contrôle d’accès

contrôle d’accès

L’anti passback : pourquoi est-ce important ?

Si vous gérez une entreprise, vous savez à quel point il est important de contrôler les accès à vos locaux, à vos données et à vos ressources. Vous utilisez peut-être déjà un système de badgeage pour identifier et autoriser vos employés, vos visiteurs ou vos prestataires à entrer dans certaines zones. Mais savez-vous ce qu’est l’anti passback et comment il peut renforcer la sécurité de votre système de contrôle d’accès ?

L’anti passback est une fonctionnalité optionnelle qui permet de s’assurer qu’un badge ne peut être utilisé qu’une seule fois pour entrer ou sortir d’une zone protégée. Par exemple, si un employé entre dans une salle informatique avec son badge, il ne pourra pas ressortir avec le même badge sans avoir préalablement badgé en sortie. De même, il ne pourra pas prêter son badge à une autre personne pour qu’elle puisse entrer dans la même zone.

L’anti passback permet donc de lutter contre le prêt, le clonage d'un badge ou le vol de badge, qui peuvent compromettre la sécurité de votre entreprise. En effet, si une personne non autorisée accède à une zone sensible, elle peut y causer des dommages, voler des informations confidentielles, introduire des virus ou des logiciels malveillants, ou encore activer des alarmes ou des dispositifs de sécurité.

Pour que l’anti passback fonctionne, il faut que votre système de contrôle d’accès soit équipé de lecteurs de badge en entrée et en sortie des zones protégées, et que ces lecteurs soient reliés à une centrale qui gère la logique de l’anti passback. Il faut également que vos badges soient dotés d’une puce électronique qui enregistre les informations de passage.

L’anti passback peut être appliqué à différentes zones de votre entreprise, selon le niveau de sécurité que vous souhaitez. Par exemple, vous pouvez mettre en place un anti passback sur :

  • L’entrée principale de votre site, pour éviter que des personnes extérieures ne profitent d’un badge oublié ou perdu pour entrer dans vos locaux.
  • Le parking de votre entreprise, pour éviter que des employés ne se garent à votre place ou que des visiteurs ne stationnent sans autorisation.
  • Les accès aux bâtiments ou aux étages, pour limiter l’accès aux seuls employés habilités à travailler dans ces zones.
  • Les salles sensibles, comme les salles informatiques, les salles de stockage, les laboratoires, les salles de réunion, etc., pour protéger vos données, vos équipements, vos produits ou vos projets.

L’anti passback peut être paramétré selon différents modes, selon le degré de contrainte que vous souhaitez imposer à vos utilisateurs. Par exemple, vous pouvez choisir un mode :

  • Strict, qui interdit tout passage en sens inverse sans avoir badgé en sortie au préalable. Ce mode est le plus sécurisé, mais il peut être contraignant en cas d’oubli ou d’erreur de badgeage.
  • Temporisé, qui autorise un passage en sens inverse après un certain délai. Ce mode est moins sécurisé, mais il permet de gérer les cas de force majeure, comme une évacuation d’urgence ou une coupure de courant.
  • Tolérant, qui autorise un passage en sens inverse dans la limite d’un nombre de passages autorisés. Ce mode est le moins sécurisé, mais il permet de gérer les cas de passage fréquent, comme le passage d’un chariot ou d’un matériel.

L’anti passback est donc une fonctionnalité qui peut vous aider à renforcer la sécurité de votre entreprise, en complément d’un système de contrôle d’accès classique. Mais pour que votre système soit efficace, il faut également respecter certaines bonnes pratiques, comme :

  • Choisir des badges adaptés à vos besoins, en termes de technologie, de design et de durabilité.
  • Configurer vos badges en fonction des profils et des droits d’accès de vos utilisateurs, en utilisant un logiciel de gestion des badges.
  • Sensibiliser vos utilisateurs à l’importance de la sécurité et aux règles à respecter, comme ne pas prêter ou perdre son badge, le porter de façon visible, le présenter correctement au lecteur, etc.
  • Contrôler régulièrement le bon fonctionnement de votre système, en vérifiant l’état des lecteurs, des badges, des câbles, de la centrale, etc.
  • Réagir rapidement en cas d’incident, comme un badge défectueux, un lecteur en panne, une tentative d’intrusion, etc.

