Contrôles d`accès
Transcription
Contrôles d`accès
Ce livre blanc vous est offert par PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Vocations, Technologies, Failles et Faiblesses Rédacteur : Laurent SCHMITTE Conseil en Protection Globale Introduction Destinée aux dirigeants d’entreprise, ce document propose de parcourir les solutions disponibles sur le marché et d’en étudier les limites, au but que chacun puisse sélectionner en connaissance de cause les produits et les procédures qu’il devra mettre en place. Protéger l’intégrité de ses salariés, son outil de production et préserver le fruit de son travail sont parmi les premières préoccupations des dirigeants d’entreprises. A l’heure où l’on s’attache à la sécurité économique des personnes morales, la protection des personnes physiques des marchandises et biens de production est obligatoire. Il convient d’étudier parmi les priorités : la protection périmétrique, la détection d’intrusion et le contrôle d’accès. Les entreprises sont de plus en plus la cible de malveillances, subissant des vols de matières premières, de produits finis, de carburants, de véhicules, d’outillage divers ; mais aussi des dégradations. Les effets peuvent être considérables, parfois à même de remettre en cause la pérennité de la société. Le marché de la sécurité offre de son côté un nombre impressionnant de solutions où les normes et réglementations évoluent sans cesse, où les produits voient constamment leurs performances techniques évoluer, suffisamment pour que les projets de mise en sûreté/sécurité soient désormais des chantiers de spécialistes. PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Sommaire Introduction .................................................................................................................................................. 1 Sommaire ...................................................................................................................................................... 2 Vocations ...................................................................................................................................................... 3 Calibrer le risque .......................................................................................................................................... 3 Mesurer la perméabilité de l’entreprise .................................................................................................. 4 Les systèmes de protection périmétrique ............................................................................................... 4 Les systèmes de clôtures ........................................................................................................................ 4 Les systèmes de fermeture ..................................................................................................................... 5 Les systèmes de vidéo surveillance ...................................................................................................... 5 Les systèmes d’alarme ............................................................................................................................ 5 Les rondes & le gardiennage ................................................................................................................ 6 Failles et faiblesses des systèmes de protection périmétrique ........................................................... 6 Les clôtures et systèmes de fermetures ............................................................................................... 6 Les systèmes de vidéosurveillance ....................................................................................................... 6 Les systèmes d’alarme ............................................................................................................................ 7 Les rondes & le gardiennage ............................................................................................................... 7 La performance des systèmes est essentielle .................................................................................... 7 Le contrôle d’accès .................................................................................................................................... 8 Qui a le droit d’entrer ? .......................................................................................................................... 8 Quand peut-on accéder ? .................................................................................................................... 9 Comment doit-on accéder ? ............................................................................................................... 