Pour de nombreuses entreprises, le contrôle d’accès physique est une composante fondamentale ayant une multitude de fonctionnalités comme l’ouverture de portes d’accès aux parkings, aux bâtiments, aux salles sécurisées ou encore pour l’ouverture de sessions informatiques. De manière générale, la technologie et les systèmes ont peu évolué au cours des vingt dernières années, mais les progrès technologiques poussent les fournisseurs de solutions de sécurité à opter de plus en plus souvent pour des dispositifs mobiles. Le remplacement des badges classiques ou des clés électroniques par une application mobile connaît un vif succès, cependant les utilisateurs finaux restent encore dubitatifs quant aux avantages du contrôle d’accès mobile.
Finissons-en avec les mythes sur le contrôle d’accès mobile !
1) Pourquoi remplacer un système qui fonctionne ?
Les entreprises pensent souvent que pour modifier ou moderniser leur système de contrôle des accès physiques, elles vont devoir faire table rase de la solution déjà en place et repartir de zéro. Les décisionnaires sont réticents à donner le feu vert à des dépenses liées à la sécurité, domaine traditionnellement perçu comme non prioritaire, ou ne nécessitant pas une intervention immédiate. Et par conséquent, ils en concluent souvent qu’il n’est pas indispensable de changer un système qui fonctionne. Pourtant, il suffit d’étudier la question d’un peu plus prés pour se rendre compte que le remplacement d’une solution déjà en place est très simple. La plupart des nouveaux systèmes de sécurité peuvent être intégrés à une infrastructure existante, et tous les anciens composants (câbles, contrôleurs, et même lecteurs) peuvent être réutilisés. Avantage : une réduction considérable des coûts globaux de mise à niveau, et des interruptions minimes pour les collaborateurs. Certaines solutions sont même rétro-compatibles et s’intègrent sans difficulté aux infrastructures existantes. Les équipements mobiles des utilisateurs restent eux aussi quasiment inchangés car il n’est pas nécessaire de s’équiper d’appareils mobiles spécifiques ou d’installer de nouvelles cartes microSD : il suffit de télécharger une application !
Les gestionnaires de sites cherchent bien évidemment à limiter toute indisponibilité de leurs installations, surtout s’il s’agit d’une modernisation non prioritaire. Certes, les systèmes subiront quelques interruptions, mais elles resteront minimales si l’on a eu soin de choisir un prestataire fiable, dont les produits seront faciles à intégrer.
2) Panne de smartphone, plus d’accès ?
Que se passe-t-il si un smartphone n’a plus de réseau ? En effet, la couverture réseau est parfois insuffisante à certains endroits. Dans ce cas, l’utilisateur va-t-il se retrouver dans l’incapacité d’entrer ou de sortir du bâtiment s’il n’a pas de réseau ? Bien sûr que non ! La communication entre un lecteur de contrôle des accès physiques et un téléphone portable ne transite pas par le réseau, les zones sans couverture ne posent donc aucun problème.
L’autonomie de la batterie des smartphones laisse souvent à désirer. L’on croit souvent que l’activation de la fonction Bluetooth la réduit encore davantage. Or, l’accès mobile est conçu avec la technologie NFC (Near Field Communication) ou BLE (Bluetooth Low Energy), toutes deux à faible consommation et avec un impact négligeable sur la batterie.
3) Les smartphones ne sont pas sûrs
N’est-il pas plus facile de pirater un équipement mobile à distance plutôt qu’un badge que son utilisateur conserve sur lui en permanence ? En réalité, les identifiants mobiles sont plus sécurisés que les anciens systèmes, car ils ont recours à des modes de chiffrement dotés de fonctions sophistiquées de sécurité et de confidentialité qui sont très difficiles à intégrer à un badge classique.
