Ce que vous saurez faire à la fin
- Mettre en place un contrôle d’accès par badge avec gestion du cycle de vie des cartes
- Déployer une vidéosurveillance conforme à la loi 2008-12 sur les données personnelles au Sénégal
- Sécuriser physiquement votre salle serveur ou local technique (rack)
- Organiser la gestion des visiteurs, du courrier, des archives et la destruction des documents
- Bloquer la menace USB rogue (rubber ducky, BadUSB) et auditer les ports physiques
Durée : 5h. Pré-requis : plan des locaux, budget initial 1 500 000 à 8 000 000 FCFA selon taille (badges, caméras, broyeur, coffre), accord direction et consultation représentants du personnel pour la vidéosurveillance, déclaration préalable à la CDP (Commission des Données Personnelles), un référent sûreté désigné, contrat avec une société de gardiennage agréée si site sensible.
Étape 1 — Cartographier les zones de sécurité physique
Tous les locaux n’ont pas le même niveau de criticité. Découpez en 4 zones, c’est la base de toute politique cohérente.
| Zone | Exemples | Accès autorisé | Contrôles |
|---|---|---|---|
| Z0 – Publique | Parking, hall accueil | Tout public | Vidéo, signalétique |
| Z1 – Visiteur | Salle réunion, sanitaires visiteurs | Visiteur accompagné | Badge visiteur + registre |
| Z2 – Bureau | Open space, bureaux salariés | Salariés et accompagnés | Badge nominatif + vidéo |
| Z3 – Sensible | Comptabilité, RH, direction, archives P2 | Liste limitative | Badge ACL + porte renforcée |
| Z4 – Critique | Salle serveur, coffre, archives P3 | 2 personnes nominées | Double authentification + audit log |
Faites le plan A3, affichez-le côté direction et faites valider par le comité de sécurité. Tout aménagement futur s’y réfère.
Étape 2 — Choisir et déployer le contrôle d’accès par badge
Trois technologies cohabitent. Pour une PME 30-200 postes, le choix se résume à RFID 13,56 MHz (Mifare DESFire) ou QR Code dynamique.
| Technologie | Coût matériel | Force | Faiblesse |
|---|---|---|---|
| RFID 125 kHz (EM4100) | Lecteur 35 000 FCFA, badge 800 FCFA | Bon marché | Clonable en 30 sec avec Proxmark |
| RFID 13,56 MHz Mifare Classic | Lecteur 60 000 FCFA, badge 1 500 FCFA | Standard répandu | Cassé depuis 2008, à éviter |
| RFID Mifare DESFire EV2/EV3 | Lecteur 120 000 FCFA, badge 3 500 FCFA | Cryptographie AES, sûr | Coût plus élevé |
| QR Code dynamique (smartphone) | Lecteur 80 000 FCFA, app gratuite | Pas de carte à perdre | Dépend smartphone chargé |
| Biométrie empreinte | Lecteur 250 000 FCFA | Pas de carte | Données biométriques sensibles loi 2008-12 |
Recommandation PME : Mifare DESFire EV2 pour Z2/Z3, double facteur (badge + code) pour Z4. Évitez la biométrie sauf nécessité, vous déclenchez un régime juridique lourd.
Étape 3 — Définir le cycle de vie des badges
90% des incidents physiques viennent du badge mal géré (perdu, prêté, non rendu au départ).
