Le contrôle d’accès a changé de statut sans toujours changer de modèle. Connectés, exposés et souvent construits sur des bases anciennes, les dispositifs physiques concentrent désormais une part croissante des angles morts cyber.

Longtemps considérée comme un sujet à part, la sécurité physique repose encore majoritairement sur des architectures conçues à la fin des années 1980. Lecteurs de badges, unités de traitement locales, centrales de contrôle : ce schéma, toujours dominant, structure aujourd’hui l’accès à des milliers de bâtiments, de sites industriels et d’infrastructures critiques.

Or, dans un contexte où les systèmes d’information ont profondément évolué, cette inertie pose question. Les menaces ne sont plus uniquement physiques. Elles sont désormais numériques, hybrides, opportunistes, et exploitent précisément les zones de friction entre systèmes IT, réseaux et équipements de terrain.

Des architectures héritées, exposées à des risques cyber modernes

Le modèle classique du contrôle d’accès repose sur une architecture centralisée : un lecteur communique avec une unité de traitement, elle-même connectée à une centrale qui décide de l’autorisation d’accès. Ce modèle, souvent imposé par des contraintes de certification, suppose une infrastructure réseau stable, un périmètre clairement défini et une confiance implicite dans les équipements déployés.

Dans le même temps, la cybersécurité a connu une évolution rapide : généralisation du chiffrement fort, gestion fine des identités, segmentation des réseaux, réduction des surfaces d’attaque. Ces principes ont progressivement été appliqués aux systèmes d’information, mais beaucoup plus rarement aux dispositifs de sécurité physique, pourtant de plus en plus connectés.

Presqu’une génération entière est passée et la difficulté est de sortir de ce paradigme : des systèmes de chiffrement locaux, basés sur un simple badge. Ce décalage n’est pas théorique. Selon les données du marché et des leaders de l’identification, près de 60 % du parc installé de badges RFID repose encore sur des technologies de type MIFARE Classic dont le niveau de sécurité n’est plus reconnu par l’ANSSI depuis 2008.

Dans ce contexte, la question n’est plus de savoir si un site peut être compromis, mais à quelle vitesse un attaquant identifiera la faille la plus accessible.

Vers une convergence nécessaire entre sécurité physique et cybersécurité

C’est précisément à cette frontière que se situent aujourd’hui les principaux angles morts. Les systèmes de contrôle d’accès sont devenus des objets connectés, intégrés aux réseaux de l’entreprise, mais continuent d’être pensés comme des équipements isolés, relevant davantage de la sûreté que de la cybersécurité.

Une approche plus cohérente consiste à considérer la sécurité physique comme un sujet cyber à part entière. Cela implique de repenser l’architecture : réduire les dépendances à des centrales uniques, limiter les surfaces d’attaque, intégrer nativement des mécanismes cryptographiques robustes et adopter une logique de résilience plutôt que de périmètre fermé.

La question fondatrice devient alors simple : pourquoi un lecteur d’accès devrait-il nécessairement dépendre d’une infrastructure centrale pour être sécurisé ? Pourquoi ne pas déplacer l’intelligence et la confiance au plus près de l’équipement, dans une logique proche de celle appliquée aujourd’hui aux systèmes distribués ?

À mesure que les frontières entre systèmes physiques et systèmes d’information s’estompent, ignorer cette convergence devient un risque en soi. Repenser la sécurité physique à l’aune des principes de la cybersécurité n’est plus une option technique : c’est désormais un impératif opérationnel.

____________________________

Par Gaël Lededantec, fondateur d’Akidaia

____________________________

À lire également :

Renforcer la résilience en cybersécurité dans les secteurs critiques

Rapport HID 2026 : à l’ère de NIS2, l’identité devient un enjeu critique de cybersécurité

Contrôle d’accès : pourquoi le sneaker net n’a plus sa place en 2025

Pourquoi et comment superviser les systèmes de sécurité physique ?

Au-delà de la surveillance : le rôle critique de la sécurité des terminaux dans les environnements OT

Cybersécurité : atteindre l’équilibre