Les systèmes de gestion des accès

Suite à la recrudescence des cambriolages, des vols, de dégradation, ... le contrôle d’accès devient un élément indispensable à la sécurité. D’abord utilisé dans les milieux sensibles (centre de recherche, banque, zones militaires, ...), il est déployé dans les petites et moyennes entreprises et maintenant chez les particuliers.

Selon la situation, il peut être très basique (un simple code pour accéder partout) ou constitué d'un système très complexe (biométrie pour accéder à une zone).

Par exemple, sur une zone contenant plusieurs bâtiments, nous aurons une structure comme suit :

• Une unité de traitement centralisé de contrôle d’accès :

• Gère l’ensemble des unités de traitement local.

• Des unités de traitement local de contrôle d’accès :

• Elles sont placées à chaque point d’accès,

• Elles sont indépendantes les unes des autres.

• Une unité de traitement de supervision de contrôle d’accès :

• Située dans un PC (Poste de Contrôle),

• Un vigile surveille les accès.

Un contrôle d’accès repose sur la surveillance et la vérification des entrées et des sorties. Il vérifie qu’une personne possède les droits afin d’accéder à une zone.

Il a deux fonctionnalités majeures :

• Filtrer les personnes et véhicules,

• Gérer les accès en fonction d’une hiérarchie (bâtiments, pièces, étages, ...) afin d’en garder une trace, ou suite à une intrusion, analyser les failles de sécurité.

De plus, il peut avoir diverses fonctions :

• Contrôle suivant des horaires (musée),

• Systèmes de paiement (restaurant d’entreprise, Péages, ...),

• Gestion d’un parc automobile,

• Autres services communs à des utilisateurs.

Selon le type de “clientèle”, le système de contrôle d’accès sera plus ou moins complexe avec des technologies basiques ou de pointe.

• Tertiaire :

• Niveau 1 : Contrôle avec badge donnant accès à tous (immeuble),

• Niveaux 2 à 7 : Hiérarchisation des accès en fonction de l’organisation interne (salle des serveurs informatiques, archives, bureaux administratifs, ...),

• Système : Utilisation de carte ou de badge à contact (moins coûteux).

• Industriels :

• Niveau 1 : Gestion des accès extérieurs,

• Niveau 2 : Gestion des accès intérieurs,

• Niveau 3 : Gestion des accès dans des locaux à très haute sensibilité.

• Système :

• Identification à distance,

• Utilisation de cartes ou de badges à contact ou sans contact.

• Sites sensibles :

• Niveaux hiérarchiques multiples,

• Système :

• Code unique pour chaque personne,

• Badge,

• Biométrie :

• Pupille,

• Main,

• Vocale,

• Visages, etc.

Selon le niveau de sécurité et le type de bâtiment à protéger, il existe des types d’accès :

• Par identification

• Par hiérarchisation

Identification

Chaque accès à des zones spécifiques est assurée par l’identification automatique des personnes ou véhicules qui transitent aux points de passages obligés. L’identification suppose alors un traitement informatique des données.

L’identifiant appartient à l’usager. Il lui permet de fournir son identité automatiquement à un processeur, créant ainsi le couple « identifiant-identifieur ».

Cet identifiant peut être sous forme de badge, carte, ou autre support d’information.

Le risque est que celui qui le porte n’en soit pas le propriétaire.

L’identifieur peut être un lecteur ou un capteur. Il a pour fonction de décrypter l’information contenue dans l’identifiant. C’est pourquoi la technologie de l’identifiant et de l’identifieur doivent s’accorder.

L’identification directe par lecteur peut être complétée par des systèmes qui renforcent le contrôle d’identité. Un système biométrique peut être ajouter, ou la demande de saisie d’un code sur un clavier.

