Focus contrôle des accès
Système de contrôle d'accès par filtrage et suivi des flux d'individus, Suract® autorise l'accès aux personnes selon leurs droits, déclenche une alarme de sécurité, lève le doute par vidéosurveillance ou code ou biométrie, contrôle et surveille des ressources énergétiques, remonte des alertes techniques, supervise le site par synoptique logiciel. La création et personnalisation d'automates se fait par grafcet (fonctions logiques).
Sécurité des identifiants
Niveaux de sûreté et résistance aux attaques logiques, méthodes utilisées selon le niveau requis de résistance aux attaques.
-
Identification du badge, ou information mémorisée, ou élément biométrique
-
Authentification du badge
-
Authentification du badge, clefs dérivées
-
Authentification du badge et du porteur par un second facteur, clefs dérivées.
Suract® est capable de fonctionner avec des identifiants tels que cartes 125kHz, cartes RFID Mifare avec ou sans cryptographie, couplées ou non à un code ou élément biométrique.
L'avantage est la liberté de choisir le type de support d'identification, la méthode qui convient aux menaces et aux niveaux de sécurité requis, et de conserver ses badges existants le cas échéant.
Lecteurs de badges
Les têtes de lecture de badges se trouvent hors de la zone de sécurité et ne sont pas source de vulnérabilité. Dans certains cas, la surveillance des points d’accès est nécessaire afin de détecter toute activité suspecte sur les lecteurs. Les personnes habilitées à effectuer le paramétrage et les opérations d’entretien possèdent des droits adaptés.
Suract® a été conçu et développé pour fonctionner avec les systèmes d'identification de fabricants reconnus. Ils peuvent être raccordés simultanément dans un même système de contrôle d'accès. L'utilisateur choisi librement ses lecteurs d'accès et ses identifiants selon ses critères de sécurité.
Contrôleurs : accès physique réservé, Secure Access Module et redondance.
Le contrôleur d'accès Suract® est une carte électronique qui gère de 1 à 4 lecteurs d'accès. Ils sont situés à l’intérieur de la zone contrôlée, à l’abri des accès frauduleux. Si les contrôleurs sont maintenus par des personnes non habilitées à accéder aux clés cryptographiques, alors il faut envisager l'utilisation de modules sécurisés de type « Secure Access Module ».
La batterie de secours d'alimentation et la réplication de la base de données dans chaque contrôleur assurent la résilience du système.
Les liaisons filaires sont placées à l'intérieur de la zone contrôlée.
Réseau informatique : Les communications sont chiffrées.
En architecture mono-site ou multisites, Suract® assure le chiffrement sur les liaisons entre les contrôleurs et le serveur.
Serveur de gestion du système et postes de travail.
Véritable système d’informations, Suract® est sécurisé d'autant plus qu’il traite d’informations personnelles sensibles. Sa sécurité passe par l’application des mesures habituelles de pare-feu, application régulière des correctifs de sécurité, antivirus, gestion des comptes utilisateurs, authentification forte ...
Une attention particulière est portée lorsque le système de contrôle d’accès est connecté à d’autres systèmes par le réseau.
Logiciel de gestion du système.
Le logiciel gère l’intelligence applicative, il pilote les contrôleurs électroniques.
-
Centralisation des journaux d’événements, archivage sécurisé et consultation en temps réel ;
-
Remontée des événements, sous forme d’alertes ou de rapports journaliers ;
-
Gestion des identifiants, des droits, des groupes, des dates d’expiration ... ;
-
Maintenance en temps réel de la base de données centrale ;
-
Sauvegarde régulière de la base de données ;
-
Pilotage en temps réel des contrôleurs ;
-
Authentification pour contrôler l’accès au logiciel.
Architectures de lecture de badges.
Le badge sécurisé s’identifie et s’authentifie directement au contrôleur par l’intermédiaire du lecteur transparent qui transmet les messages sans les modifier, et ne participe pas au protocole cryptographique.
