Sécuriser un site sensible contre les intrusions

Une faille dans la sécurité d'un site sensible peut avoir de lourdes conséquences, écologiques, économiques et/ou sur la santé publique. Il est donc nécessaire de penser, dans le moindre détail, chaque étape de la sécurisation de son « infrastructure critique » afin d'en garantir une protection optimale. Passage en revue des grands principes de base à respecter.

20-22 septembre | Paris-Porte de Versailles | Salon APS 2011
Obtenir son badge gratuitement

Vol d’informations ou de matériel, destruction ou altération des produits stockés… toute entreprise cherche à se prémunir contre ces risques. Mais lorsqu’il s’agit d’un site sensible, les conséquences de ces actes vont au-delà de la survie économique du seul site concerné. Les lieux pouvant prétendre à cette classification d’« infrastructure critique » abritent, en effet, des activités liées au stockage d’explosifs ou de produits chimiques, à l’approvisionnement en eau, à la transmission d’électricité, aux données bancaires, aux télécommunications… La motivation d’une intrusion dans de tels lieux repose donc, généralement, sur une volonté de nuire à l’économie d’un pays et/ou à sa population. L’attention et l’investissement portés à la sécurisation de sites sensibles seront donc d’autant plus forts qu’ils concernent les points névralgiques d’un Etat, que cela soit dans le domaine économique, financier, écologique ou de santé publique. La localisation de ces installations est d’ailleurs tenue secrète. Mais comme a pu le démontrer la publication d’une liste des infrastructures sensibles à travers le monde par le site Internet WikiLeaks en décembre dernier, aucune n’est à l’abri d’une révélation de ces informations. Les investissements pour leur protection contre les intrusions sont donc souvent plus importants que sur tout autre segment du marché. Selon la nouvelle activité de Siemens en France, Siemens Security Solutions (SES), qui propose des solutions logicielles dédiées à ce type d’activité, sur un marché de la sûreté de 1,6 milliard d’euros en France, 76,5 millions concerneraient les sites sensibles.

Afin d’optimiser la sécurité de tels lieux, les professionnels du secteur préconisent avant tout de respecter scrupuleusement plusieurs étapes, à commencer par un diagnostic précis. « Il doit être le plus large possible », assure Pascal Loiseau, directeur des ventes de l’activité sûreté chez SES.

Cette première phase doit servir à évaluer les risques, « et à les analyser afin de déterminer les systèmes de sécurité qui s’adaptent le mieux aux sites sensibles », explique Francis Serrano, directeur marketing et développement stratégique chez Securitas Alert Services, spécialisé dans la télésurveillance.
La seconde étape concerne la conception du système adéquat : quels seront les moyens humains mis en place, quels moyens techniques seront nécessaires, leur quantité et quel interfaçage devra être mis en œuvre. Chaque site, n’étant pas confronté aux mêmes contraintes, répondra à ces problématiques de façon différente.

« L’implication de la direction générale est évidemment essentielle, mais il ne faut pas oublier de communiquer auprès de l’ensemble du personnel, pour l’impliquer dans la démarche, rappelle Francis Serrano. Chaque membre de l’entreprise, même s’il ne connaît pas tous les détails pour des raisons de sécurité, doit être un veilleur pour signaler toute défaillance du système, dans l’intérêt et la protection du produit du travail et du personnel lui-même. »

Lors de la conception du système, et avant sa mise en œuvre, « il faut également prévoir un plan de sécurité », ajoute Jean-Loup Périnel, directeur d’Epsilon Consultants, experts en sécurité et sûreté. « En effet, si le risque se réalise malgré les systèmes mis en place, la continuité de l’activité doit pouvoir être assurée. » La dernière étape, après la mise en place du matériel, est également fondamentale puisqu’elle porte sur l’usage du système. Sans une bonne exploitation du matériel, le niveau de sécurité ne pourra pas être optimal. Voilà pourquoi, alors que se dessine l’ébauche d’une solution de sécurité, Pascal Loiseau propose à ses clients de visiter des sites déjà sécurisés, et avec des problématiques proches de celles rencontrées par l’entreprise.

