Contrôle d’accès | Quoi ? Qui ? Où ? Quand ? Ou comment mettre en place différents niveaux de sécurité

Développer un contrôle d’accès adapté, c’est rechercher un équilibre entre sécurisation des biens, des personnes, des informations et fluidité des déplacements au sein d’un site. Pour y parvenir, il faut se poser les bonnes questions.

En matière de contrôle d’accès, chaque site possède ses caractéristiques, lesquelles diffèrent en fonction des besoins, des populations concernées et du niveau de protection associé à chacune de ses zones. Comment concilier ces enjeux pour établir différents niveaux de sécurité ? Quels sont les différents paramètres à prendre en compte avant de formuler un choix technologique ? De quelles solutions dispose-t-on aujourd’hui pour faire évoluer la sécurité d’un site sans remettre une installation en cause ?

Du bâti à l’individu

Zones, périodes, flux, utilisateurs… l’appréciation de ces différents aspects est une disposition préalable au choix de toute solution de contrôle d’accès. Dans ce domaine, l’analyse d’un site est d’abord fondée sur la définition et la délimitation de zones. On en distingue couramment trois. Les zones publiques, soit tous types d’espaces publics peu ou pas asservis à un moyen de contrôle d’accès particulier (halls, espaces publics, parkings, etc.). Les zones réservées, dont l’accès est laissé à une population disposant de droits spécifiques ou encore, à des visiteurs suivant un protocole précis (accompagnement). Enfin, les zones de sécurité, qui représentent les espaces d’accès les plus restreints. Ces zones doivent être étanches dans leur structure, dans leur bâti et au niveau de leurs accès. Tenir compte des infrastructures et des équipements existants (contrôle d’accès, réseau, câblage, alimentation) fait aussi partie des considérations importantes. Il est également nécessaire de considérer l’évolution des locaux.
« En effet, indique Yves Ackermann (HID Global), par l’analyse, on se rend compte que de nombreux critères peuvent changer dans le temps et influencer l’évolution d’un système de sécurité : effectifs, extension ou transformation des locaux suite à des changements d’activités, création de parking, mais aussi cadre législatif, etc. » Après la notion de zones, la notion d’horaires est un paramètre prioritaire. Il s’agit de définir les périodes au cours desquelles les utilisateurs seront présents ou absents. Cela implique d’autres questions : en période non ouvrée, l’accueil d’un site est-il ouvert ou non ? Qui fréquente les locaux pendant cette période ? De plus, la notion de période peut avoir un impact en termes de risques : à titre d’exemple, la majeure partie des attaques dans une agence bancaire ont lieu à l’ouverture et à la fermeture. Partant de ce constat, il peut être nécessaire de renforcer la sécurité sur ces plages horaires.
Les notions de cheminement et de flux sont aussi à prendre en compte : elles déterminent la succession d’espaces à parcourir et le volume des utilisateurs qui parcourent ces espaces. « La question se pose à partir du moment où on envisage de disposer des obstacles pour contrôler les accès, précise Pascal Lenglart (Alcea). En effet, le nombre et la fréquence de passages peuvent influencer le choix d’un équipement de contrôle d’accès. »
Enfin, les utilisateurs. Visiteurs, collaborateurs, sous-traitants, dirigeants, personnels spécialisés… il faut s’attendre à ce que plusieurs populations soient amenées à fréquenter un site. Mais toutes ne sont pas dotées des mêmes droits d’accès. « Quelle est la raison de la présence d’un utilisateur dans un lieu donné, à une période donnée : c’est une question fondamentale qui va différencier, en termes d’autorisations d’accès, le visiteur du salarié, le salarié du prestataire », indique Yves Ackermann. Car dès qu’on envisage la sécurisation de nombreux accès, donc la gestion de nombreux lecteurs et utilisateurs, les choses se complexifient rapidement. Il est donc nécessaire de bien définir les attributions de chacun pour envisager un mode de contrôle d’accès pertinent.

