Il nous arrive à tous de nos focaliser sur un sujet "à la mode" sans avoir la présence d'esprit d'envisager le problème dans sa globalité. Ce qui peut conduire à des failles de sécurité, car l'attention est détournée de vulnérabilités parfois évidentes et dont l'exploitation peut parfois s'avérer d'une simplicité déconcertante.

En matière de sûreté, une approche holistique est indispensable à toute évaluation de la mise en protection d'un site. En effet, un complexe immobilier doit être pensé comme un système, c'est-à-dire comme un ensemble de bâtiments, de réseaux, d'équipements, d'accès, de composants, de compétences et de contraintes interdépendant.

A l'aune de ces éléments, le niveau de sûreté d'un bâtiment doit être pensé avec le regard de l'assaillant, qui va immanquablement faire l'inventaire des points d'accès au site pour repérer ses fermetures les plus vulnérables.

Prenons l'exemple du "Je veux des badges sécurisés" pour développer notre argumentaire suivant lequel seule une approche holistique de l'enjeu sûreté permettra de présenter une stratégie de mise en protection cohérente par rapport au niveau que mérite le bâtiment.

Faisons ainsi la liste - non exhaustive ! - des points d'attention nécessaires à cette analyse, points d'attention qui sont l'occasion de rappeler quelques bonnes pratiques en matière de sûreté.

Les dispositifs de verrouillage électromécaniques

Vous aurez beau déployer des badges difficilement copiables, si les accès sont "crochetables", votre assaillant n'aura besoin que de quelques secondes pour compromettre votre site en se munissant d'une simple radiographie.

Par "crochetable", nous entendons que les gâches sont accessibles depuis l'extérieur. Ce type d'intrusion, qui ne nécessite pas d'effraction, s'appelle "l'entrée fine" car elle ne laisse pas de trace.

C'est pour cette raison que, pour des accès extérieurs de lieux en fail secure, nous recommandons plutôt des bandeaux ventouse 3x400Kg - qui développent plus d'une tonne de résistance - ou bien des serrures électriques à contre-pêne de sécurité, plutôt que de simples gâches à rupture.
Si électrifier la porte n'est pas possible (par exemple en cas de refus de votre bailleur de réaliser de tels travaux), nous vous recommandons d'apposer un cylindre électronique sur une serrure 3 points. A savoir que le cylindre a la capacité - contrairement à la béquille électronique - de piloter les 3 contre-pênes. Il peut ainsi sécuriser le lieu, malgré l'absence d'électrification, qui limite les fonctionnalités de contrôle d'accès de la porte - par exemple l'alerte en cas d'ouverture prolongée ou en dehors des horaires conventionnels.

Et pour des portes de bureaux équipées de béquilles électroniques énergétiquement autonomes, il est nécessaire pour ne pas rendre l'existence de badges sécurisés inutile, d'équiper préalablement la porte de serrures à éjection de pênes.

Pour des accès extérieurs de lieux en fail safe, privilégiez des serrures électriques à pênes motorisés plutôt que des gâches à émission plus vulnérables car un assaillant pourrait facilement désarmer le site en maintenant le bouton d'ouverture appuyé une quinzaine de secondes, ce qui aurait pour conséquence de griller la gâche et donc d'ouvrir le site aux quatre vents le temps que la réparation ne soit opérée (rarement le jour-même).

La résistance mécanique des portes

Reprenons notre exemple des badges sécurisés : quelle utilité auraient-ils sur des portes en carton ? Aucune car la sûreté est systémique, et que la faille du système serait la résistance mécanique de la porte qui pourrait être entaillée par un enfant.

Pour aller aux bonnes pratiques, privilégiez quand cela est possible des portes métalliques aux portes en aluminium. En effet, ces dernières s'attaquent au pied de biche et succombent rapidement.

Rappelons qu'en cas d'effraction, certes votre assureur vous couvrira, mais comment parviendrez-vous à prouver que c'est telle information ou telle base de données qui fut subtilisée ? Par quel moyen arriverez-vous à donner une valeur à ce préjudice ? 