Hiérarchisation

La hiérarchisation permet de définir quels individus ont accès à telle zone, selon quels critères et par quel itinéraire. Ce principe de raisonnement permet d’obtenir un bon système de contrôle d’accès car il permet à l’entreprise de caractériser son système en définissant une série de règles, d’organiser le fonctionnement de l’ensemble, de réguler les flux, de gérer les accès et de prendre des décisions d’interventions efficaces.

Dans ce système, les individus sont classés par groupes auxquels seront attachées des conditions d’accès strictes et communes.

Par conditions d’accès, il faut entendre ce qui relève du droit d’accès : tel groupe est habilité à telle zone en fonction de tel besoin identifié et caractérisé, dans telle tranche horaire, permanente ou momentanée.

De l’extérieur de l’entreprise jusqu’à son cœur sensible, il faut définir un ensemble de zone : plus on se rapproche du cœur, plus l’accès est limité et restrictif.

Pour le personnel de l’entreprise, le contrôle d’accès réagit sur la base d’un raisonnement « oui, si... » ; pour les personnes extérieures, le contrôle d’accès réagit sur la base d’un raisonnement « non, mais... ».

Ce type de contrôle implique de s’imposer des frontières étanches, de définir et de matérialiser les points de contrôle et d’identification.

Le contrôle d’accès doit donc savoir lire des informations en vue de l’identification des personnes, les comparer par rapport à une base de données référentielles pour :

• Opérer (décider puis agir),

• Alarmer (signaler l’accès ou la tentative d’accès refusée),

• Mémoriser (conserver un historique).

Magnétisme :

Ce type de technologie se présente sous forme de cartes magnétiques :

• Carte à piste magnétique (possède une bande magnétique noire)

• Information numérisée

• Faible coût, bonne comptabilité avec beaucoup de systèmes.

• Carte à induction (de moins en moins utilisée) :

• Constituée d’aimants qui, en fonction de l’orientation, forme des valeurs binaires (0 ou 1).

• Carte à effet Wiegand :

• Constitué d’un poste magnétique incorporant des fils métalliques torsadés.

• Carte magnétique Watermark :

• Composée de deux pistes magnétiques superposées encodables,

• Non reproductible et infalsifiable.

Autre technologie :

• Puce :

• Constituée d’un circuit intégré avec une mémoire (REPROM ou PROM) ou d’un microprocesseur.

• Stockage d’informations très sécurisées.

• Contenu modifiable.

• Code-barre :

• Constitué de barres claires ou sombres avec des largeurs variables.

• Radio :

• Étiquette radio (utilisée surtout sur les vêtements).

• Lorsqu’elle traverse un champ magnétique, elle est alors alimentée et permet au lecteur de lire l’identification (système passif).

• Cette technologie peut être alimentée avec une pile (système actif).

• La perforation :

• Badge constitué d’une grille de perforations constituant un code.

• Une fois inséré dans un boîtier, des LEDs s’allument et de l’autre côté des récepteurs analysent la lumière filtrante.

Tout lecteur (ou identifiant) a besoin, pour fonctionner, d’une alimentation.

Lorsque leur intelligence (numéros de badges, codes, commandes d’ouverture de la gâche, etc.) est incorporée, ils sont « autonomes » : car ils décident en effet d’ouvrir et de commander l’ouverture.

En revanche, lorsque l’intelligence est déportée sur un ordinateur, ils ne sont pas autonomes, ils sont alors « centralisés ».

• Les lecteurs autonomes :

• Ils ne gèrent qu’une porte ou qu’un accès.

• En cas de panne un accès est pénalisé.

• Les lecteurs centralisés :

• Leur avantage est d’avoir une grande souplesse du fait de leur lien avec une unité centrale.

• L’entreprise centralise alors la programmation de l’ensemble des contrôles en un même point (Poste de Contrôle),

• Ce système permet de n’avoir qu’une seule source d’information et de connaître à tout instant l’état de l’installation.

• Lecteurs téléchargés :

• Utilisés sur des grandes distances,

• Les lecteurs sont reliés à une centrale mais ils restent autonomes,

• Ils téléchargent les fichiers d’identification depuis l’unité centrale et peuvent ensuite fonctionner en autonomie même en cas de passe sur l’unité centrale.