En suivant ces conseils, vous pourrez optimiser votre système de contrôle d’accès et bénéficier des avantages de l’anti passback, comme :

  • Une meilleure traçabilité des passages et des présences dans vos locaux, grâce aux données enregistrées par les badges et les lecteurs.
  • Une meilleure protection de vos informations et de vos ressources, grâce à la limitation des accès aux zones sensibles.
  • Une meilleure conformité aux normes et aux réglementations, comme la norme ISO 27001 sur la sécurité de l’information, ou le RGPD sur la protection des données personnelles.
  • Une meilleure image de votre entreprise, grâce à la démonstration de votre sérieux et de votre professionnalisme en matière de sécurité.

Vous l’aurez compris, l’anti passback est une fonctionnalité qui peut vous apporter de nombreux bénéfices, à condition de bien la choisir, de bien la paramétrer et de bien la gérer. Si vous souhaitez en savoir plus sur l’anti passback et sur les solutions de contrôle d’accès adaptées à votre entreprise, n’hésitez pas à nous contacter. Lors de notre opération de TSCM, nous proposons à nos clients la vérification du système de badge et des recommandations liées à la gestion d'accès. Nous vous conseillerons et vous accompagnerons dans la mise en place de votre système de sécurité.

by Thomas d. C

Espionnage industriel : 7 conseils pour se protéger

Une entreprise peut acquérir un savoir-faire et des connaissances particulières grâce à son expérience, ce qui peut susciter la convoitise de ses concurrents. C’est ainsi que s’est développé l’espionnage industriel. Sur le plan économique, l’espionnage industriel peut être défini comme l’acquisition et/ou l’interception illicite de secrets d’affaires ou de savoir-faire d’une entreprise rivale. Il peut également consister à déstabiliser un concurrent en divulguant publiquement son avantage commercial et/ou industriel, bien que cela soit moins courant.

Il est donc important de mettre en place des mesures de protection pour que le savoir-faire et les connaissances spécifiques de l’entreprise restent confidentiels, tout en permettant une concurrence loyale entre les entreprises.

1/ Protection physique.

Au sens le plus basique, le contrôle d’accès est une méthode pour réguler qui a le droit d’entrer dans un espace et à quel moment. L’individu qui franchit cet espace peut être un employé, un contractant ou un invité. Il peut arriver à pied, en véhicule ou par tout autre moyen de transport. L’espace qu’il franchit peut être un site, un batiment, une salle ou même simplement une armoire forte. Votre système de gestion des accès contrôle ou limite les entrées et sorties selon des horaires prédéfinis :

Le cylindre électronique, qui remplace le cylindre mécanique traditionnel dans une porte, utilise des émetteurs (comme des émetteurs à puce RFID) au lieu de clés. Certains modèles peuvent également fonctionner avec des codes ou des clés mécaniques.

Pour une sécurité optimale, il est conseillé de combiner votre système de contrôle d’accès électronique avec un service de surveillance humaine, assuré par un agent de sécurité. Les lecteurs de badge, lecteurs d’accès ou badgeuses sont des dispositifs qui identifient de manière unique le porteur du badge (ou de la carte) et contrôlent l’accès aux bâtiments.

L’installation d’un contrôle d’accès biométrique doit être justifiée et ne convient pas à toutes les structures. Pour la plupart des TPE/PME, un système de badge sera généralement suffisant. L’utilisation d’un lecteur biométrique doit être justifiée, par exemple, par le stockage de matériel sensible, de produits dangereux, d’objets de grande valeur, d’armes ou de fonds importants. L’installation d’un système de contrôle d’accès biométrique doit être proportionnelle au risque encouru. Elle ne peut pas être justifiée par un simple besoin de confort.

Un interphone audio et vidéo, ou “portier audio/vidéo”, constitue un premier élément de filtrage, idéalement associé à un agent d’accueil. Celui-ci pourra effectuer une première identification des visiteurs grâce à leur voix et à leur visage, avant de leur ouvrir à distance la porte d’entrée. Une fois ce premier filtrage passé, les visiteurs pourront se présenter à la réception et présenter leur pièce d’identité à l’agent d’accueil pour un contrôle plus approfondi.