9 Les systèmes de contrôle d’accès, leurs failles et faiblesses............................................................... 9 Systèmes de badges de proximité ....................................................................................................... 9 Les systèmes à digicodes ....................................................................................................................... 9 Les systèmes biométriques ................................................................................................................... 10 Les obstacles piétons ............................................................................................................................ 10 Les obstacles automobiles ................................................................................................................... 11 Réduire les failles et coûts cachés ......................................................................................................... 12 Conclusion .................................................................................................................................................. 12 Page 2 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Vocations La protection périmétrique a deux objectifs : la dissuasion et l’empêchement. De part sa visibilité (hauteur des grilles et portails, pose de barreaux aux fenêtres, mise en évidence des caméras de surveillance, …) elle dissuadera les malfaiteurs qui préfèreront commettre leurs méfaits sur un site présentant moins de contraintes et donc moins de risques. De part ses caractéristiques physiques elle doit affirmer que la protection est solide et difficile à franchir pour compliquer la tâche des intrus, et agir en véritable retardateur de franchissement. Le contrôle d’accès filtre l’espace de travail. Il va permettre d’autoriser le personnel, les fournisseurs ou prestataires, ainsi que les visiteurs, à accéder au sein de l’entreprise dans les zones autorisées en fonction de leurs niveaux d’accréditation. Il peut être effectué par un contrôle humain, par des systèmes de contrôle collectifs (barrières automatiques, bornes escamotables, portes à serrure électronique) ou unipersonnels (tripodes, couloirs rapides, tourniquets ou porte tambours). Ces systèmes sont associés à des systèmes d’identification (badges, digicodes, biométrie, clefs, …) et un logiciel de gestion des droits. Le système de contrôle d’accès permet aux employés de l’entreprise de pouvoir travailler plus sereinement vis-à-vis de leur intégrité et celle de leurs effets personnels. Les chefs d’entreprises se donnent ainsi plus de moyens pour préserver leurs biens de production et produits finis. Avec un contrôle unicitaire des entrées, ils ont aussi les moyens de savoir si tout le personnel a pu être mis en sécurité en cas d’évacuation d’urgence. Calibrer le risque De qui souhaitons-nous nous protéger : employés indélicats, cambrioleurs, espions, terroristes ? A chacun correspondent des ambitions différentes, des méthodes et technologies diverses et des budgets en corrélation avec le niveau de sûreté souhaité. Ainsi un établissement concerné par Vigipirate1 ou classé SEVESO2 (directive européenne 96/82/CE, puis 2012/18/UE) doit répondre à des critères extrêmement rigoureux. Certains désherbants peuvent servir à la confection d’explosifs. Les entreprises fabriquant ou utilisant ces produits en quantité doivent présenter un niveau de sécurité adéquat. L’espion a des moyens techniques, financier et humains bien supérieurs à un cambrioleur, il peut s’introduire subrepticement dans l’entreprise ; il ne faut pas qu’il puisse y collecter les informations convoitées ; l’accès au système d’information doit être particulièrement contrôlé. Pour la très grande majorité des PME-PMI, les risques sont essentiellement des risques de vols (en interne ou par intrusion) ou de dégradation. Les moyens à mettre en place sont connus et maitrisés, il n’en reste pas moins que la solution n’est quasiment jamais uniquement technique. L’implication des personnels est essentielle, des solutions en droit du travail peuvent aussi être mises en œuvre. Que se passera-t-il si telle ou telle ressource n’est plus disponible ou si des dégradations empêchent le fonctionnement de l’entreprise ? En combien de temps l’opérationnalité sera-t-elle retrouvée ? Quel impact sur l’image de l’entreprise, sur l’esprit des employés, … ? Le plan Vigipirate a été actualisé à plusieurs reprises en 2000, en 2002, en 2003 et en 2006. C’est en 2003 qu’ont été adoptés les 4 niveaux d’alerte répertoriés par couleur (jaune, orange, rouge et écarlate). 