Les erreurs à ne surtout pas commettre

Ne pas mettre suffisamment de moyens

Selon Maeyke Gielen, marketing manager à la division « intrusion » de Honeywell, « la sécurisation d’un site sensible est souvent un processus long, fastidieux et coûteux mais ne pas prendre le temps nécessaire et/ou pas avec les bonnes personnes, constitue un danger à terme ».

Considérer le matériel comme une finalité

Jean-Loup Périnel, directeur de la société de conseil Epsilon Consultants insiste sur la nécessaire réflexion en amont et sur le fait que « cette réflexion ne doit pas porter uniquement sur le moyen matériel, qui est un outil et seulement un outil. L’humain et l’organisation doivent faire partie du plan ».

Privilégier la technologie plutôt que la fonctionnalité et le système

« La qualité du produit est importante mais la technologie doit être au service des besoins », rappelle Fabien Haubert, responsable des ventes pour le Moyen-Orient et l’Afrique, chez Optelecom-NKF. « Le danger est alors de croire que le système dans son ensemble n’est qu’une addition de produits. »

Ne prendre en compte que le rapport qualité-prix à court terme

« Lorsqu’il s’agit de système de protection de sites sensibles, il est important de prendre en compte le TCO (Total Cost of Ownership), explique Fabien Haubert. Le véritable coût du système se mesure, en effet, à plus long terme, en prenant en compte les dépenses de maintenance, de mise à jour, de remplacement, etc. » Le mauvais raisonnement serait donc de privilégier une solution qui paraît moins cher sur le moment, mais s’avère coûteuse à plus ou moins long terme…

Considérer ces systèmes de sécurité comme des systèmes classiques reproductibles

 « Chaque site sensible est unique, prévient Fabien Haubert. Il y a des fondamentaux mais toute la réflexion doit être reprise à zéro. Le copier-coller ne doit pas exister dans ces cas-là ! »

Les grands principes

Au fil de ces différentes étapes, et particulièrement lorsqu’il s’agit d’infrastructures critiques, « il faut savoir réfléchir en termes de système et non plus en termes de produit, assure Fabien Haubert, responsable des ventes pour le Moyen-Orient et l’Afrique chez Optelecom-NKF, qui fait désormais partie du groupe industriel néerlandais TKH. Certes la qualité du matériel est essentielle car il faut pouvoir identifier l’intrus ou le véhicule, les tracer, comprendre ce qui est en train de se dérouler… mais pour obtenir une information exploitable, il faut avant tout avoir choisir les systèmes en fonction des besoins, préalablement identifiés. »

Par exemple, lorsqu’il s’agit de sites pétroliers, classés « sensibles » par les autorités, le matériel doit pouvoir résister aux hydrocarbures mais aussi à des écarts de température extrêmes, puisque ces sites sont souvent localisés dans des pays du Moyen-Orient où le thermomètre varie énormément.

Selon cet expert, le système de sécurité doit également être fiable et disponible. Cela signifie qu’une redondance du matériel est nécessaire. Toutes les zones doivent être couvertes et le « mean time to repare », soit le temps pour résoudre une anomalie dans le système, doit être proche de zéro. Une redondance des images est également essentielle, avec leur enregistrement à la fois dans les caméras et dans un PC central, au cas où l’un d’entre eux serait endommagé. Ce conseil vient du constat, a posteriori, que certaines zones, que l’on pensait surveillées, sont en réalité mal couvertes, voire pas couvertes du tout, par le capteur qui y a été placé. Or, de telles failles dans la sécurité reviennent à annihiler tous les efforts faits pour la sécurité du site car, selon le principe physique, la solidité d’une chaîne est celle de son maillon le plus faible…

D’autre part, si la redondance du matériel est primordiale, sa diversité n’en est pas moindre : détecteurs de présence, caméras (certaines pouvant être seulement pour la dissuasion), barrières de sécurité, etc. Un site ne pourra pas être équipé uniquement d’un seul type de matériel, d’abord parce que le système de sécurité a à détecter différents éléments comme une présence, une coupure d’électricité ou un changement inhabituel dans des températures, qui peuvent être le signe d’une intrusion, mais aussi parce qu’un seul événement ne doit pas pouvoir mettre en indisponibilité l’ensemble du système. Par exemple, si une température extrême endommage un type de caméras, d’autres doivent être en mesure d’y résister pour continuer à assurer la protection du site.

