Dans cet article, nous allons aborder les obligations en matière de contrôle d'accès aux bâtiments imposées par la norme PCI DSS. Avant de formuler quelques recommandations utiles pour saisir l'opportunité d'aller au-delà des exigences posées par la norme afin d'anticiper son évolution.

Avant de parler de contrôle d'accès aux bâtiments, qu'est-ce que PCI DSS et à qui s'applique PCI DSS ?

PCI DSS est l'acronyme de Payment Card Industry Data Security Standard. Comme son nom l'indique, il s'agit d'un standard destiné à encadrer les processus métier des opérateurs de traitements de données de paiement monétique dans l'optique de protéger le consommateur.

PCI DSS n'est donc pas une "loi" à proprement parler, plus une Licence To Operate, donc une norme, pouvant donner lieu à des sanctions en cas de non conformité : perte de capacité à traiter des données monétiques et donc à encaisser des paiements par carte, amendes pouvant aller jusqu'à plusieurs centaines de milliers d'euros, et d'autres sanctions suivant les réglementations locales qui s'inspirent parfois de PCI DSS.
‍
La perte de capacité à encaisser est une conséquence directe d'une contravention à l'obligation passée contractuellement entre le fournisseur de l'infrastructure de paiement (terminaux, etc.) et le commerçant, qui mentionne généralement l'engagement de ce dernier à se faire certifier PCI DSS dès lors qu'il encaisse annuellement plus 20.000 transactions par carte bancaire.

PCI DSS est structurée en conditions qui abordent différentes thématiques, et notamment:
- le traitement informatique des données
- la séparation des infrastructures de stockage de l'information et des applications,
- la prévention contre les vols de données par des salariés,
- la cybersécurité et plus spécifiquement prévention contre les intrusions logiques,
- les méthodes de suppression des données et de mise au rebus des disques durs,
- la traçabilité des accès individuels aux équipements informatiques.

C'est cette dernière condition qui concerne le contrôle d'accès aux bâtiments et que nous allons approfondir ensemble.

Les obligations de contrôle d'accès physique imposées par PCI DSS

‍

PCI DSS impose un contrôle d'accès physique des bâtiments ou des locaux où des données de paiement sont opérées.

Voici un extrait de la condition 9 de la norme de sécurité des données PCI DSS en version 3.0 :

"Condition 9 : Restreindre l’accès physique aux données du titulaire

Dans la mesure où tout accès physique à des données ou à des systèmes hébergeant des données du titulaire permet à des individus d’accéder

à des périphériques ou à des informations, et de supprimer des systèmes ou des copies papier, cet accès doit être restreint de façon appropriée.

Dans le cadre de cette condition 9, le terme « personnel du site » désigne les employés à temps plein et à temps partiel, les intérimaires ainsi que

les sous-traitants et les consultants qui « résident » sur le site de l’entité. Un « visiteur » est défini comme un fournisseur, l’hôte du personnel du

site, le personnel de service ou tout individu présent au sein des locaux pendant une période courte, n’excédant généralement pas une journée.

« Support » se rapporte à tout support papier ou électronique contenant des données du titulaire."

‍

Etablie par des industriels des cartes de paiement, PCI DSS inclut bien dans son obligation de traçabilité les visiteurs et non pas seulement les résidents (ou permanents) d'un site. Il est également à noter que PCI DSS prévoit que des droits d'accès aux bâtiments puissent être accordés via smartphone.
‍

L'article 9.1 précise quant à lui que le contrôle d'accès sur les installations appropriées doit restreindre d'une part et surveiller d'autre part l'accès physique aux systèmes installés dans l'environnement des données de l'entreprise titulaire de la certification PCI DSS.

Les zones les plus sensibles du du bâtiment sont particulièrement visées par la notion d'environnement des données :

• les locaux informatiques ;
• les datacenters ;
• les bureaux si tant est que les ordinateurs qui les peuplent disposent d'un accès aux données de paiement

‍

Ainsi, la procédure de vérification de la bonne application de la condition 9.1 de PCI DSS exige que :
1/ l'auditeur vérifie la présence de moyens d'accès (lecteurs de badges ou autres), sans lesquels un assaillant pourrait accéder au local hébergeant des systèmes critiques pour altérer ou subtiliser des données ;
2/ et que l'auditeur contrôle que l'administrateur du système de contrôle d'accès aux locaux soumis à la norme PCI DSS ne peut pas se connecter au logiciel de gestion des accès sans s'authentifier au préalable. Ceci afin qu'un assaillant ne puisse introduire des vulnérabilités dans les droits d'accès ou encore effacer l'historique.
‍

Pour rester dans les équipements de sécurité électronique en allant au-delà du seul contrôle d'accès, PCI DSS requiert également l'installation de caméras de vidéprotection pour surveiller points d'entrée et zones sensibles telles que l'accès à un local informatique.

Recommandations pour anticiper les évolutions de PCI DSS et son application à la sécurité des locaux

Nous avons vu que l'application de la norme PCI DSS rend obligatoire l'existence d'un système de contrôle d'accès dont la fonction serait le pilotage des autorisations physiques des visiteurs des installations avec historisation de la liste, moyen d’identification utilisé, et gestion des restrictions.

Pour aller plus loin, et en guise de recommandation, nous pourrions établir qu'il est inutile de disposer d'un historique d'accès si les serveurs qui assurent le stockage des données de contrôle d'accès sont stockés sur les installations soumises à cette obligation de traçabilité. 
‍
En effet, un assaillant qui serait parvenu à compromettre le site pourrait altérer physiquement un serveur, par exemple en faisant renversant une bouteille d'eau dessus s'il faut feindre l'accident, ou bien en partant avec s'il agit de nuit dans des bureaux, ou encore en déclenchant un incendie au moment de son départ du bâtiment. 
‍
Ainsi, le stockage des informations de contrôle d'accès non pas localement mais dans le cloud - et d'ailleurs aussi des enregistrements de vidéoprotection dans le cloud - renforce le niveau de sécurité et donc de conformité à l'esprit de PCI DSS, car il empêche l'assaillant d'effacer les traces de son passage dans le bâtiment et facilite le travail des enquêteurs (assurance cyber ou en responsabilité civile, recours collectif de clients en contentieux,...), dans l'hypothèse d'un sinistre, dans leur quête de preuve technique quant à l'effraction.