Que faire en cas de vol du téléphone de l’utilisateur ? Tout comme les badges les accréditations peuvent alors être révoquées dès que le vol a été signalé. À la différence des badges classiques, la révocation est immédiate et l’accès est aussitôt désactivé. En outre, les appareils mobiles peuvent mettre à jour les éléments de sécurité dynamiquement, alors que la modification des données d’un badge exige plus de temps et entraîne des coûts supplémentaires. Une fois l’application téléchargée, l’utilisateur doit faire vérifier son appareil par le système via un code de confirmation fourni. C’est seulement lorsque le code d’enregistrement aura été authentifié que l’équipement pourra alors être utilisé comme identifiant mobile.
4) Big Brother
Les collaborateurs tendent à penser que l’installation de badges virtuels sur leur mobile permet au service informatique et à la direction de surveiller non seulement leurs déplacements mais aussi leurs habitudes d’utilisation. Cet argument, bien que compréhensible, est tout simplement erroné. Une entreprise ne peut pas accéder aux informations personnelles d’un collaborateur, seule l’application est accessible. La plupart des fournisseurs de solutions de contrôle des accès mobiles stockent le strict minimum, nécessaire au fonctionnement de l’application (identifiant push du mobile, version du système d’exploitation, …) comme c’est le cas pour de nombreuses applications du commerce. Les données de géolocalisation ne sont pas stockées, mais il est toutefois important de vérifier la politique de confidentialité lors de l’installation de l’application, car elle varie selon les fournisseurs.
De nombreuses applications de sécurité utilisent la technique du ‘bac à sable’ (sandboxing) qui consiste à isoler des programmes afin d’empêcher des logiciels malveillants ou intrusifs d’endommager le téléphone d’un utilisateur ou de dérober ses informations. Elle garantit ainsi la protection des données des usagers. Le placement en bac à sable de l’application et la restriction de ses droits permettent de sécuriser les autres contenus du téléphone. En cas de tentative d’accès à des informations non définies dans les paramètres d’autorisation d’une application, comme la géolocalisation de l’utilisateur par exemple, la permission est alors facilement refusée. Cela empêche les accès non autorisés aux informations du téléphone, provenant tant de l’extérieur (pirates informatiques) que de l’intérieur (autres collaborateurs de l’entreprise).
5) Incompatibilité du système d’exploitation
iOS ou Android ? Android ou iOS ? Ce débat n’est plus d’actualité ! La majorité des fournisseurs assurent la compatibilité des identifiants et de tous les systèmes d’exploitation mobiles. Grâce à la technique d’émulation des cartes hébergées (HCE) d’Android, il est possible d’émuler une carte sans contact sans devoir recourir à un élément sécurisé (SE) et d’éviter ainsi de dépendre de l’opérateur de réseau mobile. Cela permet aux applications Android de communiquer directement avec les lecteurs et terminaux NFC, et d’éliminer toute incompatibilité de l’opérateur mobile.
Conclusion
Un projet de modernisation des systèmes de contrôle d’accès physique implique de prendre en compte plusieurs facteurs en plus des implications financières. De nombreuses solutions de fournisseurs d’identifiants mobiles s’intègrent sans difficultés aux infrastructures d’accès physique existantes, mais offrent aussi plus d’avantages auxquels n’ont pas accès les utilisateurs de badges traditionnels ou de clés électroniques. Les données de chiffrement supplémentaires des appareils mobiles garantissent une protection plus robuste de l’identification de l’utilisateur qu’avec une solution traditionnelle.
Il incombe donc au fournisseur de sécurité de comprendre les inquiétudes des utilisateurs finaux et de les rassurer. Les systèmes traditionnels de contrôle d’accès physique ont toujours un rôle à jouer dans la sécurité et la protection des sites, mais face à l’utilisation croissante des mobiles dans la vie quotidienne, la survie à terme de ces anciens systèmes est une question qu’il convient de se poser.
__________
Martial Gonzalez est Directeur des Ventes Europe du Sud – Contrôle d’Accès Physique, HID Global