Un sinistre est parfois difficile à prouver et souvent difficile à évaluer. Donc si le risque zéro ne peut être qu'un objectif, nous recommandons de mettre les moyens dans la prévention plutôt que dans la guérison.

Les équipements de sûreté électronique

Le contrôle d'accès n'est pas le seul système de sûreté électronique d'un bâtiment.

D'autres équipements de sûreté électronique coexistent, tels que l'alarme anti-intrusion et la vidéosurveillance.

L'alarme anti-intrusion est surtout utile si couplée à un service de levée de doutes, idéalement à distance par des caméras pour bénéficier de quasi temps réel, soit au travers d'une intervention d'une société de gardiennage qui viendra se rendre compte sur place sans toutefois pouvoir se substituer aux forces de l'ordre pour interpeller les contrevenants en cas de compromission du site.

Les équipements de sécurité électronique

Sans avoir à rappeler la tension entre sûreté, qui veut protéger l'intégrité des personnes et des données de l'entreprise face à des assauts extérieurs, et sécurité qui veut facilité l'évacuation en cas de déclenchement d'une alerte, rappelons que le système de sécurité incendie, ou SSI, est régulièrement cité comme la faille de sécurité principale des sites en fail safe.
‍
Emprunter les escaliers extérieurs de secours, casser un carreau, jeter un fumigène et attendre que toutes les portes s'ouvrent est un classique des compromissions des bâtiments de bureaux de quartiers d'affaires désertés le week-end ; et lorsqu'il n'y a pas d'escaliers de secours, jeter un fumigène par une fenêtre restée ouverte déclenche l'ouverture des portes.

Pour se prémunir de ce risque, il est nécessaire d'envisager de l'alerting en temps réel : déployer un système de contrôle d'accès doté de capteurs de position de porte et dont le logiciel de gestion, des accès est capable d'envoyer des emails aux responsables de site par exemple en cas d'ouverture de portes à des horaires inhabituels, ou en cas d'ouverture prolongée d'une issue de secours ou d'un local sensible. Coupler ces alertes à de la vidéoprotection pour réaliser des levées de doute à distance nous semble indispensable pour avoir une chance de pouvoir réagir avant le départ du site de l'assaillant.

Les équipements de comptage unipersonnel

Quelle est l'utilité d'un portillon non gardienné si le contrôle d'accès n'est pas paramétré pour gérer l'anti passback ? En effet, il sera possible pour un assaillant de se faire passer pour un sympathique collègue ayant oublié son moyen d'accès en allant fumer pour réclamer par dessus le PNG un badge, et circuler ainsi librement dans les entrailles du bâtiment, quitte à se faire oublier dans le bâtiment en attendant la nuit pour commettre son larcin et sortir librement (sachant que la réglementation veut que la sortie d'un bâtiment ne nécessite pas de moyen d'accès).

Nous recommandons donc aux sites équipés de PNG d'activer à la fois l'anti passback et l'anti timeback (ie l'incapacité à utiliser le même badge sur le même accès pendant, par exemple, 15 minutes afin d'éviter ce genre de courtoisies).

L'hébergement des données de réassurance

En matière de bonnes pratiques, nous vous recommandons vivement si vous disposez de fibre optique et donc d'un réseau à haut débit symétrique, de ne pas héberger votre NVR localement car un assaillant expérimenté partira avec votre enregistreur vidéo sous le bras pour ne pas compromettre son identité ou son mode opératoire (s'il n'est pas masqué). Et lorsqu'il ne partira pas avec, s'agissant d'électronique, il saura endommager le disque dur de manière irréversible.

Ceci est valable également pour le contrôle d'accès : si l'assaillant a pénétré le lieu au moyen d'un badge perdu ou subtilisé d'un résident du site, et qu'il veut pouvoir revenir sur site si nécessaire, il quittera le bâtiment après avoir collecté le serveur qui héberge le logiciel de gestion des accès.

L'idéal en terme de découplage des risques et de garantie de bonne traçabilité est donc d'héberger ses données de contrôle d'accès et de vidéoprotection dans le cloud.