PROCESSUS BADGE - PSSI PHYSIQUE
1. Création
- Demande RH lors de l'embauche
- Photo du salarié obligatoire (impression sur badge)
- Mention société + nom + numéro court
- Pas de mention fonction (limite social engineering)
- Validation manager + RSSI ou DSI
- Remise contre signature du registre
2. Activation niveau d'accès
- Z2 par défaut tous salariés
- Z3 sur demande écrite manager + valid. propriétaire zone
- Z4 sur décision direction écrite + révision trimestrielle
- Plage horaire restreinte (ex : Z4 = 7h-21h sauf astreinte)
3. Modification (changement poste)
- Suppression ACL ancienne fonction
- Ajout ACL nouvelle fonction
- Délai : J+0 du changement effectif
4. Perte / vol
- Déclaration immédiate au RSSI (24/7 via hotline interne)
- Désactivation badge en moins de 30 minutes
- Création badge remplacement avec nouvel identifiant
- Frais à charge du salarié si perte répétée (politique RH)
5. Départ salarié
- Désactivation programmée H-2 du départ effectif
- Reprise physique du badge contre quittance
- Si pas rendu : badge désactivé + sanction prévue contrat
- Conservation log accès 6 mois minimum (preuve juridique)Étape 4 — Configurer la vidéosurveillance conforme loi 2008-12
Au Sénégal, la loi 2008-12 sur la protection des données personnelles encadre strictement la vidéosurveillance. La CDP (Commission des Données Personnelles) doit être notifiée. Les manquements sont passibles de sanctions financières.
CHECKLIST CONFORMITÉ VIDÉOSURVEILLANCE SÉNÉGAL
[ ] Déclaration préalable CDP (formulaire en ligne cdp.sn)
[ ] Finalité écrite : sécurité biens et personnes UNIQUEMENT
- Ne PAS écrire "surveillance des salariés" (illégal)
[ ] Périmètre limité :
- Entrées, sorties, zones critiques OK
- Postes de travail individuels INTERDITS
- Sanitaires, vestiaires, salle pause INTERDITS
[ ] Durée conservation : 30 jours maximum sauf incident
[ ] Affichage signalétique :
- Pictogramme caméra + mention société
- Coordonnées du responsable de traitement
- Mention "vous pouvez exercer vos droits..."
- Référence à la loi 2008-12
[ ] Information préalable des salariés :
- Note de service signée
- Information aux délégués du personnel
- Mention dans contrat de travail (futurs entrants)
[ ] Accès aux images limité :
- Liste nominative écrite (RSSI, DG, sûreté)
- Log d'accès au système
- Pas d'extraction sans incident formellement déclaré
[ ] Sécurité du système :
- NVR isolé, mot de passe fort, MFA si possible
- Pas d'accès Internet entrant (port forwarding interdit)
- Mises à jour firmware mensuellesÉtape 5 — Choisir le matériel vidéo et le configurer
Le marché se partage entre Hikvision, Dahua (chinois, dominants) et Axis, Bosch (européens premium). Pour PME, Hikvision/Dahua avec NVR local est le ratio prix/qualité.
DIMENSIONNEMENT TYPE PME 80 POSTES, 1 SITE
Caméras :
- 4 caméras extérieures bullet 4MP IR 30m (entrées, parking)
- 6 caméras intérieures dôme 4MP (couloirs, hall, salle serveur)
- 2 caméras 8MP zone caisse / accueil si applicable
Total : 12 caméras
Coût unitaire : 60 000 - 120 000 FCFA selon modèle
Total caméras : ~1 100 000 FCFA
NVR :
- 16 voies, 4 disques (RAID 1), 4-8To
- Modèle : Hikvision DS-7616NXI ou Dahua équivalent
- Coût : 450 000 FCFA
- Disques 4To Surveillance Purple : 80 000 FCFA x 2
Autres :
- Switch PoE 16 ports gigabit : 250 000 FCFA
- Cablage Cat6 + main d'oeuvre : 350 000 FCFA
- Onduleur dédié 1500VA : 180 000 FCFA
Total budget vidéosurveillance : ~2 600 000 FCFA HTÉtape 6 — Durcir la configuration NVR Hikvision/Dahua
Les NVR sortie d’usine sont des passoires. Voici la configuration durcie minimale.