Définir les zones de risques

Pour autant, Maeyke Gielen, marketing manager à la division intrusion de Honeywell Security Group, met en avant un grand principe : aucun site ne peut résister à l’intrusion. « Cette dernière doit donc être détectée le plus vite possible et le plus loin de ce qu’il y a à protéger, afin de permettre une intervention efficace. » Cette responsable estime qu’en matière de sécurité, quelque soit le niveau de sensibilité du site, il y a trois zones de protection à assurer : périphérique, périmétrique et intérieure. « Lorsqu’il s’agit d’infrastructures critiques, la détermination du volume de la zone périphérique est essentielle », explique-t-elle. Et dans cette zone, plusieurs aspects, qui peuvent changer au fil du temps, sont à prendre en compte comme l’environnement immédiat du site, la météo, le terrain, les arbres, les chocs, les inondations possibles…

« En tant que fournisseur de matériel de sécurité, nous devons proposer des systèmes pouvant gérer ces évolutions et changements. » Outre la technologie, une sécurité optimale ne peut se faire sans la mise en place de moyens humains avec « une bonne organisation, des consignes et des procédures, pour faire fonctionner les deux ensemble », conseille Jean-Loup Périnel.

Traitement des images

De plus, les dernières évolutions en termes de produits permettent une meilleure collaboration entre la technologie et l’humain. « Une première levée de doute technologique est aujourd’hui possible, souligne Maeyke Gielen. Par exemple, une caméra repère un individu qui vient de toucher la barrière mais, tant qu’il ne passe pas de l’autre côté, l’alarme ne se déclenche pas. « Un micro peut également avoir été placé avec la caméra offrant au gardien une aide à la décision supplémentaire. Cela limite les déplacements inutiles. » Les logiciels jouent également pleinement leur rôle puisqu’ils intègrent eux aussi des outils d’aide à la décision et à la gestion des ressources, avec des scénarios et procédures établis par le gestionnaire du site sensible, permettant de décider, par exemple, quelle équipe d’intervention va se déplacer en fonction de sa position géographique et ses compétences, en cas de déclenchement d’une alarme. « D’ailleurs, auparavant, les responsables de la sécurité avaient plus souvent des connaissances en électronique, alors qu’on leur demande désormais d’avoir des compétences en informatique et cela est d’autant plus vrai en ce qui concerne les sites sensibles », remarque Maeyke Gielen.

La qualité des images fournies par le matériel ne cesse également de s’améliorer. « Aujourd’hui, il est possible d’installer des caméras qui fournissent une image, constituée en fait de quatre “photos” prises simultanément mais avec des temps d’exposition différents pour gommer les éventuels défauts comme un contre-jour ou un mouvement à différents endroits », illustre Mathieu Lesieur, trade marketing manager pour la gamme vidéosurveillance de Sony. Le principe de la vidéo, selon Francis Serrano, est, en effet, de surveiller, détecter et d’aider à la décision. Pour cela, l’opérateur ne doit pas être pollué par des images inutiles. « Un gardien qui a 20 ou 30 écrans allumés devant lui ne verra pas s’il y a un problème. Il vaut mieux automatiser l’allumage du PC quand un changement s’opère dans la zone surveillée », conseille Jean-Loup Périnel. Avec l’offre pléthorique de nouveaux matériels, mais aussi des menaces et risques qui se développent et évoluent constamment, cet expert recommande de faire appel à des intervenants extérieurs afin d’opter pour les meilleures solutions en matière de sécurité.

ColiPoste blindée contre les attaques

La plate-forme a mis en œuvre des mesures très préventives pour contrer les intrusions

Certaines attaques terroristes visent les centres névralgiques de l’économie d’un pays. Tout ce qui touche aux communications et à l’échange d’informations fait partie de ces cibles privilégiées. Même si, avec les nouvelles technologies de l’information et les nouveaux moyens de communication apparus il y a un peu plus d’une décennie, les centres postaux sont aujourd’hui toujours considérés comme des sites sensibles. C’est avec ce raisonnement que la plate-forme ColiPoste de 35 000 m², située à Moissy-Cramayel (Seine-et-Marne), a été sécurisée et organisée. Elle voit passer chaque jour 250 000 colis, avec des pics à 320 000 au moment des fêtes de fin d’année. 250 salariés y travaillent en permanence, accompagnés d’une cinquantaine d’intérimaires quand cela est nécessaire. Un trieur automatisé équipé de scans à 6 faces pour lire les adresses, les assiste pour atteindre ces hautes cadences. « La sécurité de ce centre de tri et d’expédition concerne aussi bien les colis qui passent par notre site que notre outil industriel. Il nous faut préserver l’ensemble contre toutes sortes de dommage qui mettraient en péril le site », explique Éric Uribe, directeur des opérations de ColiPoste. 

