous avons longtemps vécu avec une vision « désincarnée » de la cybersécurité, focalisée uniquement sur les attaques logicielles. Pourtant, les attaques physiques sont bien réelles et viennent souvent soutenir les attaques cyber. On parle ainsi d’attaques hybrides. Des groupes comme Killnet ou Sandworm combinent désormais cyberattaques et intrusions physiques pour saboter des infrastructures critiques, en particulier au sein de territoires en guerre ou au contexte géopolitique tendu. En 2023, des installations télécoms françaises ont été dégradées volontairement, entraînant la perte de connectivité pour des établissements de santé et des collectivités.
Le coût d’un vol ou d’un sabotage de données physiques peut dépasser plusieurs millions d’euros en répercussions opérationnelles, en sanctions RGPD ou en perte de confiance client. Selon de récentes études, 60 % des organisations déclarent avoir subi une violation de sécurité physique au cours des 12 derniers mois. Le coût moyen d’une telle intrusion pour une PME s’élèverait à 450 000 dollars. Il ne s’agit donc pas seulement d’un impératif réglementaire, mais d’un impératif stratégique. La sécurité physique est le maillon d’ancrage de notre cybersécurité. Elle ne doit pas être négligée.
NIS 2, CRA : un tournant pour la sécurité physique
En cours de transposition en France, la directive européenne NIS 2 vient élever le niveau global de cybersécurité des organisations de 18 secteurs catégorisés comme critiques. Parmi eux, on dénombre les administrations publiques, la santé, la recherche, les transports ou encore le secteur bancaire. Une distinction a été faite entre deux niveaux de criticité : les entités essentielles (250 personnes ou un chiffre d’affaires annuel supérieur à 50 millions d’euros) et les entités importantes (emploient au moins 50 personnes ou ont un chiffre d’affaires et un bilan annuel supérieur à 10 millions d’euros). Mais ce qui marque un véritable tournant – et que nous devons saluer – c’est l’intégration explicite de la sécurité physique dans les exigences de conformité. Les entités essentielles sont tenues de mettre en œuvre des mécanismes de contrôle d’accès (vidéosurveillance, gardiennage, alarmes), une gestion rigoureuse des droits d’accès, ainsi qu’une traçabilité des accès externes et internes.
Quant au CRA, il parachève cette évolution en imposant aux fabricants numériques des exigences de sécurité physique dès la conception et tout au long du cycle de vie du produit. Le tableau de conformité désormais utilisé pour le label SecNumCloud ou en réponse à certaines exigences sectorielles (OIV, OSE) atteste de cette évolution vers la protection des locaux techniques, des salles serveurs et des accès physiques. La sécurité physique est désormais une attente réglementaire ferme pour toute entité essentielle.
Avec la NIS 2 et le CRA, l’Union européenne replace la sécurité physique au cœur de la cybersécurité. Une avancée majeure qui est celle de reconnaître que protéger nos accès, nos infrastructures et nos environnements, c’est consolider la confiance numérique. En érigeant la sécurité physique en premier rempart, l’Europe ouvre la voie à une cybersécurité plus complète et plus résiliente.
Vincent Dupart
Président de SPAC Alliance