# Sur le NVR, depuis l'interface web admin
# 1. Changer mot de passe admin (12 caractères minimum)
# Settings > User Management > admin > Edit
# Désactiver compte 'default' s'il existe
# 2. Désactiver les services inutiles
# Settings > Network > Advanced > HTTPS only (HTTP off)
# Désactiver : UPnP, P2P (Hik-Connect/EZVIZ cloud)
# Désactiver : ONVIF si non utilisé
# Désactiver : Multicast
# 3. Restreindre l'accès par IP
# Settings > Security > IP Filter > Whitelist
# Ajouter uniquement IPs poste admin sécurité
# 4. Activer audit log
# Settings > System > Logs > Activer + export syslog vers SIEM
# 5. Sauvegarde config
# Maintenance > Configuration > Export
# Stocker chiffré, hors site
# 6. Test depuis l'extérieur
nmap -sV IP_NVR_PUBLIQUE
# Doit ne répondre QU'EN HTTPS sur 443
# Aucun port 80, 8000, 23, 22 ouvert sur Internet
# 7. Mise à jour firmware
# Vérifier mensuellement sur site constructeur
# Ne JAMAIS télécharger firmware d'un site tiersÉtape 7 — Sécuriser physiquement la salle serveur
La salle serveur (ou rack en armoire pour les plus petits) cumule les enjeux : vol matériel, sabotage, accident climatique.
CHECKLIST SALLE SERVEUR PME
Localisation
✓ Pas en sous-sol (inondation Dakar saison pluies)
✓ Pas sous des tuyauteries d'eau
✓ Pas en façade vitrée (effraction, chaleur)
✓ Loin des zones publiques
Accès
✓ Porte pleine, gond et serrure renforcés
✓ Lecteur badge ACL Z4 + clé physique secours coffre
✓ Caméra dédiée (intérieur + couloir)
✓ Détecteur d'ouverture relié alarme
✓ Registre accès papier ou numérique
Climatisation
✓ Climatiseur dédié, redondant si possible
✓ Sonde température (alerte mail > 28°C)
✓ Sonde humidité (alerte > 65%)
✓ Climatiseur sur ligne onduleur
Énergie
✓ Onduleur 30 min minimum autonomie
✓ Test mensuel coupure électrique
✓ Groupe électrogène si SI critique 24/7
Incendie
✓ Détecteur fumée + alarme
✓ Extincteur CO2 ou poudre BC à proximité (jamais à eau)
✓ Pas de carton, pas de papier dans la salle
Câblage
✓ Plinthes ou faux-plancher, pas de câbles au sol
✓ Identification visible chaque câble
✓ Schéma rack à jour affiché en porte intérieure
Sauvegardes
✓ Au moins une copie HORS du local serveur
✓ Idéalement hors site (cloud chiffré ou autre site)Étape 8 — Encadrer l’accueil des visiteurs
Le visiteur est un risque cyber et physique : photo des écrans, dépose de clé USB, observation de codes. Le processus doit être visible et systématique.
PROCÉDURE VISITEUR
H-24 : Annonce
- Hôte salarié déclare la visite via formulaire intranet
- Indique : nom, société, motif, durée prévue, zones requises
- Approbation manager si Z3, RSSI si Z4
H-0 : Arrivée
- Présentation pièce identité à l'accueil
- Inscription registre (papier ou électronique)
- Photo du visiteur si applicable (loi 2008-12, conservation 30j)
- Remise badge "visiteur" couleur distincte (rouge ou jaune)
- Signature charte visiteur courte (1 page)
- Hôte vient chercher en personne, JAMAIS visiteur seul
Pendant la visite
- Badge visible en permanence
- Accompagnement permanent dans Z2/Z3
- Wi-Fi visiteur séparé (VLAN guest, pas d'accès SI)
- Pas de prise photo des écrans, plans, tableaux blancs
Départ
- Badge restitué contre signature
- Heure sortie horodatée
- Si non rendu : invalidation immédiate + alerte sûreté
Cas particuliers
- Livreur Wave / Yango : limité au hall, pas d'escalade
- Technicien externe (climatisation, ménage soir) :
badge contractuel longue durée, ACL limitée
- Visite client / partenaire VIP : briefing préalable hôteÉtape 9 — Politique clean desk et écrans verrouillés
Les bureaux ouverts en open space exposent en permanence des documents et écrans. Politique simple et auditable.