Le clavier à code est très similaire au contrôle d’accès par digicode à l’entrée d’un immeuble. Le clavier à code peut être installé en entreprise pour protéger un hall d’entrée, certaines salles ou certains couloirs. Comme le code peut être observé ou divulgué, il s’agit d’une solution de sécurité relativement faible, à utiliser uniquement comme dispositif de sécurité complémentaire interne à l’entreprise.

2/ La protection de la documentation interne.

Mettez en place des procédures exigeantes pour la gestion des documents confidentiels ou stratégiques.

Adopter le “clean desk”, ou bureau propre en français, est une politique d’entreprise qui vise à minimiser la présence d’objets personnels et de documents papier sur les bureaux. En pratique, seuls l’ordinateur, un cahier vierge et un stylo sont généralement autorisés sur le bureau. Tous les autres documents, dossiers et effets personnels doivent être rangés dans des casiers, tiroirs ou armoires dédiés. Il est inacceptable de laisser un document important sur une photocopieuse, où il pourrait être récupéré par un client de passage ou un employé de nettoyage.

Chaque collaborateur a un rôle essentiel à jouer pour prévenir tout accès non autorisé aux informations sensibles. Cela s’applique aussi bien à l’accès aux systèmes d’information et aux applications qu’à l’accès physique aux locaux ou aux documents. La participation de tous les collaborateurs est indispensable pour garantir la sécurité de l’information et la protection de la vie privée.

Un système d’accès (physique ou numérique) a été mis en place pour empêcher tout accès non autorisé à l’organisation. L’accès est sécurisé par un dispositif d’accès spécifique. L’utilisateur peut accéder à des informations confidentielles et sensibles dans le cadre de ses tâches quotidiennes et les déplacer vers un autre endroit où le dispositif d’accès n’est plus opérationnel ou n’est pas applicable. L’utilisateur reste responsable des informations, sous quelque forme que ce soit. Il doit donc veiller à leur protection adéquate. Dès que les informations ne sont plus utilisées par l’utilisateur, celui-ci doit également veiller à leur archivage ou à leur destruction.

3/ L'humain.

Accueillir un nouvel employé dans son équipe peut être un défi. Il est important de s’assurer que le nouvel employé s’intègre bien dans ses fonctions, s’entende avec le reste de l’équipe et mérite la confiance qu’on lui accorde en le formant et en l’accompagnant au début de son mandat. Pour éviter des erreurs potentielles lors de cette démarche, les employeurs ont souvent recours à plusieurs vérifications. Certains appellent d’anciens responsables du candidat pour confirmer ses emplois passés, s’assurent de la validité de ses diplômes, ou bien se rendent sur Internet pour procéder à l’analyse de son e-réputation. Dans certains cas, les services de renseignements peuvent-être sollicitées pour une levée de doute sur un risque élevé de fuite d'information.

Il est important de créer des profils spécifiques pour les stagiaires qui viennent passer du temps dans votre entreprise. Cela permet de limiter les risques de copie de bases de données, de documents sensibles ou de listes d’adresses email par des personnes non autorisées.

Les sous-traitants du système d’information d’un responsable de traitement doivent garantir la sécurité et la confidentialité des données auxquelles ils ont accès. La loi impose qu’une clause de confidentialité soit prévue dans les contrats de sous-traitance. Les interventions d’un prestataire sur des bases de données doivent se dérouler en présence d’un salarié du service informatique et être consignées dans un registre. Les données qui peuvent être considérées comme « sensibles » au regard de la loi, telles que les données de santé ou les données relatives à des moyens de paiement, doivent être chiffrées.

4/ Cloisonner les systèmes d'informations.

L’accès à un poste de travail informatique ou à un fichier par identifiant et mot de passe est la première des protections. Pour garantir la sécurité de vos données, il est important de suivre les bonnes pratiques de gestion des mots de passe.

Il est recommandé de paramétrer les postes de travail afin qu’ils se verrouillent automatiquement après une période d’inactivité de 10 minutes maximum. Les utilisateurs doivent également être encouragés à verrouiller systématiquement leur poste dès qu’ils s’absentent de leur bureau. Ces mesures permettent de limiter les risques d’utilisation frauduleuse d’une application en cas d’absence momentanée de l’agent concerné. En outre, il est fortement recommandé de contrôler l’utilisation des ports USB sur les postes “sensibles” pour empêcher la copie de l’ensemble des données contenues dans un fichier.