« Afin d’assurer cette protection, nous avons mis en place des mesures “très“ préventives extérieures. En effet, plus une intrusion est détectée tôt et plus nous avons des chances de maîtriser la situation. » Pour ce directeur des opérations, il est essentiel de combiner la technologie et l’humain. « Sans vous donner trop de détails, pour des raisons évidentes de sécurité, un ensemble de matériel de détection avant contact avec le bâtiment a été mis en place, et un poste de gardiennage est opérationnel 7 jours sur 7, 24 heures sur 24. » À l’intérieur du bâtiment, le système de surveillance reste « classique », avec une sécurisation des accès, y compris pendant le temps de travail : les téléphones, ainsi que tout autre appareil électronique, doivent être déposés à l’entrée par les employés, qui passent ensuite sous un portique de détection, par lequel ils repasseront à leur sortie. Dans l’entrepôt même, 72 caméras à 360 degrés ont été installées. « Une véritable politique de sécurité doit également empêcher le vol par opportunité, explique ce responsable, qui a établi le cahier des charges pour la sécurisation du site grâce à la collaboration de spécialistes externes « challengés » avec les équipes de ColiPoste, qui assurent ensuite une veille technologique pour la mise à jour du matériel mis en place. Éric Uribe ajoute également : « La meilleure des sécurités est celle qui ne fait jamais parler d’elle…»

Un regard externe est parfois nécessaire

Certes, les directions de sites sensibles disposent toutes d’un service de sécurité en interne et certains secteurs, comme le militaire, du fait des risques de terrorisme et d’espionnage, limitent leur rapport avec l’extérieur. Mais pour ceux qui n’ont pas les mêmes contraintes, un regard externe est souvent utile. « Les clients sont généralement pertinents sur les risques intrinsèques liés à leur activité mais pas sur les risques “extrasèques”, assure Jean-Loup Périnel. Certains nous appellent pour nous dire qu’ils ont besoin de vidéo mais si on leur demande pour quoi faire, ils ne savent plus répondre… Les consultants disposent de leur expérience et connaissent les bonnes pratiques. Même si chaque dossier est différent, il y a des systèmes qui peuvent être partagés. Les clients oublient souvent qu’en amont, une analyse des risques est nécessaire pour éviter que les moyens techniques mis en place ne soient en surnombre, inadaptés, mal placés ou encore non maintenus… »

Eloise Leydier/Agence TCA

La vidéosurveillance du musée de Grenoble en restauration

En 2009, la direction technique du musée des Arts et Antiquités de Grenoble
prend la décision d’adopter un nouveau système de vidéosurveillance,
considérant le précédent obsolète. L’ensemble de la sécurité est repensée
afin d’intégrer trois types de surveillance : intrusion, contrôle d’accès et vidéo.
La difficulté pour l’intégrateur, choisi suite à un appel d’offre passé en 2008,
concerne alors la salle des expositions temporaires, amenée à être modifiée
plusieurs fois par an et exigeant donc des caméras facilement déplaçables.
D’une vidéosurveillance analogique, le musée se décide pour 40 caméras IP
de Sony, qui se branchent et s’alimentent sur un réseau Ethernet,
ne nécessitant qu’un câble pour l’alimentation et les transmissions
de données. Leur déplacement se fait facilement puisqu’il suffit de débrancher
ce câble pour le positionner sur une autre prise du réseau, une fois la caméra
transposée. Le choix du musée s’est, de plus, porté sur des caméras dont
la sensibilité donne un rendu d’image de haute qualité et un mode jour/nuit
permettant à l’équipe de sécurité d’être efficace quelque soit la luminosité.
Au début de l’année 2010, le directeur technique du musée, Robert Damato,
fait un bilan positif de la nouvelle installation et rappelle l’importance
de la formation du personnel de surveillance aux équipements de sécurité.