Le verrouillage est dépendant des équipements mis en place. Il doit être fonction du niveau de sécurité souhaité (solidité, ...).

Il se présente sous différents types :

• Gâche électrique à émission ou rupture :

• Elle permet le verrouillage ou le déverrouillage d’une serrure et sécurise davantage le lieu et facilite l’accès.

• La gâche à émission permet l’ouverture de la porte par alimentation de celle-ci, elle est installée pour la sécurité des biens.

• La gâche de rupture déverrouille la porte en cas de rupture de courant et permet l’évacuation d’urgence.

• Ventouse électromagnétique avec boîtier bris de glace :

• Elle remplace une gâche électrique à rupture pour assurer le verrouillage d’une porte, le boîtier bris de glace permet le déverrouillage d’urgence.

• Tourniquet ou tripode : permet le passage d’un usager unique. Il permet notamment le comptage et l’utilisation de l’anti-passback

• Barrière levante ou portail motorisé :

• Permettent de contrôler l’accès des véhicules légers et poids lourds.

Les principales terminologies utilisées par la profession pour définir les procédures propres au contrôle d’accès sont les suivantes :

• La validation :

• Badge validé dont le numéro correspond à un identifiant dans la base de données.

• Numéro de lecteur :

• Un badge sera autorisé ou non à franchir une porte reconnue par le numéro du lecteur qui lui est attaché.

• Zone de temps :

• Contraintes horaires : Le badge doit être présenté sur un certain créneau horaire prédéfini.

• Statut ou profil :

• Ensemble d’autorisations. Les usagers ayant les mêmes droits auront le même profil.

• Décompte :

• Un badge peut être utilisé un certain nombre de fois.

• Anti-pass-back ou anti-retour :

• C’est la caractéristique pour un badge de ne pas pouvoir franchir deux fois de suite un lecteur

• Recyclage temporisé ;

• C’est l’impossibilité́ pour un badge de franchir deux fois de suite un même type de lecteur dans un temps donné.

• Cheminement :

• Tel badge passé au lecteur de type A doit se présenter, dans un délai donné, sur un lecteur de type B puis de type C.

• Télécommandes :

• Depuis l’unité́ centrale, on peut donner un ordre qui, le plus souvent, sera reçu par un lecteur pour décondamner une porte, soit pour un passage, soit pour un laps de temps. Exemple : système anti-panique.

Lors de la mise en place d’un système de contrôle d’accès, il est fortement recommandé de tenir compte des préconisations des commissions de sécurité, des forces de l’ordre, des pompiers et des organismes certifiés tel que l’APAVE, SOCOTEC, ...

Lors de la mise en place d’un contrôleur d’accès, des données concernant le personnel vont être stockées dans une base de données :

• Nom,

• Prénom,

• Date de naissance,

• Email, numéro de téléphone,

• Caractéristique physique (biométrie),

• ...

Toutes ses données sont personnelles et sensibles. L’entreprise ne peut les obtenir sans le consentement de la personne.

Avant toute installation, l’entreprise se doit d’en avertir le Comité d’Hygiène et de Sécurité (CHSCT), l’Inspection du travail et le Comité d’Entreprise (CE), et de justifier la nécessité d’un contrôle d’accès.

Auparavant, il fallait obtenir l’accord de la Commission Nationale de l’Informatique et des Liberté (CNIL). Aujourd’hui, ce n’est plus le cas. En effet une nouvelle norme a été mise en place : la RGPD (Règlement Européen sur la Protection des Données).

Chaque entreprise devient responsable des données qu’elle stocke. Elle doit être capable de les tracer (comment elle sont obtenues, comment elles sont traitées, où elles sont stockées, comment elles sont sécurisées, ...).

Chaque personnel ayant des données enregistrées dans l’entreprise est en droit de les consulter, de les modifier ou de les supprimer.