Pourquoi les systèmes de contrôle d'accès aux bâtiments sont-ils si souvent obsolètes ?

Dans les entreprises, l'obsolescence des systèmes de contrôle d'accès aux bâtiments est devenue monnaie courante.

Les symptômes sont généralement les suivants :
- le poste de contrôle sécurité se plaint d'une interface désuète ;
- le building manager est échaudé par le coût prohibitif des mises à jour du logiciel de gestion des accès physiques ;
- l'éditeur est de moins en moins réactif face aux demandes de support car les interventions sur une version ancienne de son produit présentent des risques importants de régression : la tentation est donc grande de 'laisser les choses en l'état' ;
- le prestataire de maintenance informatique des serveurs dédiés à la gestion des accès physiques - souvent l'intégrateur de la solution de contrôle d'accès retenue sur le site - n'est plus en capacité technique à faire monter en version le système d'exploitation des machines, pour des raisons de compatibilité, et se dégage donc de sa responsabilité en matière de sécurité informatique, en faisant signer une décharge ou au travers une communication formelle, aussitôt que la version de l'OS serveur n'est plus maintenue.

Plusieurs facteurs expliquent que de nombreuses directions immobilières et des services généraux en arrivent à cette situation. 

Nous vous livrons ci-après notre analyse des raisons qui expliquent l'obsolescence générale du parc de logiciels de gestion des accès physiques - notamment dans le tertiaire et l'industrie.

Premièrement, dans la plupart des entreprises, l'existence de directions de la sûreté et de la sécurité est antérieure à l'apparition de directions des systèmes d'information (DSI). Donc les directions de la sûreté n'étaient, lors des déploiements des logiciels de gestion des accès aux bâtiments devenus obsolètes aujourd'hui, pas habituées à travailler sur des projets main dans la main avec la DSI et n'ont donc pas fait appel aux compétences de cette dernière.

Deuxièmement, s'il est monnaie courante, dans le bâtiment, de souscrire des contrats de maintenance pour tous les corps de métier (on appelle cela la maintenance multi-technique ou la maintenance TCE, pour Tous Corps d'Etat), le contrôle d'accès échappe souvent - en raison de son caractère pluridisciplinaire et donc de sa complexité - au périmètre de ces contrats. Il en résulte que les installations informatiques dédiées à l'infrastructure de gestion des accès physiques n'est pas maintenue. Et donc que seules des interventions curatives, souvent en urgence, sont programmées pour pallier aux problèmes qui surviennent. Du coup, l'approche est centrée sur la résolution de situations critiques et non pas sur une planification visant à accompagner les évolutions des usages de l'immobilier d'entreprise : on intervient vite et cher, pour revenir à la situation passée.

Troisièmement, la DSI, devenue entre temps une direction puissante dans les entreprises, troisième budget derrière les salaires et l'immobilier à l'ère de la transformation digitale de l'économie, ne vient pas naturellement (sauf pour de grands et coûteux projets de type passage au multisite) prêter main forte à la direction des services généraux car le contrôle d'accès échappe complètement à sa cartographie des systèmes d'information. Dit autrement, comme il n'y a pas de maintenance du progiciel de gestion des accès physiques, alors il n'y a pas de budget affecté (en effet, le budget est constitué par des interventions de type 'dépannages' qui sont affectés comptablement de la même manière que la petite maintenance du bâtiment). Et comme il n'y a pas de budget informatique, le système de contrôle d'accès est "hors radar" : il est un silo déconnecté des processus et des systèmes d'information de l'entreprise. Cette déconnexion est initialement vantée car elle procure un faux sentiment de sécurité. Mais en fait, l'obsolescence du contrôle d'accès, et son isolement dans chaque bâtiment, en fait une faille de sécurité, une faille juridique (notamment avec l'avènement du RGPD), et aussi un facteur limitatif d'une utilisation plus flexible de la ressource immobilière - notamment à l'ère d'une mobilité au travail exacerbée par l'épisode Covid-19.

Comment les entreprises peuvent-elles moderniser leurs systèmes de contrôle d'accès physiques ?

En l'occurrence, pour les directions immobilières, il ne s'agit pas seulement de moderniser, mais surtout de capitaliser sur l'expérience des premiers déploiements de logiciels de gestion des accès aux bâtiments pour remettre à plat les processus et déployer des pratiques auto-correctrices de manière à ce que la situation actuelle appartienne au passé.

