Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Contrôle d’accès : allier sûreté et convivialité

Les demandes des entreprises sont claires : renforcer la sécurité de leurs établissements, tout en améliorant leur image de marque auprès de leurs clients.

Le contrôle d’accès a pour but de contrôler le flux des personnes au sein d’un bâtiment : les salariés mais aussi les personnes extérieures telles que les fournisseurs, les livreurs et les visiteurs. Ainsi, les espaces sensibles ne sont ouverts qu’à des utilisateurs identifiés, selon des plages horaires prédéfinies, avec un enregistrement de tous les déplacements dans un historique. « Les zones les plus protégées concernent les espaces de stockage de biens de valeur et les locaux informatiques, explique Eric Ruty, directeur général de Bodet Software, basée à Cholet (49) (CA 2014 : 28 millions d’euros). L’avantage, c’est que selon les locaux, il existe des niveaux de sûreté différents, sans que tous les accès soient bloqués à un individu. » 

Un système de contrôle d’accès assure ainsi trois fonctions primaires : l’identification et l’authentification, le traitement des données et le déverrouillage. Elles sont assurées en chaque point où le passage a besoin d’être vérifié. Dans le cas d’un système utilisant des technologies sans contact, quatre éléments interviennent : le badge, le lecteur (ou tête de lecture), l’unité de traitement local et le serveur de gestion du système.

Un marché stable et porteur. Concernant l’économie du secteur, les acteurs du contrôle d’accès sont unanimes : les affaires se portent relativement bien. Selon L’Atlas de la Sécurité de notre confrère En toute Sécurité, qui sera publié dans quelques jours, le marché du contrôle d’accès a progressé en France de 4,1% entre 2013 et 2014, passant de 1,352 milliard d’euros à 1,396 milliard d’euros. « Ce marché en France est mature, affirme Sandrine du Caurroy, directrice commerciale d’Alcea, une entreprise basée à Marcoussis (91) spécialisée dans la fabrication de systèmes de sûreté. Les grands groupes et entreprises utilisent déjà un système de contrôle d’accès depuis une dizaine d’années. Pourtant, le secteur reste progressif car toujours en mutation. Les grandes entités renouvellent leur matériel dans un but de modernisation, en fonction de l’avancée des technologies ou de la demande des clients, tandis que les petites entreprises sautent le pas et commencent à s’équiper. »

Le marché est ainsi en croissance de 5 à 10% par an depuis plusieurs années. Mais il est aussi très concurrentiel. « Le contrôle d’accès est relativement jeune puisqu’il existe depuis une petite trentaine d’années, précise Maeyke Gielen, responsable marketing d’Honeywell Security. Il est perçu comme une perfection du système d’alarme et se comporte comme celui de l’intrusion. Les évolutions des systèmes sont relativement lentes par rapport à la vidéosurveillance, perpétuellement en mutation. »

Il évolue pourtant à son rythme, et Maeyke Gielen a perçu la tendance évidente en matière de contrôle d’accès : la mutation du matériel vers l’immatériel. Ainsi Honeywell Security développe-t-il son service Cloud. « La gestion et le stockage des données de sécurité se doivent d’être virtuels. L’utilisateur qui dispose aujourd’hui d’un code ou d’un badge n’aura plus demain qu’à présenter son téléphone portable devant le lecteur. »
Sur ce terrain, les solutions se multiplient. Citons ainsi le système HID Mobile Access qui permet à chacun de recevoir sur son smartphone, sa tablette ou sa montre connectée iOS ou Android une carte d’identification virtuelle. Autrement dit, c’est un véritable badge de contrôle d’accès sur terminal mobile. Les applications de cette offre lancée par HID Global, une marque d’Assa Abloy, sont multiples. Ainsi, dans l’hôtellerie, les clients pourront-ils recevoir la clé de leur chambre sur leur smartphone. Dans les entreprises, la carte d’identification virtuelle peut être délivrée, ne serait-ce que temporairement, à un nouveau collaborateur, un travailleur temporaire, un stagiaire, un sous-traitant, un prestataire extérieur et même un collaborateur ayant oublié son badge. Bref, la dématérialisation du contrôle d’accès simplifie la vie sans abandonner, pour des applications non critiques, la sécurité.