1 2 1204 établissements en France, dont 647 à hauts risques (en 2014) Page 3 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Mesurer la perméabilité de l’entreprise Comment savoir si la protection et le contrôle des accès à la zone d’exercice de l’entreprise sont fiables ou faillibles ? Il convient en premier lieu de mesurer le risque en énumérant toutes les ressources indispensables au fonctionnent de l’entreprise, et de leur attribuer un niveau de criticité. La difficulté résidant en un recensement complet des vulnérabilités individuelles de chaque site et des équipements en place par rapport au risque étudié. Un audit de sûreté-sécurité est indispensable car il permettra d’avoir une vue d’ensemble de la perméabilité de l’entreprise. Le test de vulnérabilité est bien souvent le seul véritable moyen d’éprouver son système de protection. L’objectif est de d’éprouver les défenses en place et voir si il est compliqué ou en combien de temps il est possible de les déjouer. Avoir une vision de sûreté globale oblige à prendre du recul. Combien d’entreprises ont mis en place un système de badges très rigoureux avec photocopie d’une pièce d’identité etc… et font par ailleurs confiance à une société de nettoyage extérieure dont elle n’a pris aucun renseignement au sujet des salariés ? Combien d’entreprises font uniquement confiance au badge pour autoriser l’accès à leurs locaux alors que celui-ci peut être prêté, volé ou même parfois dupliqué ? Combien d’entreprises laissent les visiteurs se rendre seuls dans le bureau de la personne avec qui ils ont rendez-vous ? … Les exemples de failles foisonnent. La majeure partie des failles résulte de la mauvaise définition des mesures de sécurité à mettre en place. L’avis extérieur est absolument indispensable pour éviter toute subjectivité et tout faussement dû aux habitudes. Les technologies elles-mêmes ont leurs limites, elles correspondent bien souvent à une utilisation bien précise et peuvent être parfaitement inappropriées lors d’une utilisation détournée de leurs vocations initiales ; un système d’alarme n’est pas un système de contrôle d’accès, un système de vidéosurveillance n’est pas –à ce jour- adapté pour faire de la reconnaissance faciale… Les systèmes de protection périmétrique Ils visent à protéger l’accès aux bâtiments. On y recense quatre principaux types de produits, offrant chacun des prestations pouvant être basiques ou très évoluées, ce qui n’exclue pas le contrôle humain qui est un complément efficace. Chaque solution peut être complémentaire d’une autre, aucune ne se suffit à elle-même. Les systèmes de clôtures Nombreuses sont les solutions, depuis la clôture traditionnelle rigide, barbelée, tranchante, électrifiée jusqu’à des systèmes de clôtures intelligentes telles que des barrières infrarouges à détection morphologiques ou des systèmes à base de fibres optiques capables d’analyser le type d’intrusion et de limiter considérablement les fausses alarmes. Il ne faut pas non plus négliger les clôtures végétales épineuses (pyracanthas, aubépines, …) dont l’efficacité est bien supérieure à un grillage barbelé dès que le volume de la haie devient suffisant. Les systèmes de barrières virtuelles (infrarouge, laser, fibre optique, …) constituent un 2e rempart derrière les clôtures traditionnelles. Ils permettent la localisation de l’intrusion, parfois sa nature (tentative de sciage, d’escalade, de creusement, …). Ces technologies génèrent des alertes et permettent d’orienter l’interception de l’intrusion. Page 4 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Plus la protection périmétrique sera dissuasive (hauteur de grillage, rigidité, barbelés, …) plus grande sera son efficacité et moins les investissements en systèmes de protection électronique seront grands. Les systèmes de fermeture Ils canalisent les entrées et sorties dans le périmètre de l’entreprise. On y recense des produits tels que : portails électriques, barrières levantes, bornes levantes, herses ou portiques pour le contrôle des véhicules ; et sas, portes tambours et passages unipersonnels (une personne passe à la fois) pour l’accès des piétons –voir chapitre dédié-. Ils doivent être cohérents dans leur ensemble ; il ne sert à rien d’avoir un portail haut avec des pics anti-franchissement si vous avez des possibilités simples d’escalade de la clôture. Les systèmes de vidéo surveillance Qu’ils soient autonomes, reliés à un centre de surveillance, ou parfois programmés pour détecter une anomalie, quand un objet traverse tout ou partie du champ de vision d’une caméra. Ils enregistrent et sont aptes à passer l’information à un relais d’alarme (centrale, site de surveillance, transmetteur SMS, …). Les caméras vidéo ont un rôle essentiellement dissuasif quand elles sont placées à l’extérieur, à ce