Pour préciser, les directions impliquées dans le choix du système de contrôle d'accès (sûreté, sécurité, immobilier, services généraux, RH, DSI), doivent travailler ensemble, main dans la main, pour clarifier leurs objectifs, mettre en commun leurs compétences et leurs moyens, définir une gouvernance, et se répartir les rôles tant dans le recueil de ses besoins fonctionnels que la définition de l'architecture du système de contrôle des accès à ses sites - sans oublier naturellement l'exécution des obligations opérationnelles du quotidien de l'entreprise.

De nombreuses directions sont passées au cloud pour externaliser la complexité de la maintenance de systèmes et ainsi se concentrer sur l'exercice de leur coeur de métier qui est de servir leurs clients internes ou externes :
- la direction commerciale des entreprises est largement passée au SaaS, avec comme exemple le développement exponentiel de la société Salesforce, leader mondial du SaaS et du CRM, ces quinze dernières années ;
- les nouveaux déploiements de progiciels pour les directions financières et les directions des opérations (supply chain,...) font dorénavant systématiquement appel à des versions cloud de SAP (sur Hana), ou encore à des pure players du SaaS tels que Workday ou Netsuite (qui appartient Oracle) ;
- il en va de même pour les solutions RH qui concentrent des données personnelles hautement sensibles sur les salariés (avec des solutions comme TalentSoft pour la gestion des talents ou PeopleDoc pour la paye) ;
- les outils de communication des entreprises, qui sont l'infrastructure d'échanges confidentiels entre partenaires en affaires, reposent systématiquement sur des systèmes localisés dans le cloud tels que Microsoft Teams, Zoom ou encore Google Meet ;
- les outils de collaboration de type Slack sont également accessibles exclusivement sur le web ;
- et bien sûr, les applications que développe l'entreprise font largement appel à des infrastructures externalisées chez AWS, Azure, Google Cloud ou encore OVH.

Il apparaît que, contrairement à la fin des années 90 et au début des années 2000, le cloud est devenu le cas général, et que les installations locales sont un cas particulier.

Or, les directions immobilières et des services généraux, dont on comprend qu'elles soient naturellement plus attachées à la chose physique que les autres, accusent un retard certain en matière de digitalisation.

Pour endiguer ce retard, il nous apparaît indispensable que les fonctions de support à l'exploitation des bâtiments de l'entreprises fassent apparaître leurs outils numériques et leurs logiciels sur le radar de la DSI afin de solliciter un accompagnement qualifié en matière de sécurité informatique, d'aide au choix des éditeurs et d'insertion dans les processus métier de l'entreprise (il peut s'agir de processus RH pour l'arrivée et le départ des salariés ; de processus Achats pour les prestataires ;...) au travers la réalisation de projets d'interconnexion entre systèmes.

Pour ce faire, le cloud présente l'avantage de se débarrasser des problématiques de mètres carrés dédiés à une infrastructure de contrôle d'accès locale, de ne plus jamais parler de budgets pour mettre à jour les logiciels de gestion des accès aux bâtiments, et de renforcer le niveau de sécurité en rendant complètement indépendants le contrôle d'accès physique du réseau de l'entreprise. Ainsi, si le premier est compromis, il n'y a aucun impact sur les données de l'entreprise. A l'inverse, si l'entreprise fait l'objet d'une attaque, l'intégrité du contrôle d'accès physique est garantie.

Dernier obstacle : les directions immobilières se plaignent, souvent à juste titre, du manque de réactivité des directions informatiques et des équipes en charge de la sécurité des réseaux et des systèmes d'information. Si les building managers et les services généraux ont effectivement depuis longtemps la culture de l'agilité, car leur quotidien est fait d'arbitrages entre gestion des urgences et réalisation de projets sur le temps long, les DSI sont quant à elles principalement mobilisées sur la maintenance d'applications critiques pour la production, plutôt que sur les études. 

Les DSI doivent donc aussi faire l'effort de comprendre que le contrôle d'accès physique aux bâtiments est une application critique, l'une des rares - comme les emails ou la paye - qui soit au service de l'ensemble des usagers de l'entreprise, et qui mérite sans doute qu'on lui accorde le même niveau de priorité que la comptabilité ou le e-Commerce. 

Convaincu(e) ?

👉 Découvrez notre système de contrôle d'accès cloud sur notre site ou mieux encore testez-le en live lors d'une démo ;)