POLITIQUE CLEAN DESK
Pendant la journée
- Écran verrouillé dès qu'on quitte le poste (Windows + L)
- Verrouillage auto inactivité : 5 min Z3, 10 min Z2
- Documents P2/P3 retournés ou rangés si on s'absente > 5 min
- Mots de passe : JAMAIS post-it sous clavier ou sous écran
En fin de journée
- Bureau totalement vide en surface
- Documents rangés tiroir fermé à clé
- Documents P2/P3 dans armoires verrouillées (clé chez RSSI)
- Imprimante : aucun document en attente
- Tableau blanc effacé si infos sensibles
Audit clean desk
- Tour surprise du RSSI 1 fois par mois après 19h
- Constat photo (sans visage) en cas de manquement
- 1er manquement : email pédagogique
- 2e manquement : entretien manager
- 3e manquement : sanction PSSIÉtape 10 — Sécuriser l’imprimante et l’impression
Les imprimantes sont des serveurs Linux mal sécurisés stockant les derniers documents imprimés. Vraie source de fuite.
# Audit basique imprimante réseau
# 1. Scanner les ports ouverts
nmap -sV -p- IP_IMPRIMANTE
# Devraient être fermés : 23 (telnet), 9100 brut sans auth, 161 (SNMP v1/v2)
# 2. Tester accès admin web
# http://IP_IMPRIMANTE
# Identifiants par défaut souvent : admin/admin, admin/(vide), admin/0000
# Si ça passe : URGENT, changer
# 3. Activer impression sécurisée (pull printing)
# Document imprimé reste en file jusqu'à badge utilisateur
# Solutions : PaperCut MF, YSoft SafeQ, Equitrac
# Coût : ~150 000 FCFA/an pour 5 imprimantes PME
# 4. Configurer purge automatique des jobs
# Paramètres > Sécurité > Effacement disque dur
# Activer : effacement après chaque job + effacement complet hebdo
# 5. Désactiver protocoles inutiles
# Désactiver : LPR, AppleTalk, IPv6 si non utilisé, FTP, telnet
# Garder : IPP/IPPS HTTPS uniquement
# 6. Mettre à jour firmware constructeur trimestriellement
# HP, Canon, Brother publient régulièrement des CVEÉtape 11 — Détruire les documents papier (broyage)
Le tri sélectif n’est pas un mode de destruction. Les broyeurs sont classés DIN 66399.
| Niveau DIN | Largeur résidu | Usage | Données conformes |
|---|---|---|---|
| P-1 | 12 mm bandes | Documents P0 | Aucune confidentialité |
| P-2 | 6 mm bandes | Documents P0 | Public |
| P-3 | 2 mm croisé | Documents P1 | Interne |
| P-4 | 6×40 mm croisé | Documents P2 | Confidentiel (recommandé minimum PME) |
| P-5 | 2×15 mm croisé | Documents P3 | Secret entreprise |
| P-6 et P-7 | 1×4 mm | Données militaires/santé sensibles | Très confidentiel |
RÈGLES DESTRUCTION PAPIER
- Broyeur niveau P-4 minimum dans chaque service P2/P3
- Bacs sécurisés à clé pour collecte (style Shred-it)
- Vidange par société agréée (CertifSouverain, ProDocs, etc.)
avec certificat de destruction nominatif et daté
- Documents P3 : broyage immédiat, pas de stockage en attente
- Archives papier en fin de vie :
- Tri préalable par service propriétaire
- Bordereau de destruction signé direction
- Conservation du certificat 5 ansÉtape 12 — Bloquer les attaques USB rogue (BadUSB, Rubber Ducky)
Une clé USB déposée discrètement sur un bureau et branchée par curiosité peut exécuter des centaines de commandes en 30 secondes (BadUSB se déclare comme un clavier HID). Défense en profondeur.