-
Le badge sécurisé ne peut pas être cloné ;
-
Aucune information ne circule en clair ;
-
Le lecteur ne contient aucun élément secret.
Le badge sécurisé, s’identifie et s’authentifie au lecteur. Ce dernier a une liaison sécurisée avec le contrôleur.
-
Le badge sécurisé, ne peut pas être cloné ;
-
La liaison filaire est protégée.
Une attention particulière est portée au lecteur situé hors de la zone de sécurité, et qui contient les secrets permettant l’authentification de la carte et de protection de la liaison filaire.
Interconnexion avec un système de gestion des ressources humaines
La norme simplifiée n°42 de la CNIL tolère ce type d'interconnexion. Elle contribue à la mise à jour des droits d’accès notamment en cas de révocation de droits. Une telle interconnexion requiert un lien par le réseau informatique. Selon les exigences de sécurité, ce type d'interconnexion et d'autres processus organisationnels d’arrivée et de départ seront examinés.
Interconnexion avec le système de contrôle du temps de travail
La norme simplifiée n°42 de la CNIL autorise l'association de ces fonctionnalités. Néanmoins, il est préférable que l’ensemble soit nativement pensé comme un projet global. Compte tenu de la sensibilité du sujet, il est préférable de disposer d’un système de pointeuse à proximité du contrôle d’accès qui pourra utiliser la même carte.
L’interconnexion avec les systèmes d’alertes de sécurité, notamment d’incendie, est une obligation réglementaire
En cas de catastrophe nécessitant une évacuation, notamment les incendies, mais aussi d’autres risques selon les cas, des procédures sont définies. Les accès concernés par l’alarme sont déverrouillés, afin de ne pas bloquer ni ralentir l'évacuation, et la liste des personnes se trouvant à l'intérieur est éditée.
En cas de panne d’un ou plusieurs composants du système, le responsable du site choisi le mode de fonctionnement dégradé selon des objectifs de sécurité, de la configuration du site et des capacités de l’organisme.
La redondance se situe au plus haut niveau d'importance afin de garantir la résilience du système.
Suract® est compatible avec ces exigences, notamment assurer la continuité de fonctionnement en cas de coupure temporaire d'alimentation électrique ou de rupture de réseau informatique. Il est aussi capable d'éditer la liste des personnes par zone. Le SSI assurera directement le déverrouillage des dispositifs de sécurité concernés, notamment aux issues de secours.
Gestion des droits et des badges d’accès
Les droits d’accès sont définis pour chaque catégorie de personnes, de préférence par la configuration par groupes d’usagers puis l'ajout d'accès personnalisés.
Les procédures de définition des groupes et des droits individuels sont formalisées, et sont validées par les responsables de sites ou d'établissements.
Accès génériques
La création, personnalisation et remise du badge sont effectuées sous le contrôle du gestionnaire, en gestion locale ou centralisée. Une date de fin de validité du badge est programmée en cas de besoin pour un stagiaire, contrat à durée déterminée, fin de mission anticipée ... Lors du départ d'un usagers, les droits sont révoqués. L’historique des accès est consultable pour des vérifications régulières.
Accès particuliers
La gestion des profils d’usagers occasionnels, tels que visiteurs, est adaptée tout en maintenant les exigences de sécurité du site. Les badges perdus ou non restitués sont gérés de manière adaptée.
Concernant les visiteurs, la procédure d'attribution de badge peut être différente selon le statut du personnel qui accueille le visiteur. Selon le niveau de sécurité recherché, la fonction escorte est configurée afin d'interdire le déplacement de visiteur seul.
Les usagers privilégiés possèdent des droits étendus tels que l'accès complet au système, la reprogrammation de lecteurs ... Un usager peut utiliser plusieurs badges, et ainsi conserver le badge à droits étendus à l'intérieur du site.
Oubli, perte ou vol de badge
Un badge de substitution d’une durée de validité limitée est délivré. Le badge oublié est invalidé temporairement.
En cas de perte ou vol, le badge est invalidé définitivement.
