Contrôle d’accès : les nouveaux enjeux
En matière de contrôle d’accès, de nouvelles tendances émergent : dématérialisation des systèmes, migration des données vers le cloud, intégration avec d’autres systèmes… Les technologies et les usages évoluent, impliquant de nouveaux enjeux et nécessitant à terme de nouvelles règles.
Smartphone et sans contact
L’amélioration des protocoles de communication entre le téléphone mobile et le lecteur, évoluant du Near field communication (NFC) au Bluetooth low energy (BLE), a favorisé l’émergence de l’identification par smartphone. Et la crise sanitaire liée au Covid a aussi accéléré l’usage des technologies sans contact. Bien que l’usage du Bluetooth ne soit pas certifié par l’Anssi pour l’accès à des zones de haute sécurité, le téléphone mobile offre différentes couches de sécurité par rapport à un badge classique : accès au téléphone, accès à l’application de gestion du badge virtuel, cryptage des diverses informations échangées. Le badge virtuel embarqué dans le smartphone, ou le
flashage d’un QR-code, facilite l’administration du contrôle d’accès : simplicité d’activation/désactivation du badge, gestion à distance et en temps réel, coût réduit par rapport à une flotte de badges physiques…
Solutions sans fil
L’utilisation de technologies obsolètes peut engendrer des failles de sécurité. La mise à niveau ou l’évolution d’un système de contrôle d’accès est facilitée par la généralisation des technologies sans fil. Aujourd’hui, tant les lecteurs
que les équipements autrefois purement mécaniques (serrures, béquilles, cylindres électroniques) sont dispensés du raccordement à un réseau filaire. Les composants du contrôle d’accès deviennent donc des objets connectés. L’avantage réside dans la facilité d’installation et la complémentarité de ces composants connectés. Un même lecteur est capable de lire un badge physique ou virtuel. Une serrure connectée allie généralement un verrouillage mécanique et électronique. Les risques portent sur la sécurisation physique et logique de ces produits de l’IoT, notamment dans les protocoles de communication avec l’unité de traitement.
Infrastructures et entités critiques
À la suite du sabotage des gazoducs sous-marins Nord Stream en septembre 2022, plusieurs institutions (Union européenne, Otan) ont exprimé la volonté de renforcer la sécurité des infrastructures critiques. Il s’agit notamment de parer plus efficacement aux risques d’attaques malveillantes (terrorisme, cyberattaques…). De nouvelles règles devraient concerner onze secteurs
essentiels (énergie, transports, infrastructures numériques, eau, alimentation, santé…) afin d’augmenter leur protection. L’environnement et les composants physiques des infrastructures numériques sont notamment cités. Cette volonté s’est traduite par la directive sur la résilience des entités critiques, adoptée au Parlement européen en novembre 2022. Elle vient en complément de la directive NIS2, destinée à passer une étape supérieure en matière de cybersécurité, qui entrera en vigueur au plus tard fin 2024.
Gestion dans le cloud
Autrefois stockées dans un serveur local, les données liées aux identifiants migrent vers le cloud. Tandis que les logiciels de gestion des identités et des droits s’invitent sur des plateformes en ligne. L’essor des badges virtuels a accompagné cette tendance. L’administration en ligne du système de contrôle
d’accès est simplifiée, elle peut se faire à partir d’un smartphone, d’une tablette ou d’un ordinateur : les pertes et les renouvellements de badges, l’édition et l’attribution de droits peuvent s’opérer ponctuellement, selon des zones qui peuvent être définies en temps réel. Flexibilité et souplesse sont les maîtres-mots des nouvelles solutions, qui accompagnent l’usage hybride des bâtiments (sous-traitance, local privé au sein d’un ERP, espaces de coworking…). De l’intégrateur au prestataire délivrant la solution, les nouveaux environnements exigent d’être sécurisés, la solution cloud devant notamment être conforme aux normes de cybersécurité et du RGPD.
Technologies interactives
L’externalisation de la gestion des identifications vers les plateformes en ligne et la migration des données vers le cloud a favorisé la centralisation et la complémentarité des solutions de sécurité entre elles, au travers de la supervision. Il est aujourd’hui possible de cumuler au sein d’un même système
de contrôle d’accès les lecteurs de badges (physiques et virtuels), les lecteurs de codes PIN, des dispositifs biométriques et des lecteurs de plaques d’immatriculation. Mais il est aussi possible de combiner le système de contrôle d’accès avec les systèmes anti-intrusion, la vidéosurveillance, l’interphonie, le comptage, la gestion des alarmes… Toutes ces solutions de sécurité-sûreté sont intégrées dans un environnement unique, qui assure une traçabilité et un pilotage à distance des fonctions essentielles. La supervision, outil idéal pour une sécurité globale ?
Protocole SSCP et certification
Créée en février 2020 à l’initiative du groupe français STid, l’alliance Spac a pour objectif de fédérer les acteurs du contrôle d’accès autour de solutions certifiées et construites selon des standards européens. L’organisation milite pour la mise en oeuvre de l’European CyberAct, avec de nouveaux schémas de
certification. Elle œuvre également pour que les industriels conçoivent des technologies en accord avec la directive NIS et le RGPD au niveau européen, et satisfaisant les règles édictées en France par la loi de programmation militaire et la Cnil. Spac soutient également l’émergence du protocole SSCP (Smart & Secure Communication Protocol), conforme aux recommandations de l’Anssi (certification de sécurité de premier niveau), qui sécurise la communication des équipements de contrôle d’accès. L’intérêt pour les acteurs est que ce protocole est ouvert, non basé sur une solution propriétaire, ce qui le rend interopérable avec d’autres équipements.
Article extrait du n° 590 de Face au Risque : « Contrôle d’accès, mener son projet » (mars 2023).
Bernard Jaguenaud – Rédacteur en chef
Les plus lus…
L'arrêté du 4 novembre 2024 relatif aux meilleures techniques disponibles (MTD) - applicables aux installations du secteur de la…
Le risque est-il singulier, pluriel ou les deux ? Plusieurs approches existent pour évaluer les risques, les quantifier et les…
Un décret portant application de l'article 40 de la loi n° 2023-175 du 10 mars 2023 relative à l'accélération…
Au cours de la vie professionnelle, les travailleurs peuvent être victimes d’un accident. Dans ce cas, des démarches doivent être…
Cette fiche réflexe a été créée dans un contexte où la menace drone est trop souvent ignorée, et où…
La société Rolland, spécialisée dans la conception et la fabrication de sprinkleurs pour les réseaux de protection incendie, obtient…