Mon ancienne entreprise, Gardien Virtuel, faisait ce type de test, et j'ai eu tellement de plaisir à réaliser ces mandats, puisque à chaque projet, il y a des histoires extraordinaires, des anecdotes qui nous font comprendre à quel point les employés peuvent être… vulnérable!

Je vous écris aujourd'hui simplement pour partager à ceux qui voudraient faire ce travail ou qui souhaiteraient embaucher une personne pour les aider.

Pourquoi faire un test d'intrusion physique ?

Les menaces des entreprises ne viennent pas toujours d'une mise à jour manquante ou d'une politique manquante. Des fois c'est une personne qui entre chez vous, vole vos données et voilà.

  • Évaluer la fiabilité des contrôles (serrures, badges, caméras) face à un attaquant.
  • Mesurer l'efficacité des procédures (vérification d'identité, gestion des visiteurs, rondes de sécurité).
  • Mettre le doigt sur les failles humaines (manipulation sociale ou "tailgating") avant qu'un criminel les exploite.

Dans ISO 27001:2022, la sécurité physique est couverte dans l'Annexe A (clauses A.7.1 à A.7.13), notamment A.7.1 (périmètres physiques), A.7.2 (contrôle des accès physiques) et A.7.4 (surveillance physique).

Perdre la maîtrise des accès, c'est perdre le contrôle des actifs.

Les bonnes et les moins bonnes raisons de faire un test

Bonnes raisons

  • Validation réelle : vous voulez vraiment savoir si un voleur en habit peut déjouer vos caméras.
  • Conformité réglementaire : parfois exigée dans certains contextes.
  • Sensibilisation : rien de tel qu'une démonstration « en vrai » pour convaincre la direction.

Moins bonnes raisons

  • Faire joli sur papier : commander un rapport que personne ne lira, juste pour cocher une case.
  • Test « one-off » sans suite : un audit sans plan d'action, c'est comme une alarme sans intervention.

Exemple

On est arrivés dans un grand bureau, au centre-ville, avec réceptionniste, caméras, cartes d'accès. L'équipe est arrivée avec assurance et a simplement demandé la permission d'aller dans le bureau de la direction sous prétexte de devoir « effectuer un petit changement ».

À notre surprise, on nous a laissés passer sans poser de questions, sans vérification d'identité, sans accompagnement. Une fois à l'intérieur, on a été laissés seuls durant de longues minutes.

Ce qui m'a marqué, c'est à quel point l'équipe était stressée avant de commencer, la peur d'être arrêtés, confrontés, dénoncés. Alors que finalement il n'y avait rien. Encore aujourd'hui, les failles n'étaient pas technologiques. C'était l'humain, sous prétexte de bonne foi.