Les profils d’utilisateurs

Jusqu’où peut-on caractériser un utilisateur ? Comment ces données permettent-elles de développer des niveaux de sécurité correspondant à chaque zone, de la plus ouverte à la plus sécurisée ? Chaque individu détenteur d’un support d’identification est défini en fonction d’un certain nombre de critères. Ces critères, des plus simples aux plus complexes, constituent son profil et déterminent ses autorisations d’accès. Mais qu’est-ce qu’un profil ? « C’est une combinatoire de droits entre du géographique, du calendaire et de l’horaire, explique Pascal Lenglart. En d’autres termes, un individu a l’autorisation de se rendre dans tel endroit, tel jour, de telle heure à telle heure. » Mais aussi, dans le cas de systèmes plus développés, ce sont son métier, une temporalité ou un événement précis, et même ses habilitations qui vont déterminer et affiner ses droits.
Autant de données supplémentaires se combinant pour constituer le « dossier » d’un individu et permettre d’élaborer des profils de plus en plus précis : « En résumé, c’est la notion de profil qui va fédérer les notions de zones, d’horaires, de déplacements. En conséquence, les différents niveaux de sécurité d’un site sont établis en fonction de la finesse de ces profils. Plus ils seront définis avec précision, plus le niveau de sécurité d’un site sera important », ajoute Yves Ackermann. En matière de gestion de profils, les approches peuvent différer d’un site à l’autre. À chacun d’attribuer des droits plus ou moins spécifiques en fonction des utilisateurs ou, au besoin, de combiner les profils pour exploiter avec davantage de souplesse les informations contenues dans une base de données, sans multiplier les contraintes d’administration à chaque évolution du système de contrôle d’accès. C’est le principe de la gestion multiprofil. Pascal Lenglart : « L’idée est, par exemple, de créer un type de profil associé à des données géographiques, un autre associé à des données métier, de façon permanente ou temporaire, etc. Et de les associer pour définir, simplement et avec précision, les autorisations de chaque utilisateur.
En résumé, la gestion multiprofil permet de faire de la combinatoire à base de “et” et de “ou”. De cette manière, tout changement dans l’organisation du système n’affectera pas l’ensemble des utilisateurs, mais simplement une partie. »

Les apports de l’informatique pour la sécurisation des données du badge
La première tendance, issue du monde informatique, permet d’étendre les capacités d’un badge en développant des structures de données indépendantes de sa technologie de puce. Par exemple, un site équipé de cartes Mifare Classic peut ainsi faire évoluer son parc de badges par l’installation d’identifiants dont la structure est sécurisée. Yves Ackermann : « La nouveauté, c’est d’utiliser des supports peu sécurisés pour accueillir une structure bien plus sécurisée et surtout, pérenne. La sécurité des informations contenues dans ces fichiers est garantie par la structure même de ces fichiers, et non plus par la sécurité physique du support, appelée à devenir obsolète. On aboutit à une solution de sécurisation totalement évolutive, par upgrade, comme n’importe quelle application informatique. » Le principe des SIO (Secure Identity Objects/objets identifiant sécurisés) *, développé par HID en contrôle d’accès, ouvre donc de nouveaux horizons.
Cette technologie permet de s’affranchir des contraintes d’un support physique en proposant une solution dématérialisée de sécurisation des identifiants. « Les bénéfices sont importants, enchaîne Yves Ackermann. Si un badge en lui-même ne coûte presque rien, le déploiement d’un parc de badges représente des frais importants : la personnalisation, l’intégration en bases de données, la remise à l’utilisateur, etc. C’est un ensemble de coûts associés qui peut revenir entre 50 et 100 euros à l’unité…
On imagine bien l’avantage de pouvoir assurer la pérennité d’un support en le dotant de possibilités d’évolution. Cette technologie possède un autre atout, car elle peut être installée sur tous types de supports : Mifare, iClass, DESFire, mais aussi téléphone portable… » Une entreprise peut ainsi conserver l’intégralité de ses badges et disposer d’un niveau de sécurité bien plus élaboré et évolutif. En parallèle, il est nécessaire de faire évoluer les lecteurs. Pour tirer le meilleur parti de cette évolution, HID vient de lancer de nouveaux lecteurs, iClass SE, capables de lire non seulement l’ensemble des technologies de puces du marché (Mifare, iClass, cartes de proximité), mais aussi NFC et bien sûr ces nouvelles structures de données sécurisées issues de la technologie SIO.

