1. L'accès est-il vraiment restreint ?
La salle serveur (ou le placard technique) doit être accessible uniquement aux personnes ayant un besoin métier. Concrètement :
- Serrure fonctionnelle (idéalement à badge ou code, pas une clé en cuivre).
- Liste à jour des personnes autorisées (typiquement : dirigeant, IT, prestataire IT — pas plus).
- Procédure de retrait d'accès quand quelqu'un quitte l'entreprise.
Test à faire : le stagiaire de 19 ans peut-il entrer dans la salle serveur ? La femme de ménage ? Si la réponse est oui, c'est un trou.
2. Y a-t-il une vidéosurveillance ?
Au minimum, une caméra qui filme la porte d'entrée de la salle serveur, avec enregistrement local 30 jours. Pas pour pister vos collaborateurs — pour avoir une trace en cas d'incident. Coût : 200 € pour une caméra IP correcte avec NVR.
Attention RGPD : information par affichage à l'entrée, pas de filmage des postes de travail individuels.
3. Les serveurs sont-ils dans une baie fermée à clé ?
Une baie 19" avec porte fermée à clé évite les manipulations opportunistes. Sur un serveur ouvert, un attaquant physique peut :
- Brancher une clé USB d'attaque (BadUSB, Rubber Ducky).
- Démonter un disque dur en 5 minutes.
- Forcer un redémarrage et démarrer sur un live-USB pour bypasser le mot de passe.
La baie verrouillée n'empêche pas tout, mais elle force l'attaquant à un effort visible.
4. Les prises ethernet murales sont-elles patchées ?
Dans la majorité des PME, on trouve des prises ethernet « actives » (patchées) dans les salles de réunion, l'accueil, parfois même dans les couloirs. Un visiteur peut s'y brancher avec un mini-PC et accéder au LAN.
Règle : aucune prise n'est patchée par défaut. On patche à la demande, pour des postes connus, idéalement avec authentification 802.1X.
Test simple à faire : brancher un ordinateur portable sur une prise murale d'une salle de réunion. Si ça obtient une IP du LAN, c'est un problème.
5. Un onduleur (UPS) protège-t-il les serveurs ?
Une coupure brutale d'alimentation peut corrompre l'AD, les bases de données, les sauvegardes en cours. Un onduleur de 1 500 VA (~250 €) donne 15-30 minutes d'autonomie pour fermer proprement les serveurs.
Vérifier : onduleur en place, batterie testée moins d'un an, signal d'alerte connecté aux serveurs (logiciel APC PowerChute ou équivalent).
6. La climatisation est-elle adaptée ?
Un serveur tourne idéalement entre 18 et 25 °C. Au-dessus de 28-30 °C en continu, les composants s'usent prématurément, les disques tombent plus vite. Une PME en bassin grenoblois ou alpin avec un local serveur en plein soleil l'été peut atteindre 35 °C facilement.
Solution : split de climatisation dédié (1 500-3 000 €), thermomètre IoT avec alerte mail si dépassement. Ne pas mettre le serveur dans un placard sans aération.
7. Les écrans visibles depuis l'extérieur ?
Audit physique classique : depuis la rue, depuis l'accueil, depuis les zones communes — peut-on lire un écran de bureau, un agenda, une saisie de mot de passe ?
Solutions : orientation des bureaux, films de confidentialité (filtres polarisants, ~50 €/écran), verrouillage automatique de session après 5 minutes d'inactivité.
8. Imprimantes et photocopieurs sont-ils protégés ?
Les imprimantes réseau modernes ont un disque dur qui conserve une copie de chaque document imprimé/scanné. Une imprimante volée = des mois de documents confidentiels accessibles. Vérifier :
- Mot de passe admin imprimante changé (jamais le mot de passe par défaut).
- Chiffrement du disque interne activé si l'imprimante le supporte.
- Procédure d'effacement du disque avant retour de location.
- Imprimante non accessible depuis Internet (jamais).
À retenir
Ce que Scryptoura fait pour vous
L'audit physique est notre différenciateur fort par rapport aux cabinets cyber qui ne regardent que le logiciel. Le Diagnostic Découverte inclut systématiquement une visite physique de vos locaux et identifie les écarts en 30-45 minutes.