La sécurité, mais pas que. Autre grande application du contrôle d’accès : l’intégration de différentes solutions de sécurité pour optimiser les ressources humaines et informatiques d’une entreprise. La gestion des temps est l’une des spécificités de Bodet Software. « Nous avons mis au point un module complet de gestion des visiteurs, explique le directeur général. Nous gérons les identités, prévenons par SMS qu’un visiteur est arrivé, installons des bornes tactiles dans des entrepôts où il n’y a pas de personnel. Pour les complexes sportifs, nous avons également établi une solution spécifique de gestion du planning d’utilisation et d’accès aux salles. » 

Car les professionnels se plient aux demandes de ce type, croissantes de la part de leurs clients. Alcea concentre ainsi une grosse majorité de ses investissements en recherche et développement sur la partie informatique et vient de développer de nouveaux services web. De fait, parmi les nouveauté du module de gestion des visiteurs, Alcea a intégré à Alwin, son logiciel de gestion globale de la sécurité, un circuit de validation des visites pré-annoncées, la délégation de service pour autoriser les personnes tierces à saisir les demandes de visite, un suivi complet des visiteurs (saisie de la plaque minéralogique et du type de véhicule…), la gestion des événements (séminaires, formation…), l’envoi automatique d’informations aux visiteurs (plan d’accès, code Wifi). Les nouvelles fonctionnalités portent également sur la gestion de l’accueil lors de la visite : avertissement des arrivés par envoi de SMS ou email, connexion à des scanners de cartes d’identité, de cartes de visite, gestion des accès temporaires (badges perdus ou oubliés…), listes de profils particuliers (VIP, indésirables…), édition de titres d’accès multi-technologie (Badges RFID, code-barres 2D, QR Code, Code PIN…)…

La solution de contrôle d'accès WinPack.
© Honeywell Security
La solution de contrôle d’accès WinPack.
© Honeywell Security

Bornes d’accueil des visiteurs. A côté de logiciels généralistes comme Alwin d’Alcea, se développe les offres de bornes d’accueil pour la préparation des visites. En témoigne la borne iPerflex de la marque Evolynx (Secure Systems & Services) qui sera présentée à APS du 29 septembre au 1er octobre prochains au Parc des Expositions de la Porte de Versailles à Paris. Cette borne permet aux personnes ayant fait l’objet d’une pré-annonce de s’enregistrer automatiquement et de recevoir un badge ou une étiquette à coller sur son vêtement. Objectif : accéder soit directement au site soit à un guichet d’accueil rapide qui, à son tour, délivrera un badge d’accès. Ensuite, la borne est capable de reconnaître un visiteur par son passeport (elle va alors comparer le scan de son passeport avec celui qu’effectue le visiteur sur site) ou via un code préalablement transmis. L’intérêt du système, c’est d’optimiser, un peu comme dans les aéroport, les coûts d’accueil des visiteurs tout en augmentant la qualité de service par la réduction du temps d’attente. Enfin, la borne iPerflex s’intègre à un système global de contrôle d’accès, de gestion visiteur, de vidéosurveillance, de détection intrusion…

La protection des données, élément fondamental. En intégrant ces nouvelles fonctionnalités au module de gestion des visiteurs de sa solution globale de supervision, Alcea entend également renforcer la sûreté des bâtiments et valoriser l’image de marque des entreprises. « Nous évoluons dans un monde interopérable. Notre logiciel Alwin est capable de dialoguer avec des systèmes autres que celui de la sûreté », affirme la directrice commerciale d’Alcea. Tout en recherchant de plus en plus de convivialité, les entreprises n’en oublient pas pour autant la confidentialité, notamment en ce qui concerne la protection des données présentes dans le badge. L’encodage et le cryptage des données sont des éléments déterminants, afin qu’ils répondent aux recommandations de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) au sujet de la sécurité des technologies sans contact pour le contrôle des accès physiques (voir encadré). « Nous avons récemment développé une nouvelle carte d’accès : la carte MTE, qui s’appuie sur un cryptage des données selon l’algorithme public de sécurité AES (Advanced Encryption Standard) et la mise en place d’une authentification forte à partir des technologies de lecture MIFARE Plus et DESFire », précise Sandrine du Caurroy. L’objectif est ici d’éviter les copies malveillantes de badges et de sécuriser davantage l’accès aux données critiques.