Le plus petit dénominateur commun

Quel que soit le cas de figure, la réponse technologique doit rester la plus simple possible et fédérer le maximum d’attentes. Tout d’abord, en matière de sécurité : à partir d’un certain niveau de besoins, l’équipement choisi doit permettre de déployer plusieurs niveaux de sécurité. Mais aussi en matière d’usage : le support choisi ne doit pas constituer une contrainte démesurée lors de son utilisation.
Comme le rappelle Yves Ackermann, l’un des objectifs d’un système de contrôle d’accès, « c’est de pouvoir offrir un juste équilibre entre le niveau de contraintes et le résultat en termes de convivialité ». Quel élément commun à tous les utilisateurs permet de répondre au cahier des charges ? « La réponse passe par l’analyse des niveaux de sécurité requis, mais aussi par l’analyse des critères de compatibilité et d’interopérabilité entre différents utilisateurs, entre différents sites ou encore entre différents systèmes, explique Pierre-Antoine Larrera de Morel (Stid). En effet, si une entreprise possède autant de systèmes de contrôle d’accès que de sites, il faut pouvoir apporter une réponse globale la plus harmonieuse possible. » Dans ce domaine, le badge sans contact s’est imposé comme le support le plus à même de concilier tous ces enjeux.
Selon Laurent Rouyer (Evolynx), « le badge est souvent ce plus petit dénominateur commun, enrichi de différents moyens de contraintes suivant les niveaux de sécurité recherchés. Le badge unique est une tendance à la hausse, surtout pour la gestion multisite. Il reste que de nombreux grands comptes n’ont pas encore basculé en faveur du badge unique. Pourtant, l’hétérogénéité des solutions peut entraîner de gros problèmes de compatibilité et de gestion ».

Les choix technologiques

Nombre de sites disposent à la fois de moyens électronique et mécanique pour la gestion de leurs accès. De manière assez courante, le badge fournit un moyen de filtrage par identification (et/ou authentification) en périphérie de zones réservées et/ou sécurisées, tandis que des clés gèrent les accès à l’intérieur de ces espaces. Dans un cas comme dans l’autre, les modalités d’utilisation sont variées et peuvent aboutir à des schémas d’organisation complexes. Comme l’explique Béatrice Decosse (Pollux), « un site un tant soit peu sécurisé va déployer un système de contrôle d’accès électronique pour le filtrage de l’enceinte d’un bâtiment. Une fois cette enceinte franchie, les individus présents dans les locaux ont fait valoir leur droit d’accès. C’est à ce stade qu’intervient la mise en place d’une hiérarchisation des accès au moyen d’un organigramme, reposant sur un système de clés mécaniques pour des utilisateurs reconnus et autorisés. Les deux systèmes coexistent et fonctionnent très bien ensemble. Il s’agit simplement d’organiser au mieux la succession et l’association des moyens pour tirer parti de toutes les technologies. »
En somme, il y a une logique à observer entre le moyen, l’identifiant et l’obstacle associé à chaque type d’accès. La nature de l’accès va donc également influencer le choix d’une technologie. « Au niveau des accès piétons, sur une zone d’accès courant, le lecteur de proximité est la norme la plus répandue, indique Pascal Lenglart. Pour l’accès aux zones plus restreintes, c’est l’association de technologies qui prévaut (lecteur + code, lecteur + biométrie). Au niveau d’un accès parking, pour des opérations de filtrage simples et non unitaires, on utilise une technologie haute fréquence (télécommande ou badge HF associé à un lecteur longue portée). Bien sûr, sur un site sensible, les conditions d’accès seront renforcées et nécessiteront des procédures beaucoup plus développées : pour les passagers, descente du véhicule et franchissement d’un obstacle unicitaire. Pour le conducteur, identification via un lecteur biométrique extérieur, par exemple. »