Si vous souhaitez bénéficier des avantages d'un contrôle d'accès cloud fiable et bien sécurisé, on peut vous aider. Il vous suffit de prendre rendez-vous avec un de nos experts !

Si cependant héberger les données dans le cloud n'est pas possible, concevoir et déployer une stratégie de sauvegardes dans le cloud est nécessaire à couvrir ce risque de destruction de preuves opposables à des tiers - la vulnérabilité constituée par l'existence d'un local technique concentrant le stockage des données sécurité-sûreté étant une faille largement exploitée par les assaillants dans le contexte de guerre économique qui est le nôtre.

L'architecture des équipements de contrôle d'accès

Les équipements de contrôle d'accès conçus suivant des architectures en étoile présentent des vulnérabilités structurelles, permettant à un assaillant d'identifier soit l'armoire hébergeant physiquement les UTL des accès de l'étage - armoire qui constitue le SPOF pour Single Point of Failure - soit les câbles tirés entre entre l'UTL et une porte qui circulent généralement dans les passages de câbles des faux-plafonds entre l'armoire hébergeant l'UTL et la porte protégeant un local sensible (par exemple un local IT si l'objectif de l'assaillant est de poser un mouchard, ou keylogger).

Pour un site en fail secure, un assaillant qui accédera à l'armoire et qui débrancherait une UTL ouvrirait entre 2 et 8 portes, et s'il coupait le câble reliant l'UTL à la gâche ou à la ventouse, il ouvrirait la porte ciblée.

Notre recommandation pour couvrir ce risque est de faire appel à des équipements de contrôle d'accès dont l'architecture serait cellulaire.

Dans une architecture cellulaire, chaque porte est indépendante, et les UTL sont placées côté intérieur de la porte, ce qui annihile cette vulnérabilité car l'assaillant qui aurait accès au contrôleur de porte aurait déjà pénétré la pièce convoitée par un autre moyen que le contrôle d'accès.

Les intégrations entre processus RH et systèmes de sûreté

Un salarié en vacances peut ne pas se rendre compte tout de suite d'une visite de son domicile destinée à lui emprunter un badge. Une bonne pratique évidente est le couplage des droits d'accès avec le SIRH (Système d'Information des Ressources Humaines), qui veut par exemple donner une date d'expiration des droits d'accès aux contrats à durée déterminée (ex. stages, prestataires), des droits d'accès alignés avec les périodes en entreprise aux alternants, et désactiver automatiquement les moyens d'accès lorsqu'un salarié est en congés.

Pour faciliter une telle intégration, nous vous recommandons de retenir une solution de gestion des accès bâtie sur une API, et un SIRH disposant d'une API.

Les procédures visiteurs

Assurez-vous si vous déployez des badges sécurisés que les procédures visiteurs ne comprennent pas le prêt d'un badge, au risque de rendre votre démarché de déploiement de badges sécurisés inutile. Pour vous en convaincre, il sera facile pour un visiteur de rendre - dans l'urne - un autre badge que celui qui lui fut distribué à l'accueil. Et pour peu qu'il s'agisse d'un badge disposant d'accès permanents, ce même visiteur pourra revenir à sa guise dans le courant de la journée, sans être inquiété, car l'inventaire permettant la réconciliation entre les badges distribués et les badges rendus n'aura pas encore eu lieu.

Privilégiez donc la logique de droits d'accès, par badge, QR Code, smartphone ou code, à celle des badges physiques uniquement dont la gestion est beaucoup plus lourde.

‍

En conclusion, nous espérons que l'étude de cas développée aura été une bonne piqûre de rappel que la sûreté, c'est surtout du bon sens et qu'une prise de recul pour établir une photo grand format du bâtiment est nécessaire pour établir une analyse éclairée du niveau réel de protection d'un site. Ouvrons le débat en insistant qu'une approche systémique est valable également en matière de cybersécurité, c'est-à-dire de sécurité logique, complément indispensable de la sécurité physique pour évaluer le niveau de protection d'un lieu et prendre les mesures nécessaires au renforcement de ses défenses.