# 1. Désactiver les ports USB par GPO Active Directory
# Sur le contrôleur de domaine, GPMC.msc
# Politique : Ordinateur > Stratégies > Modèles d'admin > Système >
# Accès au stockage amovible
# Activer : "Tous les types de stockage amovibles - Refuser tout accès"
# Pour autoriser des clés signées entreprise uniquement :
# Stratégies > Configuration ordinateur > Préférences > Panneau de
# config > Périphériques > Restreindre par GUID matériel
# 2. Bloquer USB HID inconnus (anti BadUSB) - politique poste sensible
# DeviceGuard / Windows Defender Application Control
New-CIPolicy -FilePath "C:\policy\hid_lockdown.xml" `
-Level Hash -UserPEs
# 3. EDR : règle anti USB HID auto-exécution
# Dans CrowdStrike, SentinelOne, Defender for Endpoint :
# Activer : Block USB HID device installation when not in allowed list
# 4. Politique organisationnelle
Write-Output "Politique USB :
- Aucune clé USB personnelle branchée sur poste pro
- Clé pro entreprise uniquement, chiffrée BitLocker To Go
- Si clé trouvée dans locaux : remettre RSSI, ne JAMAIS brancher
même 'pour voir à qui elle appartient'
- Sensibilisation : test 'lost USB drop' tous les 6 mois"
# 5. Test offensif autorisé (pour évaluer sensibilisation)
# Préparer 5 clés USB, étiquette "Salaires 2026"
# Déposer dans parking, hall, sanitaires
# Mesurer combien sont branchées (callback HTTP autorisé interne)
# Communiquer résultat anonyme en formationÉtape 13 — Sécuriser le courrier et les archives
Le courrier reçu et envoyé est un vecteur sous-estimé : factures interceptées, dépôts d’attestations frauduleuses, archives mal protégées.
COURRIER ENTRANT
- Réception centralisée (1 personne nommée + suppléant)
- Tri visuel : courrier suspect (poudre, bosse anormale, expéditeur
inconnu) -> non ouvert, RSSI averti
- Ouverture : dans une zone dédiée, pas en open space
- Numérisation systématique (traçabilité)
- Distribution sous enveloppe interne fermée si destinataire absent
COURRIER SORTANT
- Documents P2/P3 : envoi recommandé avec accusé
- Devis sensibles : double pli, enveloppe extérieure neutre
- Pas de mention société sur courriers vers prospects sensibles
- Affranchissement centralisé (registre)
ARCHIVES
- Local dédié, fermé, à l'abri humidité
- Inventaire papier ET numérique
- Cotation par dossier (référence + service + année + niveau P)
- Plan d'élimination annuel (selon durée légale conservation)
Comptabilité : 10 ans
Paie : 5 ans après départ
Contrats clients : 5 ans après fin
RH : durée de carrière + 5 ans
- Destruction documentée par bordereau
TRANSPORT EXTERNE
- Sacoche fermée à clé pour documents P2/P3 hors site
- JAMAIS de documents P3 dans coffre voiture stationnée
- Photo numérique uniquement si chiffrement device validéÉtape 14 — Audit physique annuel
Sans audit, tout dérive en 12 mois. Programmez une revue terrain complète chaque année.
AUDIT SÉCURITÉ PHYSIQUE ANNUEL (2 jours)
Jour 1 - Documentaire et observation
✓ Plan zones à jour ?
✓ Registre badges : tous salariés actifs présents, aucun fantôme
✓ Registre visiteurs des 30 derniers jours : cohérent ?
✓ Logs accès Z4 : qui, quand, justifications ?
✓ Tour de bureau jour : clean desk, écrans verrouillés ?
✓ Tour de bureau soir 19h : clean desk respecté ?
✓ Imprimantes : documents oubliés ?
