Projet de contrôle d’accès : anticiper l’administration du système
Pour choisir la solution correspondant aux besoins opérationnels de l’entreprise, il faut imaginer la vie du système. Voici, pour le responsable sécurité, une série de questions à se poser en amont et de pièges à éviter.
- Ne pas confondre administrateurs et usagers du système. Le responsable sécurité est un administrateur du système de contrôle d’accès. Les ressources humaines peuvent aussi l’être, tout comme l’agent de sécurité ou d’accueil. Il faut prévoir leur utilisation du système, leur action sur la base de données. À chaque administrateur correspond une session, des droits, la possibilité ou non de créer une fiche, de déléguer des droits… Certains privilèges peuvent être limités dans le temps ou obtenu uniquement après délégation (révocable, si besoin).
- Les prestataires extérieurs. Ils doivent avoir des droits limités sur le système. Si l’agent de sécurité appartient à une entreprise prestataire, il faut prévoir que les identifiants et les codes d’accès soient partagés. Est-ce acceptable avec le niveau de sécurité envisagé ?
- Le logiciel. Il faut se questionner sur le coût des licences, la limitation de création de badges ou d’utilisateurs… et vérifier la compatibilité des architectures et les ouvertures vers d’autres logiciels ou d’autres serveurs. Créer des liens vers d’autres bases de données ou vers d’autres serveurs peut créer une faille dans la sécurité du système. Il est conseillé de bien étudier l’implémentation avec le RSSI et le DSI.
- La base de données. Sur les gros systèmes à base de données centralisée, il est important de s’assurer que le contrôle d’accès local puisse être autonome en cas de coupure (réseau ou alimentation). Il faut aussi se demander qui saisit et donne les droits dans la base ? Combien de temps cela prendra-t-il ?
- Enrôlement (inscription dans la base). Lorsqu’un usager est entré pour la première fois dans la base, doit-il fournir une photo ? Doit-il être pris en photo ? Qui est en charge de l’enrôlement ? Qu’est-ce qui est recueilli (photo, empreinte, frappe de clavier) ? Que se passe-t-il si le salarié refuse l’enrôlement ? Comment vérifie-t-on que l’enrôlement est effectif ? À quel moment les différents lecteurs auront-ils pris en compte le nouvel usager dans la base de données ?
- Sortie définitive. Il faut connaître également les intervalles de réplication et de rafraîchissement des bases. La sortie définitive de la base de données doit être envisagée. Si un intérimaire termine sa mission à 12 h, peut-il accéder aux locaux à 14 h ? Le rythme de rafraîchissement doit correspondre aux contraintes d’exploitation. Un salarié quitte définitivement l’entreprise, son badge est désactivé et rendu. À qui ? Doit-on supprimer sa fiche de la base de données ? Une copie doit-elle être conservée ?
- Les régulateurs. Qu’il s’agisse de la Cnil, des pouvoirs publics, de l’Inspection du travail, des secours, le système doit être en conformité avec la réglementation et, au-delà, avec les bonnes pratiques.
- Perte et oubli. Que se passe-t-il si un salarié perd son badge ? S’il perd souvent son badge, faut-il prévoir une sanction ou bien le paiement du badge au bout d’un certain nombre d’oublis ? Des procédures doivent avoir été mises en place sur ce sujet.
- Sécurité incendie. Il faut s’assurer que les matériels retenus (portique, tourniquet, etc.) sont bien compatibles et certifiés pour l’utilisation prévue dans l’établissement (s’agit-il de DAS – dispositif actionné de sécurité ?). Il serait dommage de mettre un portique sécurisé et d’ajouter sur le côté une simple porte avec une barre anti-panique pour respecter le règlement ERP.
- Sécurité mécanique. Le matériel doit être adapté au nombre de passages et l’entretien et la maintenance prévus en conséquence.
- Performance. Mettre en place des indicateurs de suivi (critères de temps d’accès, volume de passages, défaillances, taux de faux rejet, taux de fausses erreurs…) permettra, en lien avec l’installateur et le constructeur, d’améliorer l’efficacité du système. Ces statistiques pourront également être présentées à la direction comme preuve d’efficacité et servir de comparatif, si par exemple une nouvelle installation est nécessaire. L’objectif aussi est d’être vigilant à la fréquence des tâches répétitives et des dysfonctionnements. Il faut par exemple pouvoir gérer les pics, l’accueil des nouveaux arrivants, sans retarder la prise de poste.
- Maintenance. Il est conseillé de faire mentionner au contrat de maintenance la fréquence des visites de vérification périodique, la nature des opérations effectuées et le délai maximal d’intervention en cas de panne ou de dérangement. Certaines opérations de vérifications et d’entretien doivent être prises en charge directement par les services d’entretien de l’exploitant. Il s’agit, par exemple, de prévoir la possibilité de remplacer quotidiennement les éléments du système de contrôle d’accès qui ont un fort taux d’usure (réserve de pièces détachées, notamment pour les mécanismes de verrouillage, les ferme-portes automatiques, les badges, etc.).
Article extrait du n° 590 de Face au Risque : « Contrôle d’accès, mener son projet » (mars 2023).
Gaëlle Carcaly – Journaliste
Les plus lus…
Le bureau d’analyse des risques et des pollutions industrielles (Barpi) a publié un nouveau flash Aria dédié aux travaux par…
La roue de Deming est une méthode d’amélioration continue symbolisée par une roue progressant sur une pente dans un…
Alors que les entreprises devant contrôler l’identité de leurs clients font évoluer leurs méthodes de vérification, les fraudeurs s’adaptent et…
Lancée le 17 décembre, la plateforme 17Cyber ambitionne de devenir le nouveau réflexe pour les victimes de cybermalveillance en France.…
L’intelligence artificielle connait une dynamique importante en termes d’implémentation, notamment depuis l’arrivée des « modèles de langages conversationnels ». Elle…
La directive (UE) 2024/3019 du Parlement européen et du Conseil du 27 novembre 2024 relative au traitement des eaux…