Anne-Isabelle Parodi (Spac) : « L’intérêt d’un protocole ouvert, c’est l’interopérabilité et l’évolutivité »

Interview d’Anne-Isabelle Parodi, secrétaire générale de l’association Spac, l’Alliance européenne de la sécurité électronique et physique qui compte une quarantaine de membres. Elle nous détaille l’intérêt du protocole Secure & Smart Communication Protocol (SSCP) qui sécurise la communication des équipements de contrôle d’accès physique et logique.

Quel est l’intérêt de SSCP ?

Selon l’Agence nationale pour la sécurité des systèmes d’information (ANSSI), le nombre de cyberattaques a quadruplé entre 2019 et 2020. Or ces attaques s’effectuent non seulement contre les systèmes d’information mais aussi contre les systèmes de sécurité électronique et physique. C’est pourquoi la société STiD a voulu mettre au point le protocole Secure & Smart Communication Protocol (SSCP). Il s’agit d’un protocole ouvert qui bénéficie de la Certification de sécurité de premier niveau (CSPN) de niveau A.VAN.3 de l’ANSSI. En europe, c’est désormais Spac, l’Alliance européenne de la sécurité électronique et physique créée en 2020, qui en assure la promotion. L’association Spac compte ainsi une quarantaine de membres. Comme Alcea, Copernic, Deister, Eden Innovations, Elsylog, Genetec, Idemia, Omnitech Securité, Salto Systems, Secure Systems & Services, STiD, Synchronic, Til Technologies ou UZ.

Quelle est la particularité de ce protocole ?

Il a été conçu pour résister aux attaques digitales « man-in-the-middle » (tentative de piratage entre le lecteur de badges, le concentrateur et le gestionnaire de contrôle d’accès) auxquelles les entreprises doivent faire face. Face à cela, SSCP est un protocole bidirectionnel standardisé qui développe une communication chiffrée avec des algorithmes AES128 bits et signée par des algorithmes HMAC. Quant à la génération des clés pour les calculs cryptographiques, elle est conforme aux recommandations américaines NIST SP800-108. SSCP est conçu). Du coup, SSCP sécurise les données transférées, les dispositifs d’accès physiques et leurs logiciels ainsi que les commandes d’instruction et les données biométriques. De plus, il a aussi été certifié CSPN par l’ANSSI en faisant partie de la cible de sécurité. Ce qui atteste de sa résistance aux attaques.

Pourquoi avoir créé un protocole ouvert ?

En effet, il existe sur le marché un grand nombre de solutions propriétaires avec des protocoles propriétaires. Ici, l’intérêt d’un standard ouvert, c’est que, même dans l’installation de contrôle d’accès, les équipements de marques différentes seront interopérables. Le client peut donc faire évoluer son installation sans devoir changer tous les équipements. De plus, l’avantage d’un protocole ouvert, c’est qu’il évolue pour s’adapter aux nouvelles menaces. À cet égard, l’ANSSI fait régulièrement évoluer son catalogue d’attaques pour les tests et les simulations.

Si les acteurs du contrôle d’accès adoptent votre protocole, doivent-ils se faire certifier ?

Oui, car ils présentent des solutions globales : lecteur, protocole de communication, concentrateur, gestionnaire de contrôle d’accès. Mais, en s’appuyant sur SSCP, ils simplifient leur travail car le protocole est déjà certifié. C’est un véritable actif ! En revanche, l’ANSSI a sorti début 2022 une modification du périmètre et de la durée de la validité de la certification CSPN. Résultat, il y a une obsolescence de la validité de la certification. La majorité des systémiers et des fabricants sont donc en cours de renouvellement de leur certification. Les premiers l’ont déjà eue.

Quels en sont les avantages ?

En France, la loi de programmation militaire (LPM) exige de sécuriser les Opérateurs d’importance vitale (OIV) avec des solutions de sécurité certifiées. Il n’y a pas le choix. Autrement, ils ne peuvent répondre aux appels d’offres. Sur ce terrain, je fais partie du groupe de travail Cybersecurity & Security à la Commission européenne qui a défini la directive NIS (Network & Information Security) qui est l’équivalent de la LPM au niveau européen. À son tour, la directive NIS définit les Opérateurs de services essentiels [Operators of Essential Services (OSE)] et fournisseurs de service numérique [Digital Service Providers (DSP)] qui, à l’instar des OIV, doivent mettre en &œuvre des solutions cyber et physiques certifiées. Tout cet ensemble vise à bâtir la souveraineté et la résilience françaises et européennes en s’appuyant sur des technologies françaises et européennes de confiance que l’on maîtrise.

Quels sont les résultats de SSCP ?

On compte une dizaine de systèmes certifiés. Mais, sans être certifiés parce que, par exemple, les fabricants ne se positionnent pas sur le marché des OIV, OSE ou DSP, ils peuvent quand même adopter le protocole SSCP afin d’offrir à leurs clients des niveaux de sécurité très élevés.

Comment ce protocole va-t-il évoluer dans le temps ?

Comme SSCP est à la fois ouvert et évolutif, certains offreurs de serrures (Deister, Salto…) ou d’imprimantes pour badge de contrôle d’accès (Evolis) ou encore d’objets connectés en profitent pour travailler dans les groupes de travail de Spac et pour rajouter de nouvelles commandes afin de communiquer avec ces nouveaux objets. D’autant que SSCP communique en TCP/IP filaire et non filaire et en USB. En ce sens, SSCP se prête à une évolution vers le Smart Building – nous proposons d’ailleurs une adhésion croisée avec la Smart Building Alliance (SBA) – et la Smart & Safe City.

Propos recueillis par Erick Haehnsen