✓ Salle serveur : registre accès, température, propreté
Jour 2 - Tests intrusifs autorisés
✓ Test ingénierie sociale accueil :
"Je viens pour le wifi, on m'a dit de demander..."
Combien de fois on me laisse entrer ?
✓ Test tailgating : suivre quelqu'un qui badge
✓ Test clé USB perdue (5 clés, mesure callback)
✓ Test photo écrans en open space (10 min observation)
✓ Test documents non rangés (recherche photos preuves anonymes)
✓ Vérification destruction papier : examen visuel poubelle
classique pour s'assurer que rien de P2 n'y atterrit
Livrable
- Rapport 10 pages avec photos anonymisées
- Score conformité (% des contrôles passés)
- Top 10 actions à corriger
- Validation comité direction
- Communication anonymisée aux équipes (sans pointer du doigt)Erreurs classiques à éviter
- Erreur : badge avec fonction visible — Un attaquant en social engineering vise immédiatement les « Direction Financière ». Mention nom + photo suffit.
- Erreur : caméra exposée à Internet sans VPN — Des centaines de NVR sénégalais sont accessibles via Shodan, attaquables via CVE Hikvision/Dahua connues.
- Erreur : aucune déclaration CDP — En cas d’inspection ou plainte salarié, vous n’avez aucun fondement légal et risquez sanctions financières et obligation de débrancher.
- Erreur : broyeur P-2 pour documents confidentiels — Les bandes sont reconstituables manuellement en quelques heures par un curieux motivé. P-4 minimum.
- Erreur : code d’accès Z4 connu de 15 personnes — Le secret se dilue. Liste limitée à 5 max, MFA badge + code, révision trimestrielle.
- Erreur : clé USB branchée par curiosité — Un BadUSB exécute Mimikatz en 5 secondes et exfiltre vos hash AD. Sensibilisation + blocage GPO.
- Erreur : visiteurs non accompagnés « 5 minutes » — 5 minutes suffisent pour photographier un écran, déposer une clé, observer une combinaison de coffre.
Checklist sécurité physique PME
ZONAGE ET ACCÈS
✓ Plan des 4 zones (Z0 à Z4) validé direction
✓ Contrôle d'accès badge Mifare DESFire EV2 ou équivalent
✓ Cycle de vie badges documenté (création, modif, perte, départ)
✓ Liste nominative accès Z4 limitée à 5 personnes maximum
✓ Audit accès Z4 trimestriel signé direction
VIDÉOSURVEILLANCE
✓ Déclaration CDP effectuée et conservée
✓ Signalétique conforme posée à toutes les entrées
✓ Information écrite des salariés et représentants du personnel
✓ NVR durci (HTTPS only, pas d'accès Internet, MFA)
✓ Conservation 30 jours maximum sauf incident
SALLE SERVEUR
✓ Localisation hors zone inondable
✓ Climatisation + sonde température et humidité
✓ Onduleur 30 min minimum, test mensuel
✓ Détection incendie + extincteur CO2
✓ Caméra dédiée + registre d'accès papier ou numérique
BUREAUX
✓ Politique clean desk affichée et auditée
✓ Verrouillage écran auto 5-10 min
✓ Imprimantes durcies + impression sécurisée par badge
✓ Broyeur P-4 minimum dans services P2/P3
✓ Bacs sécurisés et destruction certifiée
VISITEURS
✓ Procédure d'accueil documentée
✓ Registre tenu à jour (papier ou numérique)
✓ Wi-Fi visiteurs séparé (VLAN guest)
✓ Accompagnement permanent dans Z2 et au-delà
USB ET PORTS
✓ Politique GPO blocage stockage USB sur postes Z3/Z4
✓ Anti BadUSB activé via EDR ou DeviceGuard
✓ Test "lost USB drop" effectué 1 fois par an
✓ Sensibilisation utilisateurs documentée
PILOTAGE
✓ Audit physique annuel planifié et budgété
✓ KPI (incidents physiques, badges désactivés à temps, etc.)
publiés trimestriellement au comité sécurité