Gérer les risques
Aujourd'hui et demain

Sûreté et sécurité

Martial Gonzalez (HID Global) : « Il faut en finir avec les idées reçues sur le contrôle d'accès mobile »

Interview de Martial Gonzalez, directeur des ventes Europe du sud et du contrôle d'accès Physique chez HID Global, spécialiste des systèmes d'identification sécurisés. Cet expert revient sur les a priori qui freinent le développement de l'accès mobile afin de mieux les détricoter.

Du côté des entreprises, comment se déroule la migration du contrôle d’accès physique au contrôle d’accès via un mobile ?
Pour de nombreuses entreprises, le contrôle d’accès physique est une composante fondamentale ayant une multitude de fonctionnalités comme l’ouverture de portes d’accès aux parkings, aux bâtiments, aux salles sécurisées ou encore pour l’ouverture de sessions informatiques. De manière générale, la technologie et les systèmes ont peu évolué au cours des vingt dernières années. Mais les progrès technologiques poussent les fournisseurs de solutions de sécurité à opter de plus en plus souvent pour des dispositifs mobiles. Le remplacement des badges classiques ou des clés électroniques par une application mobile connaît un vif succès. Cependant les utilisateurs finaux restent encore dubitatifs quant aux avantages du contrôle d’accès mobile. Il incombe donc au fournisseur de sécurité de comprendre les inquiétudes des utilisateurs finaux et de les rassurer. Les systèmes traditionnels de contrôle d’accès physique ont toujours un rôle à jouer dans la sécurité et la protection des sites. Néanmoins, face à l’utilisation croissante des mobiles dans la vie quotidienne, la survie à terme de ces anciens systèmes est une question qu’il convient de se poser.
Quelles sont les raisons qui freinent la migration vers le contrôle d’accès via mobile ?
 
Les entreprises pensent souvent que, pour modifier ou moderniser leur système de contrôle des accès physiques, elles vont devoir faire table rase de la solution déjà en place et repartir de zéro. Les décisionnaires sont réticents à donner le feu vert à des dépenses liées à la sécurité, domaine traditionnellement perçu comme non prioritaire ou ne nécessitant pas une intervention immédiate. Et, par conséquent, ils en concluent souvent qu’il n’est pas indispensable de changer un système qui fonctionne.
En effet, l’addition d’une telle opération peut vite devenir assez salée…
Pourtant, il suffit d’étudier la question d’un peu plus près pour se rendre compte que le remplacement d’une solution déjà en place est très simple. La plupart des nouveaux systèmes de sécurité peuvent être intégrés à une infrastructure existante et tous les anciens composants (câbles, contrôleurs, et même lecteurs) peuvent être réutilisés. Avantage : une réduction considérable des coûts globaux de mise à niveau et des interruptions minimes pour les collaborateurs. Certaines solutions sont même rétro-compatibles et s’intègrent sans difficulté aux infrastructures existantes. Les équipements mobiles des utilisateurs restent, eux aussi, quasiment inchangés car il n’est pas nécessaire de s’équiper d’appareils mobiles spécifiques ou d’installer de nouvelles cartes microSD : il suffit de télécharger une application ! Les gestionnaires de sites cherchent bien évidemment à limiter toute indisponibilité de leurs installations, surtout s’il s’agit d’une modernisation non prioritaire. Certes, les systèmes subiront quelques interruptions, mais elles resteront minimales si l’on a eu soin de choisir un prestataire fiable dont les produits seront faciles à intégrer.

L’accès via un mobile, c’est bien pratique mais que se passe-t-il si mon smartphone n’a plus de réseau ? Dans ce cas, y a-t-il un risque de se retrouver dans l’incapacité d’entrer ou de sortir du bâtiment à cause d’une couverture réseau laissant à désirer ?
 