La biométrie en question. L’utilisation de l’analyse morphologique (empreintes digitales, iris, réseaux veineux, paume de la main) dans le cadre du contrôle d’accès est soumise à une autorisation préalable de la Commission nationale de l’informatique et des libertés (Cnil). « Les conditions concernent la fiabilité du dispositif : est-il suffisamment sûr et précis pour qu’on ne se trompe pas de personne ? Elles se rapportent aussi à la proportionnalité du recours à la biométrie. Pour une cantine ou un cinéma par exemple, l’autorisation sera refusée. Le demandeur doit pouvoir justifier le risque sensible », détaille Etienne Drouard, avocat et ancien membre de la Cnil. La Commission considère également le type de biométrie utilisée. « La biométrie à trace est celle où l’identifiant peut être collecté et lu, y compris quand la personne n’est plus là, comme l’empreinte digitale, reprend le spécialiste. En revanche, la lecture de l’iris, l’empreinte palmaire ou le réseau veineux ne laissent pas de trace. La Cnil est toujours attentive aux mesures de sécurité qui seront prises pour éviter les reproductions d’identifiants de biométrie à trace. »

La biométrie démocratisée ? Les entreprises ne sont pas nombreuses à demander les autorisations : elles prennent du temps (deux mois renouvelables une fois en théorie, presque un an en pratique) et elles coûtent cher. Ces démarches dissuasives sont pourtant sur le point de changer. Le projet de règlement européen, finalisé d’ici la fin 2015 et en vigueur d’ici deux ans, a pour but d’harmoniser toutes les questions de protection de données. La biométrie, si elle a l’avantage de faire économiser aux entreprises le coût des badges a d’autres inconvénients. « Il s’agit d’une technologie difficile à mettre en place dans un environnement extérieur par exemple, argue Marc Juchs, PDG du groupe Sharp Line, l’un des seuls concepteurs français ayant sa propre unité de fabrication basée à Shenzhen en Chine, spécialisée dans la vidéosurveillance et le contrôle d’accès, le siège étant basé à Courtabœuf-les-Ulis (91). De plus, cette technologie ne s’applique pas à tous les individus. Par exemple, certains maçons n’ont plus d’empreintes digitales. » Sharp Line se concentre ainsi sur ses systèmes de contrôle d’accès centralisés grâce à une liaison radio ou en HUB Ethernet multi-protocoles, pour éviter tout passage de câble complémentaire. L’unité centrale communique ainsi avec les boîtiers répartis dans les bâtiments. « Le coût d’installation d’un système classique est quatre fois supérieur au prix du matériel, explique Marc Juchs. La rapidité de mise en service signifie aussi réelles économies. »


Caroline Albenois

Marc Juchs est le PDG du groupe Sharp Line
Marc Juchs est le PDG du groupe Sharp Line

Pour un système sécurisé, suivez le guide
L’Agence nationale de la sécurité de systèmes d’information (Anssi) a publié un guide qui détaille les règles élémentaires de  »l’hygiène informatique » auxquelles les systèmes de contrôle d’accès devraient se soumettre. Car les failles de sécurité affectant les technologies sans contact sont récurrentes. Ces recommandations s’adressent aux chefs de projet, aux acheteurs, aux installateurs ou intégrateurs et aux exploitants.
L’Anssi conseille en tout premier lieu d’analyser les flux de circulation des individus afin de connaître les besoins de chaque point d’accès à contrôler. « Il s’agit de répondre aux questions : Qui ? Quand ? Comment ? Combien ? Il est pour cela utile de définir les différentes catégories de personnel autorisées (personnel interne, intérimaires, prestataires de services, clients, visiteurs, etc.) ; les plages horaires ; le type de passage à contrôler (simple porte, sas, entrée de véhicules) ; les exigences de circulation particulières et contraintes spécifiques (sorties de secours) ; la quantité prévisionnelle de passages. », explique le guide.

L’Anssi recommande également de bien choisir son système de sécurité. « Les badges ne doivent avoir pour seule et unique information enregistrée qu’un numéro d’identification. Il est déconseillé d’y stocker d’autres informations. » Autre astuce : le badge doit être le plus neutre possible. Pas d’indications telles que nom et adresse de l’entreprise ou informations sur le porteur.
Concernant le logiciel installé sur le serveur de gestion, il a pour rôle de communiquer avec les têtes de lecture. Il renferme toute l’intelligence applicative. Il doit donc être doté de toutes les fonctionnalités nécessaires pour piloter le système : la centralisation des journaux d’événements (pour archivage sécurisé et consultation en temps réel), la remontée des événements au gestionnaire, la gestion des badges, des droits, des groupes, des dates d’expiration, la sauvegarde régulière de la base de données, l’authentification pour contrôler l’accès au logiciel et éventuellement la gestion de droits associée.

Commentez

Participez à la discussion

Suivez-nous