Les recommandations de l'ANSSI en matière de contrôle d'accès

L’ANSSI a publié en mars 2020 une nouvelle version de ses « recommandations sur la sécurisation des systèmes de contrôle d’accès et de vidéosurveillance », huit ans après la première version. Cette nouvelle version ajoute non seulement des modifications faites à partir des retours d’expérience, mais également un chapitre dédié à l’architecture des systèmes. En voici une synthèse pour mieux comprendre comment protéger les systèmes de contrôle d’accès.

Cartographie du système de contrôle d'accès

Afin de mieux répondre aux besoins de sécurité du système, une cartographie exhaustive des éléments le concernant doit être établie avant sa mise en place et maintenue tout au long de son existence. On doit y trouver :

• les sites à protéger et leurs caractéristiques
• les valeurs métiers et biens supports à protéger déterminés par une analyse de risque
• les zones à protéger dans les sites à l’aide d’une échelle de priorité partant de zéro pour les zones « semi-publiques » comme les parkings et augmentant progressivement selon le besoin de protection jusqu’au système d’accès pour le niveau maximal.
• les flux de circulation entre les zones : quantité et temps de passage, rôle des passants…
• les acteurs répartis en différents rôles distincts.
• les processus organisationnels clairement formalisés: demande, révocation, perte de badge...

Une fois ces étapes complétées, d’autres documents seront ajoutés à la suite sur le positionnement des dispositifs (lecteurs, centres de gestion, etc.), l’architecture réseau (séparation des réseaux, routage, etc.), les droits des utilisateurs, la liste complète des équipements physiques utilisés, des composants logiciels et des flux de données entre eux.

Architecture du système de contrôle d'accès

Après l’identification des zones à contrôler, l’élaboration de l’architecture a lieu. Quatre éléments du système sont à étudier en particulier :

• le SI du contrôle d’accès à cloisonner, de préférence physiquement, du reste du système informatique pour empêcher tout intrusion.
• la liaison filaire cachée et dans une zone contrôlée qui doit avoir droit à une surveillance particulière avec l’exposition du système à l’extérieur par les lecteurs.
• les réseaux supports auxquels sont connectées les centrales d’accès (UTL) doivent séparer les dispositifs entre eux et masquer leurs points d’accès.
• le réseau fédérateur liant les réseaux supports et le système de gestion ne doit permettre que les seuls flux nécessaires au fonctionnement du système pour les équipements autorisés avec les protocoles autorisés. Certains de ces flux devront être filtrés.

Les connexions hors système (service externalisé, interconnexions avec d’autres réseaux) sont déconseillées pour diminuer le risque. Dans le cas où l’interconnexion est inévitable (interconnexions avec les systèmes d’alarmes, le SI des ressources humaines), les flux doivent être protégés par des moyens cryptographiques et des réglementations supplémentaires comme la RGPD doivent être appliqués.

Sécurité du système de contrôle d'accès

La sécurité se porte d’abord sur les éléments supports du système : badges uniques et contenant le minimum d’informations nécessaires à l’identification, lecteurs à façade anonyme et protection physique et logique qui ne participent pas au processus cryptographique (dit transparents), centrales de contrôle d'accès dont les communications avec les autres éléments du système sont intégralement sécurisées et l’accès surveillé, et centre de gestion entièrement sécurisé (antivirus, pare-feu, correctifs réguliers).
Une attention particulière doit être portée au logiciel de gestion qui doit pouvoir piloter efficacement le système. Il requiert notamment une bonne journalisation des événements liés aux systèmes (liste des visiteurs, rapport d’accès anormaux, etc.) et la configuration d’alertes en temps réel pour tout événement critique.

Un autre élément important est la cryptographie dont deux procédés sont concernés en particulier. Pour le premier, l’authentification du badge, un système avec plusieurs clés ou asymétrique est à privilégier. Le second, la configuration des dispositifs de contrôle d'accès, nécessite d’autres clés utilisés pour la configuration qui ne seront utilisés qu’à l'enrôlement, limitant le risque de fuites. Une infrastructure de gestion de clés pourrait également aider à la gestion, mais on doit penser à l'accessibilité des autorités de certification pour les certificats et la possible gestion de plusieurs systèmes de contrôles d’accès.

Enfin, il faut prendre en compte la gestion des droits d’accès : identification par un numéro unique associé au badge, double authentification (validité du badge et confirmation de l’identité du porteur), distinction des différents types d’utilisateurs par des règles spécifiques comme la durée de validité du badge et les procédures associés (escorte de visiteur, limitation du nombre de personnes privilégiés pour minimiser les risques de sécurité, etc.).

Administration et maintenance du système de contrôle d'accès

L’administration du système est divisée en deux parties distinctes : technique et métier.
L’administration technique s'occupe de l'informatique et dépend de la DSI. Elle doit avoir un réseau d’administration dédié pour les serveurs de gestion, limitant ainsi les flux administratifs qu’à l’équipement concerné et réduisant la surface d’attaque possible.
L’administration métier concerne les logiciels de gestion de système de contrôle d’accès physique. Elle est effectuée sur un ou plusieurs postes dédiés, appelés stations de gestion, interconnectés avec le serveur de gestion. Il est recommandé qu’elle ait un réseau dédié à cet effet et de dissocier les rôles de chaque poste important (administrateur, opérateur du centre de gestion, opérateur d'enrôlement) par une fonction de filtrage.

La maintenance est réalisée sur deux points. Le premier point est la capacité opérationnelle du système qui est assurée par plusieurs actions : horodatage des événements, vérification des batteries, mise à disposition de matériel de rechange, sauvegardes régulières, contrôle des appareils en panne contenant des éléments cryptographiques, etc.
Le second point concerne le maintien de la sécurité qui est souvent ignoré. Afin que le système soit sûr, les mainteneurs doivent signaler toute vulnérabilité, proposer la mise en place de mesures pour y remédier et fournir un suivi de version des correctifs. Des procédures d'exploitation particulières des systèmes de contrôle d'accès physique devront également mis en place en cas d’incident : ouverture complète en cas d'incendie, alternative mécanique d’accès en cas de panne...

‍

Chez Welcomr, nous nous focalisons sur la mise en oeuvre des recommandations et des bonnes pratiques identifiées par l'ANSSI comme préfigurant la sécurité des contrôles d'accès physiques dans les entreprises. Préfigurateur du contrôle d'accès multisite "by design", Welcomr est notamment l'inventeur du contrôle d'accès hybride.