Surveillance des accès - Analyse des journaux d’événements
Les journaux d’événements sont centralisés de manière exhaustive par le logiciel Suract®, et sont consultables par le gestionnaire du système. Des contrôles réguliers sont effectués afin de détecter toute erreur ou anomalie.
-
Rapport des badges non utilisés ;
-
Liste des accès visiteurs ;
-
Rapport d’utilisation des badges privilégiés ;
-
Liste des accès refusés ;
-
Liste des accès en dehors des plages horaires normales de travail et en dehors des jours ouvrés ;
-
Rapport des accès et d'utilisation du logiciel.
Alarmes de sécurité
En plus des rapports réguliers sur les journaux d’événements, des alarmes de sécurité sont configurées et prises en compte. Elles sont remontées par e-mail ou messages textes envoyés sur des téléphones mobiles afin de consultation rapide.
De telles alertes sont configurées pour des événements tels que.
-
Tentatives d’accès refusées et répétées ;
-
Défectuosité d’un élément, tête de lecture, contrôleur ;
-
Alarmes systèmes, applicatives du serveur ;
-
Alarme intrusion ;
-
Alertes techniques ;
-
Tentative d’accès refusée à une zone sensible ;
-
Porte restée ouverte au-delà du délai autorisé ;
-
...
Procédures d’exploitation particulières, fonctionnement dégradé
Panne d'un lecteur de badges
Nous conseillons la constitution et maintien d'un stock de lecteurs afin de garantir leur remplacement le plus rapidement possible. Pendant la panne, selon les exigences et l’emplacement, plusieurs solutions sont possibles.
-
Laisser la porte ouverte, en acceptant le risque ;
-
Contrôler les flux de personnes manuellement ;
-
Condamner la porte, en respectant la réglementation sur la sécurité des personnes ;
Panne de contrôleur
La problématique est la même que pour un lecteur de badges défaillant, tous les lecteurs contrôlés sont non opérationnels.
Panne du serveur, du logiciel Suract® ou du réseau informatique
Les contrôleur Suract® possèdent une copie de la base des droits afin de continuer à fonctionner de manière autonome. Pendant la panne, la création de badges et leur révocation n’est pas possible, ni la génération des rapports ou la consultation des événements. Faiblement critique, cette situation se gère sans impact important.
La reprise après incident se fait à partir des dernières sauvegardes, sans perte car les contrôleurs Suract® remontent les évènements observés pendant la panne.
Coupure électrique
Les batteries prennent le relais d'alimentation électrique afin d'assurer la continuité de fonctionnement des points d'accès. Néanmoins, il est conseillé de contrôler le verrouillage de chaque porte sensible. Lorsque la durée de la panne excède l’autonomie sur batterie, la panne relève de l’incident grave. Il convient de contrôler les portes qui pourraient rester verrouillées alors que la réglementation sur la sécurité des personnes en impose le déverrouillage.
Crise ou incident grave - Il s'agit d'incident rendant le système non opérationnel dans sa quasi-totalité.
Panne du système
Dans ce cas précis, le contrôle d’accès n’est plus opérationnel pour différentes raisons telles que corruption des bases de données, panne électrique plus longue que l’autonomie des éléments support ...
-
La sécurité des personnes est la priorité, tout système de verrouillage non alimenté en électricité doit tout de même permettre son ouverture en sortie ;
-
Le besoin d’entrer peut subsister, ces portes doivent pouvoir être ouvertes par un moyen mécanique.
Attaques malveillantes
Il s'agit de cas où le système de contrôle d’accès est remis en cause par la diffusion sur internet de vulnérabilité. Suract® n'utilise aucune connexion web, ce qui le protège de ce type de risques.
En cas d’alerte incendie
La réglementation impose que les issues et dégagements permettent une évacuation rapide en cas d’incendie. Dans ce cas, les accès ne sont plus contrôlés par le système Suract®, le SSI déverrouille directement les dispositifs de sécurité et des moyens alternatifs de contrôle des accès sont activés.