titre elles doivent être très visibles ; en intérieur elles peuvent être plus discrètes. Un système de vidéoprotection n’a pas vocation à empêcher une intrusion ; il ne peut suffire à lui seul. La vidéo surveillance est le seul système permettant de revenir en arrière sur un événement, à ce titre c’est un composant essentiel de la chaîne de sûreté. Un système de vidéosurveillance correctement calibré, proposant une haute qualité d’image peut se révéler très efficace non seulement pour apporter la preuve d’une effraction mais pour pouvoir suivre en temps réel l’évolution de l’intrus dans la zone considérée. Des systèmes beaucoup plus évolués sont capables de faire de la reconnaissance de formes en mouvement et de l’analyse comportementale sur ces formes. On peut ainsi détecter dans le brouillard une personne qui rampe sous un grillage, suivre sa progression et enclencher différentes mesures si la personne s’approche de tel ou tel bâtiment ; on peut donner une alerte si un objet est déposé dans une zone de surveillance ; ou si une personne stationne plus de quelques secondes devant une porte ou fenêtre, … Les systèmes d’alarme Reliés ou non à un centre de surveillance interne ou externe, ils peuvent intégrer un grand nombre de capteurs et être connectés à un ou des réseau(x) téléphonique(s) pour transmettre l’intrusion via un protocole de message, un message vocal, e-mail ou SMS. Ils doivent aussi signaler l’intrusion en local par une sirène et/ou un gyrophare. Le déclenchement d’une sirène d’alarme dissuade près de trois cambrioleurs sur quatre. D’autres périphériques de dissuasion peuvent renforcer considérablement l’efficacité d’un système d’alarme ; parmi eux citons principalement l’interpellation vocale à distance qui somme l’intrus de s’identifier ou de quitter les lieux, le canon à fumée qui diffuse une fumée tellement épaisse qu’en quelques secondes l’intrus ne voit plus ses mains, le stroboscope qui rend difficile toute progression saccadant les gestes, ou encore le canon à sons qui émet un son modulé intolérable. Reliés à un centre de télésurveillance, le déclenchement du système d’alarme occasionnera l’enclenchement de procédures d’intervention. Mais ne vous leurrez pas, la plupart du temps les voleurs auront largement quitté les lieux avant l’arrivée des forces d’intervention. Page 5 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Les rondes & le gardiennage La ronde est la mission qui consiste à parcourir un itinéraire déterminé, et à passer par des points de contrôle obligés pour vérifier que tout est en ordre. Elles répondent à un cahier de consignes précis. Planifiée ou aléatoire, elle a pour but de prévenir, dissuader, détecter, informer, et intervenir. Le gardiennage humain par sa localisation sur les lieux mêmes permet une intervention rapide en cas d’alerte ; et contrairement à la technologie seule, l’homme est doté d’une capacité d’analyse lui permettant des actions réfléchies. Failles et faiblesses des systèmes de protection périmétrique Il n’est pas de système de protection périmétrique qui soit efficace à 100%. Ils sont toutefois dissuasifs et jouent à ce titre un rôle important dans le processus de sécurisation de l’environnement de l’entreprise. Le choix de tels ou tels systèmes de protection périmétrique est certes fonction de la valeur des biens situés à l’intérieur de l’enceinte mais aussi de critères liés à la législation imposée en fonction des types de produits entreposés, du risque de pollution, d’explosion, ou d’utilisation détournée de ceux-ci, voire à des critères économiques (primes d’assurances, exigences clients, etc…). Les clôtures et systèmes de fermetures Ils ne sont souvent considérés que comme des retardateurs de franchissement. Ils n’en restent pas moins efficaces vis-à-vis de la petite délinquance. Mais celui qui veut passer passera ! On peut franchir une clôture de diverses façons : - Par dessous, en creusant, si le sol est meuble. Il faut avoir prévu l’enterrement d’une partie de la clôture. - Par découpe On peut éviter cela par la pose d’un câble de détection le long de la clôture, et par dissuasion avec des caméras de surveillance. - Par dessus, une simple couverture jetée sur des barbelés en haut de la clôture permettra une escalade sans risque. Seul un câble de détection permet d’alerter pour ce type de tentative. Les systèmes de vidéosurveillance Ils n’ont pas pour vocation d’empêcher l’intrusion autrement que par la dissuasion. Une simple capuche et l’individu n’est pas identifiable. Relié à un centre de vidéosurveillance, l’intrusion sera appréciée par un agent spécialisé, mais tout homme a aussi ses faiblesses. Un centre de contrôle vidéo avec 30 ou 40 écrans à surveiller pour un