Un système d’information doit être protégé contre les attaques extérieures. Pour cela, il est recommandé de mettre en place des dispositifs de sécurité logique tels que des routeurs filtrants, pare-feu, sonde anti-intrusion, etc. Afin de garantir une protection fiable contre les virus et les logiciels espions, il est important de maintenir à jour ces outils, aussi bien sur le serveur que sur les postes des agents. La messagerie électronique doit également faire l’objet d’une attention particulière. Les connexions entre les sites distants d’une entreprise ou d’une collectivité locale doivent être sécurisées, par l’intermédiaire de liaisons privées ou de canaux sécurisés par technique de “tunneling” ou VPN (réseau privé virtuel). Il est également indispensable de sécuriser les réseaux sans fil, compte tenu de la possibilité d’intercepter à distance les informations qui y circulent. Pour cela, il est recommandé d’utiliser des clés de chiffrement et de contrôler les adresses physiques des postes clients autorisés. Enfin, les accès distants au système d’information par les postes nomades doivent faire l’objet d’une authentification préalable de l’utilisateur et du poste. Les accès par internet aux outils d’administration électronique nécessitent également des mesures de sécurité fortes, notamment par l’utilisation de protocoles IPsec, SSL/TLS ou encore HTTPS.

Enfin, les locaux sensibles, tels que les salles hébergeant les serveurs informatiques et les éléments du réseau, doivent être limités aux personnels habilités. Pour cela, il est recommandé de mettre en place des dispositifs de sécurité tels que la vérification des habilitations, le gardiennage, les portes fermées à clé, le digicode, le contrôle d'accès par badge nominatif, etc. La DSI ou le responsable informatique doit veiller à ce que les documentations techniques, plans d'adressages réseau, contrats, etc. soient eux aussi protégés.

5/ Les courriels.

Il est très important de sécuriser les boîtes mails professionnelles car elles peuvent contenir des informations sensibles et confidentielles sur l’entreprise et ses clients. Si une personne non autorisée parvient à accéder à ces informations, cela pourrait avoir des conséquences graves pour l’entreprise, telles que des fuites de données, des atteintes à la vie privée, des perturbations de l’activité ou même une perte financière. La sécurité des boîtes mail est importante pour protéger vos informations.

Il est important de choisir des mots de passe complexes qui ne sont pas faciles à deviner ou à trouver par une personne malveillante. Il est également recommandé d’utiliser un mot de passe différent pour chaque compte afin d’éviter que l’accès à un compte ne donne automatiquement accès à tous les autres.

L’authentification à deux facteurs (2FA) est une mesure de sécurité qui nécessite l’utilisation de deux éléments pour se connecter à un compte. Par exemple, l’utilisateur doit saisir son mot de passe et entrer un code de sécurité envoyé par SMS ou généré par une application de sécurité. Cela rend plus difficile pour une personne non autorisée d’accéder au compte. Il est recommandé d’utiliser une connexion sécurisée lors de l’accès à la boîte mail professionnelle, afin de protéger les données transitant entre l’ordinateur et le serveur de courriel.

Il est important de maintenir les logiciels de sécurité à jour afin de protéger contre les menaces en ligne les plus récentes. Cela peut inclure l’utilisation d’un logiciel antivirus et de pare-feu.

Il est crucial de rester attentif aux e-mails qui semblent suspects, comme ceux qui contiennent des liens ou des fichiers potentiellement dangereux, ou qui paraissent provenir d’une source douteuse. Il est préférable de ne pas ouvrir ces e-mails et de les éliminer sans délai. En respectant ces précautions, vous pouvez sauvegarder votre boîte mail et vos données personnelles contre les menaces sur internet.

6/ Les collaborateurs et partenaires.

Assurez-vous que l'ensemble de vos collaborateurs et partenaires adoptent eux également des niveaux de sécurité élevée, sinon vous mettez en péril vos documents partagés.

7/ Réaliser un audit.

International ICS propose a ses clients professionnels et industries de défense, une opération dite de "TSCM" (contre-mesures de surveillance technique), ayant pour but de rechercher un dispositif d'écoute malveillant placé dans vos locaux et mettre en évidence toute vulnérabilité structurelle ou organisationnelle de la société.

Thomas d. C.
La rédaction International ICS.

by Thomas d. C

Privacy Preference Center

Privacy Preferences