Bien sûr que non ! La communication entre un lecteur de contrôle des accès physiques et un téléphone portable ne transite pas par le réseau, les zones sans couverture ne posent donc aucun problème. L’autonomie de la batterie des smartphones laisse souvent à désirer. L’on croit souvent que l’activation de la fonction Bluetooth la réduit encore davantage. Or l’accès mobile est conçu avec la technologie NFC (Near Field Communication) ou BLE (Bluetooth Low Energy), toutes deux à faible consommation et avec un impact négligeable sur la batterie.
Quoi qu’il en soit, avec le smartphone, le risque de se faire pirater demeure. Ne serait-on pas plus à l’abri avec un badge que l’on conserve toujours sur soi ? Que faire en cas de vol du téléphone ?
 
En réalité, les identifiants mobiles sont plus sécurisés que les anciens systèmes, car ils ont recours à des modes de chiffrement dotés de fonctions sophistiquées de sécurité et de confidentialité qui sont très difficiles à intégrer à un badge classique. En cas de vol, tout comme les badges les accréditations peuvent alors être révoquées dès que l’effraction a été signalée. À la différence des badges classiques, la révocation est immédiate et l’accès est aussitôt désactivé. En outre, les appareils mobiles peuvent mettre à jour les éléments de sécurité dynamiquement, alors que la modification des données d’un badge exige plus de temps et entraîne des coûts supplémentaires. Une fois l’application téléchargée, l’utilisateur doit faire vérifier son appareil par le système via un code de confirmation fourni. C’est seulement lorsque le code d’enregistrement aura été authentifié que l’équipement pourra alors être utilisé comme identifiant mobile.
Il existe une autre réticence qui tient son origine dans le mythe du « Big brother » : de nombreuses personnes craignent pour la confidentialité des données de leur smartphone si ce dernier était soumis au contrôle d’accès. Qu’en est-il ?
 
Les collaborateurs tendent à penser que l’installation de badges virtuels sur leur mobile permet au service informatique et à la direction de surveiller non seulement leurs déplacements mais aussi leurs habitudes d’utilisation. Cet argument, bien que compréhensible, est erroné. Une entreprise ne peut pas accéder aux informations personnelles d’un collaborateur, seule l’application est accessible. La plupart des fournisseurs de solutions de contrôle des accès mobiles stockent le strict minimum nécessaire au fonctionnement de l’application (identifiant push du mobile, version du système d’exploitation, …) comme c’est le cas pour de nombreuses applications du commerce. Les données de géolocalisation ne sont pas stockées mais il est toutefois important de vérifier la politique de confidentialité lors de l’installation de l’application car elle varie selon les fournisseurs.
Comment démarquer les développeurs d’applications qui respectent effectivement cette politique de confidentialité ?
 
De nombreuses applications de sécurité utilisent la technique du ‘bac à sable’ (sandboxing) qui consiste à isoler des programmes afin d’empêcher des logiciels malveillants ou intrusifs d’endommager le téléphone d’un utilisateur ou de dérober ses informations. Elle garantit ainsi la protection des données des usagers. Le placement en bac à sable de l’application et la restriction de ses droits permettent de sécuriser les autres contenus du téléphone. En cas de tentative d’accès à des informations non définies dans les paramètres d’autorisation d’une application, comme la géolocalisation de l’utilisateur par exemple, la permission est alors facilement refusée. Cela empêche les accès non autorisés aux informations du téléphone, provenant tant de l’extérieur (pirates informatiques) que de l’intérieur (autres collaborateurs de l’entreprise).
Que faire si mon application s’avère incompatible avec mon système d’exploitation ?
 
Android ou iOS ? Ce débat n’est plus d’actualité ! La majorité des fournisseurs assurent la compatibilité des identifiants et de tous les systèmes d’exploitation mobiles. Grâce à la technique d’émulation des cartes hébergées (HCE) d’Android, il est possible d’émuler une carte sans contact sans devoir recourir à un élément sécurisé (SE) et d’éviter ainsi de dépendre de l’opérateur de réseau mobile. Cela permet aux applications Android de communiquer directement avec les lecteurs et terminaux NFC, et d’éliminer toute incompatibilité de l’opérateur mobile.

Propos recueillis par Ségolène Kahn

Commentez

Participez à la discussion


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.