seul agent revient à ne rien surveiller du tout ; sauf à travailler en « écran noir » (l’écran s’allume lorsqu’une intrusion est détectée). Les caméras peuvent être programmées en mode alarme (« motion detection ») ; dans ce cas elles fourniront une information en cas de changement majeur dans l’image, au risque d’avoir de nombreuses fausses alarmes. Des systèmes d’analyse vidéo comportementale (type « Jaguar » d’Evitech) permettent d’éliminer quasi intégralement ces fausses alarmes. Page 6 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Les systèmes d’alarme Ils ne servent en fait pas à grand chose d’autre qu’à effrayer le petit délinquant et à pouvoir être assuré contre le vol ; mais cela représente toutefois les ¾ des tentatives. Un système d’alarme a plusieurs possibilités d’actions en cas de déclenchement : en local la sirène, le gyrophare ou le canon à fumée ; vers l’extérieur la connexion téléphonique et la connexion GSM en backup. La qualité des détecteurs installés est essentielle. Trop de détecteurs s’enclenchent pour de mauvaises raisons générant de fausses alarmes. Qui se préoccupe de la sirène dans l’entreprise voisine, surtout quand elle est isolée dans une Zone d’Activité ? On trouve aussi désormais dans le commerce des brouilleurs GSM (initialement prévus pour les salles de spectacles) ; il devient aisé d’activer celui-ci en premier lieu, l’alarme ne pourra plus communiquer par GSM, de couper la ligne téléphonique puis éventuellement d’obstruer la sirène. L’interpellation des délinquants est fonction de la réactivité des équipes d’intervention et de leur professionnalisme. Or, un cambriolage en entreprise dure rarement plus de 15 minutes ; le délai d’intervention d’une société de sécurité ou des forces de l’ordre est rarement inférieur à 45 minutes ! Le recours à un abonnement où l’on propose la télésurveillance + l’envoi d’intervenant est dans 99% des cas totalement inutile en cas d’intrusion. Il reste toutefois efficace si les alertes de sécurité (incendie, gaz, inondation, …) sont prises en compte par le système. Les rondes & le gardiennage Elles ne peuvent se suffire à elles-mêmes, la défaillance humaine doit être prévue et contrôlée par des techniques et des logiciels spécialisés. Elles doivent être variées en termes d’itinéraires, d’horaires et d’hommes : ne pas faire toujours la même ronde à la même heure avec le même agent. Si un agent ne passe pas par un point de contrôle au moment voulu, une alerte automatique doit être émise. Dans des périodes particulièrement sensibles pour l’entreprise, le dirigeant peut demander à ce que les forces de l’ordre passent régulièrement. Ces dernières ne pourront entrer sur le site mais effectueront un contrôle des alentours. La performance des systèmes est essentielle Plus il y a de fausses alarmes plus une véritable intrusion risquera d’être ignorée. Une branche qui passe dans le champ d’une caméra en mode alarme, une fenêtre qui ferme mal ou un capteur endommagé, un animal passant dans le champ d’un détecteur infrarouge (ou un simple courant d’air chaud), … tout cela risque de provoquer de fausses alarmes. D’où l’importance du choix du type de détecteur, de leur positionnement, de leurs réglages. Il faut aussi étudier des systèmes capables d’analyser l’alarme avant de la valider. Le coût des systèmes installés doit être à la hauteur des risques encourus, tant par la valorisation des biens sujets au vol ou aux dégradations, que par le stress lié au risque d’atteinte à l’intégrité des employés. Suivant la volonté et les moyens des intrus, ils finiront par entrer, il faut alors empêcher le vol de biens ou d’informations à l’intérieur des locaux. Page 7 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Le contrôle d’accès Qui a le droit d’accéder à tel ou tel lieu, dans quelles conditions, dans quelles tranches horaires ? Telles sont les questions auxquelles doit répondre un système de contrôle d’accès performant. Il ne supplante en aucune façon les systèmes de sécurité périmétriques. Il se situe au plus proche de l’entreprise, bien souvent à l’intérieur de la zone de production. Un système de contrôle d’accès s’articule autour de 5 éléments : - un logiciel donnant les droits d’accès aux membres du personnel - un lecteur (radio ou biométriques) - un support (badge, téléphone, tag RFID ; ou élément biométrique) - un automate comparant les demandes d’accès présentées avec les droits définis (UTL) - un mobilier d’ouverture (ventouses électromagnétiques, barrières automatiques, bornes escamotables, obstacles piétons, …) Les systèmes biométriques sont extrêmement contraints en France par la CNIL. L’autorisation de les installer n’est donnée que pour des sites particulièrement sensibles (SEVESO, ATEX, …). Dans les cas suivants, les formalités sont allégées et se réduisent à une déclaration de conformité à des « autorisations uniques » : - cas des dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalité le contrôle d’accès ainsi que la restauration sur les lieux de travail (autorisation unique N°AU- 007). - cas des dispositifs reposant sur la reconnaissance de l’empreinte digitale exclusivement enregistrée sur un support individuel détenu par la personne concernée (c'est-à-dire le badge et non l’UTL) et ayant pour finalité le contrôle d’accès aux locaux sur les lieux de travail (autorisation unique n°AU-008). En ce qui concerne les badges d’accès, système le plus répandu, Le transpondeur du badge envoi sur une onde de fréquence précise (le 125 kHz ou le 13,56 MHz mifare technologies les plus répandues) des données au lecteur de proximité. Seul un numéro d’identification peut être stocké dans le badge, et par conséquent transmis au lecteur et à l’UTL. Le contrôle d’accès par du personnel spécialisé peut venir en complément d’une technologie et s’appuyer sur des règles très strictes. Ainsi les obstacles piétons (tripodes, couloirs rapides, portes tambour, …, sont-ils majoritairement installés dans des halls d’immeubles, près de la banque d’accueil. Un système de contrôle d’accès cohérent doit pouvoir répondre au QUI, QUAND, COMMENT. Qui a le droit d’entrer ? Cette simple question soulève à elle seule un nombre important de réflexions. « QUI » implique un recensement des personnes (ou profils) autorisées ou des personnes (ou profils) indésirables. Tous les employés ont le droit d’accéder à l’entreprise mais tous n’ont pas accès au laboratoire de Recherche et Développement, au service informatique ou à la zone de production. L’employé d’un service de radiologie peut être autorisé à entrer en salle de radiographie mais y être toutefois interdit si il ne porte pas un badge de détection du taux de radioactivité et un tablier de protection ; etc… Page 8 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS En fonction du métier de l’entreprise, de celui du salarié, de l’implantation géographique, …, les conditions peuvent être différentes. Les profils doivent être étudiés avec soin. Quand peut-on accéder ? Il est évident que l’entreprise n’est accessible que pendant certaines tranches horaires. Les bureaux peuvent être considérés comme fermés de 20h00 à 7h30, le laboratoire de préparation n’est ouvert que le matin et l’usine tourne 24 heures sur 24. L’ensemble de ces paramètres doit être recensé, structuré. Comment doit-on accéder ? Quels sont les procédés d’identification à mettre en place pour que l’accès soit autorisé ? Une télécommande pour le portail d’accès, un badge pour l’accès à une zone de travail, la reconnaissance de la forme de la main pour les manutentionnaires, un contrôle biométrique et pour l’accès au système d’information… Où peut-on autoriser un accès multiple, c’est-à-dire que l’ouverture de l’obstacle peut permettre à plusieurs personnes d’entrer en même temps (entrée de véhicules, porte avec gâche ou ventouse électromagnétique, ascenseur, …)? Où doit-on s’assurer que les individus doivent entrer un à un (SAS, tripode, couloir rapide, …)? Les solutions sont multiples et leur choix résulte d’un équilibre optimum entre souplesse, niveau de sécurité, niveau de sûreté, fiabilité et coût. Les systèmes de contrôle d’accès, leurs failles et faiblesses Si nous nous bornons à étudier les systèmes de contrôle d’accès permettant de répondre aux critères Qui, Quand, Comment décrits précédemment, nous observerons des limites pour chaque solution. Systèmes de badges de proximité Parfois facilement copiables, ils ont surtout l’inconvénient majeur de pouvoir être perdus, prêtés ou volés et obligent donc leur inhibition dès le vol déclaré ; mais en attendant des risques ont été pris. Comme pour tous les systèmes à badges, il est fortement recommandé que la photo du propriétaire soit imprimée sur le support pour permettre un contrôle visuel par l’ensemble des employés de l’entreprise. Une éducation du personnel à ce sujet très importante. Suivant la technologie utilisée, le coût de remplacement des badges peut s’avérer onéreux tags RFID actifs par exemple). Certains badges intègrent un lecteur d’empreintes digitales. En même temps que l’on présente le badge, on applique son pouce sur l’emplacement du badge réservé à cet effet. Les lecteurs de badges sont identiques à un système traditionnel. Les systèmes à digicodes Ils sont simples et peu onéreux mais leur vulnérabilité est forte à cause de la durée de vie du code, souvent trop longue. Il conviendrait donc de changer tous les codes régulièrement ainsi qu’à l’occasion du