Le lecteur, équipement-clé pour la gestion des niveaux de sécurité
Les lecteurs les plus évolués du marché tendent en effet à devenir de véritables ordinateurs, capables de lire simultanément presque toutes les technologies de cartes. C’est la seconde tendance qui se dessine. Elle vise également à privilégier la mise en place d’une identification sécurisée sur tous types de cartes sans contact, indépendamment de leurs performances. En effet, la diversité des supports ne simplifie pas la diffusion d’outils et de méthodes unifiées de sécurisation. Partant de ce constat, Stid a développé plusieurs approches pour le déploiement de différents niveaux de sécurité. L’élément-clé, c’est le lecteur, capable de concilier enjeux de sécurisation et variété des technologies de badges, sans pour autant remettre en cause l’intégralité d’un système de contrôle d’accès.
« Nous pouvons maintenant offrir des solutions très performantes pour créer différents niveaux de sécurité, parfaitement exploitables sur des systèmes de contrôle d’accès classiques, indique Pierre-Antoine Larrera de Morel. Insistons bien sur ce point, car beaucoup de clients s’imaginent que dès lors qu’on aborde l’idée d’un renforcement de la sécurité, il sera nécessaire de déployer des moyens très importants. Ce n’est plus le cas : nous disposons aujourd’hui de lecteurs de badges puissants, dotés de capacités plus développées. Ils sont capables de décharger le système de nombreuses contraintes de gestion de la sécurité. »
En effet, le lecteur est devenu un équipement déterminant pour développer des technologies d’identification complexes sur des systèmes qui ne le sont pas :
« Aujourd’hui, peu de systèmes de contrôle d’accès supportent des fonctionnalités de sécurisation des communications, de gestion des clés, continue Pierre-Antoine Larrera de Morel. C’est la raison pour laquelle nous fournissons ces moyens à nos clients par le biais de nos équipements. Avec pour avantage, l’indépendance du client dans la gestion de ses badges, de l’ensemble des paramètres de lecture. » L’offre ID Secure, développée par Stid, permet donc d’envisager plusieurs configurations sécurisées entre le badge et le lecteur, intégrant une sécurisation de la communication avec le contrôleur. Sur la base d’un lecteur multitechnologie **, la solution Stid permet un large éventail de possibilités : de la lecture seule sécurisée du badge, exploitable sur la majorité des installations de contrôle d’accès sans développement particulier, à la lecture-écriture sécurisée pour des applications plus sophistiquées (en pré-requis, le système doit supporter les fonctions de sécurisation de la communication et du pilotage dynamique du lecteur).

Les degrés d’identification

Le badge sans contact autorise plusieurs degrés d’identification correspondant à autant de niveaux de sécurisation de l’identifiant au moment de la lecture. Le premier degré repose sur l’identification simple d’un numéro de série (CSN) ou d’un UID (Unique Identification). Dans une carte à mémoire (de type Mifare Classic), le CSN et l’UID ne sont pas différenciés. Ils ne sont pas non plus inscrits dans la mémoire de la puce et ne peuvent donc faire l’objet d’une sécurisation. Ce mode d’identification est de plus en plus déconseillé, du fait de sa faible résistance au piratage. Il est donc progressivement abandonné, mais peut néanmoins servir pour des besoins de sécurité réduits, à l’usage, par exemple, de visiteurs d’une zone peu sécurisée. Dans une carte à micro-contrôleur (de type DESFire ou MicroPass), le CSN peut être exploité de manière plus sécurisée, par l’activation d’une fonction « random CSN », permettant de changer le CSN à chaque lecture de la carte (notons que le CSN est nativement un dispositif de gestion de l’anticollision, et non pas d’identification).
Une autre fonction, baptisée « getUID », permet de définir un identifiant fixe, qui est quant a lui spécifiquement dédié à l’identification. Il demeure que pour une identification véritablement sécurisée, il est donc préconisé d’utiliser un identifiant programmé dans la carte. Cet identifiant, choisi, peut-être protégé par une clé de cryptage, laquelle, afin d’assurer un niveau de sécurité adéquat, devra être changée régulièrement. A un niveau supérieur, il existe plusieurs façons renforcer la sécurisation des données : en doublant les clés de cryptage par des clés d’authentification. Ou encore en ajoutant une donnée supplémentaire permettant de vérifier la validité d’un identifiant : signature, donnée biométrique, etc. C’est le processus d’authentification. Ces derniers dispositifs de sécurisation sont en général destinés à des usages spécifiques. Chacune de ces modalités peut donc contribuer à hiérarchiser les utilisateurs : logiquement, le porteur d’un badge identifié par son seul numéro de série ne bénéficiera pas des mêmes droits d’accès qu’un utilisateur dont le badge est renforcé par un dispositif de cryptage.

