Projet de contrôle d’accès : anticiper l’administration du système
Pour choisir la solution correspondant aux besoins opérationnels de l’entreprise, il faut imaginer la vie du système. Voici, pour le responsable sécurité, une série de questions à se poser en amont et de pièges à éviter.
- Ne pas confondre administrateurs et usagers du système. Le responsable sécurité est un administrateur du système de contrôle d’accès. Les ressources humaines peuvent aussi l’être, tout comme l’agent de sécurité ou d’accueil. Il faut prévoir leur utilisation du système, leur action sur la base de données. À chaque administrateur correspond une session, des droits, la possibilité ou non de créer une fiche, de déléguer des droits… Certains privilèges peuvent être limités dans le temps ou obtenu uniquement après délégation (révocable, si besoin).
- Les prestataires extérieurs. Ils doivent avoir des droits limités sur le système. Si l’agent de sécurité appartient à une entreprise prestataire, il faut prévoir que les identifiants et les codes d’accès soient partagés. Est-ce acceptable avec le niveau de sécurité envisagé ?
- Le logiciel. Il faut se questionner sur le coût des licences, la limitation de création de badges ou d’utilisateurs… et vérifier la compatibilité des architectures et les ouvertures vers d’autres logiciels ou d’autres serveurs. Créer des liens vers d’autres bases de données ou vers d’autres serveurs peut créer une faille dans la sécurité du système. Il est conseillé de bien étudier l’implémentation avec le RSSI et le DSI.
- La base de données. Sur les gros systèmes à base de données centralisée, il est important de s’assurer que le contrôle d’accès local puisse être autonome en cas de coupure (réseau ou alimentation). Il faut aussi se demander qui saisit et donne les droits dans la base ? Combien de temps cela prendra-t-il ?
- Enrôlement (inscription dans la base). Lorsqu’un usager est entré pour la première fois dans la base, doit-il fournir une photo ? Doit-il être pris en photo ? Qui est en charge de l’enrôlement ? Qu’est-ce qui est recueilli (photo, empreinte, frappe de clavier) ? Que se passe-t-il si le salarié refuse l’enrôlement ? Comment vérifie-t-on que l’enrôlement est effectif ? À quel moment les différents lecteurs auront-ils pris en compte le nouvel usager dans la base de données ?
- Sortie définitive. Il faut connaître également les intervalles de réplication et de rafraîchissement des bases. La sortie définitive de la base de données doit être envisagée. Si un intérimaire termine sa mission à 12 h, peut-il accéder aux locaux à 14 h ? Le rythme de rafraîchissement doit correspondre aux contraintes d’exploitation. Un salarié quitte définitivement l’entreprise, son badge est désactivé et rendu. À qui ? Doit-on supprimer sa fiche de la base de données ? Une copie doit-elle être conservée ?
- Les régulateurs. Qu’il s’agisse de la Cnil, des pouvoirs publics, de l’Inspection du travail, des secours, le système doit être en conformité avec la réglementation et, au-delà, avec les bonnes pratiques.
- Perte et oubli. Que se passe-t-il si un salarié perd son badge ? S’il perd souvent son badge, faut-il prévoir une sanction ou bien le paiement du badge au bout d’un certain nombre d’oublis ? Des procédures doivent avoir été mises en place sur ce sujet.
- Sécurité incendie. Il faut s’assurer que les matériels retenus (portique, tourniquet, etc.) sont bien compatibles et certifiés pour l’utilisation prévue dans l’établissement (s’agit-il de DAS – dispositif actionné de sécurité ?). Il serait dommage de mettre un portique sécurisé et d’ajouter sur le côté une simple porte avec une barre anti-panique pour respecter le règlement ERP.
- Sécurité mécanique. Le matériel doit être adapté au nombre de passages et l’entretien et la maintenance prévus en conséquence.
- Performance. Mettre en place des indicateurs de suivi (critères de temps d’accès, volume de passages, défaillances, taux de faux rejet, taux de fausses erreurs…) permettra, en lien avec l’installateur et le constructeur, d’améliorer l’efficacité du système. Ces statistiques pourront également être présentées à la direction comme preuve d’efficacité et servir de comparatif, si par exemple une nouvelle installation est nécessaire. L’objectif aussi est d’être vigilant à la fréquence des tâches répétitives et des dysfonctionnements. Il faut par exemple pouvoir gérer les pics, l’accueil des nouveaux arrivants, sans retarder la prise de poste.
- Maintenance. Il est conseillé de faire mentionner au contrat de maintenance la fréquence des visites de vérification périodique, la nature des opérations effectuées et le délai maximal d’intervention en cas de panne ou de dérangement. Certaines opérations de vérifications et d’entretien doivent être prises en charge directement par les services d’entretien de l’exploitant. Il s’agit, par exemple, de prévoir la possibilité de remplacer quotidiennement les éléments du système de contrôle d’accès qui ont un fort taux d’usure (réserve de pièces détachées, notamment pour les mécanismes de verrouillage, les ferme-portes automatiques, les badges, etc.).
Article extrait du n° 590 de Face au Risque : « Contrôle d’accès, mener son projet » (mars 2023).
Gaëlle Carcaly – Journaliste
Les plus lus…
Dans le cadre de la loi « Industrie verte », la réforme de l’autorisation environnementale oblige à une nouvelle procédure…
Dans un avis et un rapport publiés le 18 juin 2024, l'Anses préconise de reconnaître “les travaux exposant aux émissions…
Les textes réglementaires relatifs aux ICPE qui exigent la formation du personnel à la manipulation des extincteurs ne précisent…
Visant à primer les meilleures innovations en matière de sécurité - sûreté, la 18e édition de la « Nuit…
Euralarm a publié un nouveau guide sur l'influence des débits d'air élevés et du confinement des allées chaudes/froides sur la…
Le règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, établissant des règles relatives à l'application de…