départ d’un employé ; cela occasionnant le problème de la Page 9 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS diffusion d‘un nouveau code et la mémorisation de ce dernier par l’ensemble des personnes concernées. Une zone réservée à quelques individus seulement est plus facilement contrôlable avec cet outil. Les systèmes biométriques Précaution indispensable ou frein injustifié ? La CNIL surveille très étroitement l’utilisation de tels procédés. Les lecteurs autonomes, ceux ne transférant pas les informations personnelles à un serveur, peuvent obtenir l’accord de la CNIL. Pour tous les autres systèmes, une autorisation sera délivrée en fonction du respect de la loi sur les libertés individuelles. Une entreprise ne satisfaisant pas à ces exigences se verra contraindre de démonter son installation. Les lecteurs d’empreintes digitales sont aujourd’hui fiables, ils permettent une identification formelle d’un individu sans les inconvénients liés aux badges « on perd un badge, pas un doigt ». Il faut toutefois observer les limites de ces lecteurs : une empreinte digitale est reproductible, ils ne conviennent généralement pas pour du personnel dont les doigts peuvent se trouver abîmés par des travaux manuels. Même les lecteurs de cartographie veineuse ont désormais un avis défavorable de la CNIL alors que l’usurpation d’identité n’a pas été démontrée avec cette technologie. A réserver uniquement pour les sites reconnus comme très sensibles (SEVESO, ATEX, militaires,…). Les lecteurs de forme de la main prennent une image en 3D de la main. Ils s’affranchissent ainsi des doigts abimés. Ils sont fiables et sont couplés à un code PIN. La reproduction d’une main en 3D est beaucoup plus difficile que celle d’une empreinte digitale. L’inconvénient principal d’un tel système est son encombrement. Là aussi la CNIL renforce ses contraintes. La reconnaissance faciale, elle est de plus en plus efficace mais reste onéreuse et beaucoup de systèmes nécessitent encore l’immobilisation du visage de la personne pendant quelques secondes. La reconnaissance faciale en mouvement en est à ses débuts, pas encore assez fiable. Il existe d’autres applications d’authentification biométrique : reconnaissance de l’iris, de la voix, de la forme de l’oreille… utilisées de façon marginale. Les obstacles piétons Mettre en place un système de contrôle d’accès implique la plupart du temps l’installation d’obstacles piétons unipersonnels (tripodes, couloirs rapides, portillons ou portes tambours). Ces appareils veillent à ce qu’une seule personne passe à la fois. Associés au logiciel de contrôle d’accès ils permettront de savoir à un instant donné qui est encore dans les locaux de l’entreprise, et, en cas d’évacuation, si tout le monde a bien quitté les locaux. S’ils ne sont pas une garantie absolue qu’un intrus ne pourra pas entrer, ils sont un instrument de sûreté essentiel. Attention : leur implantation doit absolument suivre la législation liée aux contraintes en cas d ‘évacuation d’urgence (respect du nombre d’UP, emplacement non contraignant, …). Le choix de tel ou tel type d’obstacle piéton doit se faire en fonction des contraintes de sécurité, et en fonction du niveau de sûreté souhaité par l’entreprise. Les couloirs rapides à vantaux effaçants ou poussants offrent une excellente discrimination unipersonnelle et une vitesse de passage allant jusqu’à 60 personnes à la minute. La hauteur Page 10 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS des portillons peut aller jusqu’à 2,00m. Ils ont un excellent niveau de sûreté (si passage <= 60cm). Avec un passage de 90cm ils peuvent être ouverts en cas de détection incendie et être considérés comme UP pour l’évacuation. Dans ce cas le niveau de sûreté est très inférieur à un passage de 60cm car deux personnes peuvent passer côte-à-côte ; l’unicité de passage n’est pas garantie. Les tripodes, ou systèmes à bras tournants sont très répandus. Leur niveau de sûreté est moindre qu’un couloir rapide car il est aisé de passer par dessus ou dessous -sauf si des cellules de détection ont été installées-. Les tripodes peuvent être équipés de bras tombants pour faciliter les évacuations. Mais ne permettant jamais un passage de 90cm ils ne peuvent être considérés comme issue de secours. Les tourniquets bas, offrent une qualité d’unicité de passage comparable à un tripode. Ils ont un encombrement au sol plus important. Les tambours, communément appelés « hachoirs » sont des portillons en pleine hauteur équipés de barreaux que l’on trouve généralement en extérieur à l’entrée de sites industriels. L’unicité de passage est garantie par l’encombrement et le mouvement. Les tambours peuvent avoir 4 bras ou 3 bras. A 4 bras, l’unicité