Solutions inventives pour une sécurité évolutive

La mise en place de différents niveaux de sécurité ou, plus simplement, le renforcement d’un système de contrôle d’accès, n’implique pas de revoir systématiquement les fondements d’une installation. « Depuis environ deux ans, note Yves Ackermann, on constate une évolution dans l’utilisation d’un parc de badges. Pour bénéficier d’un niveau de sécurité plus élevé, il n’est plus forcément nécessaire de changer la technologie du support. Aujourd’hui, on a la possibilité d’exploiter différemment un badge existant. » En effet, deux tendances donnent le ton d’une nouvelle utilisation du badge. Et elles risquent fort de libérer les usages du contrôle d’accès.

* Cette technologie est basée sur le standard ASN.1, protocole utilisé pour décrire des structures de fichiers informatiques à la structure complexe. Son but est d’obtenir la spécification de structures de données indépendantes d’un encodage lié à un support physique.
 
** Capable de lire toutes les puces de la famille Mifare : Mifare Classic/Mifare+/Mifare DESFire/DESFire EV1/Mifare Ultralight C.

Du schéma directeur
à l’organigramme : la gestion
de clés selon Pollux
Société spécialisée dans la création d’organigramme de clés, Pollux en assure également le suivi. L’entreprise est aussi fabricante de clés, de cylindres et de serrures. Béatrice Decosse, directrice générale, revient sur l’organisation des niveaux de sécurité d’un site.
« La création d’un organigramme de clés implique une analyse détaillée du contexte, des besoins et de la configuration d’un site. Ce système permet de hiérarchiser des clés ouvrant l’ensemble des portes d’un ou plusieurs bâtiments et d’y associer des utilisateurs. Différents types d’organigramme sont possibles : par service ou fonction (entreprises), par bâtiment (hôpitaux, universités, sites exposés à des évolutions structurelles), par ouverture centrale sans réciprocité (adapté aux logements collectifs). A chaque catégorie d’accès correspond un type de passe. Le type de passe attribué à une fonction ou un type d’usager définit donc ses droits. Ainsi, un passe général, ouvrant tous les accès d’un site est d’ordinaire attribué à quelques usagers ou fonctions bien déterminées : direction générale, responsables sécurité, etc. Les passes partiels, ouvrant des sous-ensembles de portes, pourront être associés, par exemple, aux utilisateurs d’un service. Enfin, les clés particulières, ouvrant un seul accès, sont attribuées aux utilisateurs disposant des droits les plus restreints. En amont de la création d’un organigramme, Pollux établit toujours un schéma directeur des accès, conjointement avec le client. Le but est d’anticiper à court, moyen et long terme la gestion des accès, en conformité avec la politique de sécurité de l’entreprise. L’enjeu consiste à trouver l’équilibre entre le niveau de sécurité souhaité et la hiérarchie des accès. Trop peu de niveaux et la sécurité sera insuffisante. Trop de niveaux et les contraintes nuiront au système. La solution déployée doit donc être simple, mais aussi tenir compte des évolutions probables de l’organigramme (extensions, création de nouveaux bâtiments). »