de passage est meilleure mais l’étroitesse de passage peut gêner les usagers. Les portillons PMR, ne permettent pas d’offrir une unicité de passage, ils servent, soit au passage de personnes à mobilité réduite, ou au passage d’objets encombrants ne pouvant emprunter les systèmes à unicité de passage. Leur hauteur doit être identique à celle des autres obstacles piétons et des mains courantes. Les obstacles automobiles Portails ou barrières automatiques, herses, road-blockers et bornes escamotables sont les principaux systèmes utilisés. Sauf à créer un effet de sas, en disposant par exemple 2 barrières l’une après l’autre, il est illusoire de compter sur ce type d’équipements pour faire de l’unicité de passage de véhicule car ils sont très souvent associés à des cellules ou boucles de détection empêchant l’obstruction du passage si un véhicule est détecté. Une fois ouverts, ces éléments laissent libre entrée aux piétons, dans un véhicule, plusieurs personnes peuvent entrer en même temps. Un gardiennage humain est souvent nécessaire pour vérifier l’identité des passagers d’un véhicule. Si un contrôle d’unicité de passage est souhaité il devra être effectué à l’entrée des bâtiments en non pas à l’entrée du site. Page 11 sur 12 © Laurent SCHMITTE 2015 PROTECTION PÉRIMÉTRIQUE ET CONTRÔLE D’ACCÈS Réduire les failles et coûts cachés Bien définir ses besoins en fonction des exigences de sécurité et du budget imparti est chose aisément qualifiable et quantifiable pour autant que l’ensemble des risques aient été évalués. Il convient de toujours prendre du recul face à une problématique de sûretésécurité. La réponse n’est jamais uniquement technologique. - De quoi je souhaite me protéger ? Vols en interne, intrusions extérieures, risques terroristes, risques d’espionnage industriel, dégradation de l’image de ma société, … - Qui risque de commettre ses méfaits ? Des membres de mon personnel, des voleurs de passage, des bandes organisées ? - Combien les méfaits me coûtent-ils ou bien risquent-ils de me coûter ? A estimer sur 3 à 5 ans en différents termes : financiers, d’immobilisation de la production, de démotivation du personnel, de dégradation d’image, environnementaux. - Quelles solutions, au sens le plus large, s’offrent à moi ? Installation d’équipements (lesquels, y a-t-il différentes solutions possibles), Formation de mon personnel (développement de l’esprit d’entreprise, vigilance de chacun, …), réglementaire (modification du règlement intérieur, des contrats de travail), de l’organisation du travail, … « Il ne sert à rien de mettre une rustine sur une chambre à air poreuse ». Un problème de sûreté doit être vu dans son ensemble (technologique, humain, financier, organisationnel). Quelques exemples : La sensibilisation et la formation du personnel sont indispensables : avoir toujours le badge visible, penser à interpeller une personne sans badge… La perte de temps en réaction d’une intrusion peut coûter cher, aussi est-il important de rédiger un guide détaillé des procédures à appliquer en fonction de chaque type d’intrusion et de positionner le PCS à proximité du lieu à surveiller en priorité. Pour limiter les coûts cachés il convient de procéder à une intégration judicieuse des systèmes : Si le logiciel de vidéosurveillance est à même de dialoguer avec le système d’alarme, et mieux encore avec le système de GTB, un seul point de supervision peut être défini. Faire travailler le système de vidéosurveillance en écran noir (il ne s’allume que s’il y a intrusion) on évite l’effet hypnotique d’une multitude d’écrans actifs en continu et le nombre de personnels de surveillance peut être réduit. Interfacer le système de contrôle d’accès à l’ouverture du portail à la prise simultanée d’une photo et à un « bip » en salle de surveillance, par exemple, multiplie les chances de détecter une intrusion à temps. Conclusion Chaque système apporte une brique spécifique et complémentaire à l’édifice de la sécurité optimum, il convient de les sélectionner de façon cohérente. La réelle performance d’un complexe anti-intrusion réside dans l’intégration réussie de l’ensemble de ses composants (technologiques et humains). Plus l’administration sera simplifiée, meilleure sera sa performance globale. Le budget est aussi une faille dans le système de contrôle d’accès comme il l’est pour tout système de sécurité car il n’échappe pas à la triste règle des 80/20 où 20% du budget nécessaire à une protection maximale permet de couvrir 80% des besoins et où il faut dépenser 80% d’un tel budget pour les 20% restants. La performance du système de contrôle d’accès et de sûreté de l’entreprise sera obligatoirement liée au budget alloué. Page 12 sur 12 © Laurent SCHMITTE 2015