Le contrôle d’accès physique s’utilise traditionnellement dans les zones sensibles comme les laboratoires, les complexes industriels, les installations militaires… Ces solutions de sécurité permettent de gérer l’accès aux locaux ou aux sites vitaux. Elles assurent aussi la traçabilité des entrées et sorties dans les espaces sécurisés. Ce système tend désormais à s’associer au contrôle d’accès logique en informatique.
Qu’est-ce qu’un contrôle d’accès ?
La définition de contrôle d’accès englobe la gestion du flux de personnes sur un site et la restriction des connexions dans un SI (système d’information). Ces mesures permettent de sécuriser les infrastructures physiques et informatiques d’une entité. Dans le second cas, les solutions de contrôle limitent l’accès au réseau, aux données et aux fichiers système pour assurer leur intégrité.
Ainsi, les systèmes de contrôle d’accès sont essentiels pour la sécurité informatique en entreprises. Par ailleurs, chaque poste de travail représente déjà un écosystème à part entière. Ces terminaux seront auront pourtant besoin de se connecter au serveur et à Internet. Il faudra donc protéger le réseau local contre les intrusions et préserver les matériels des éventuels incidents internes. Les restrictions permettent justement d’éviter de compliquer la situation sur une architecture sophistiquée.
À la base, contrôler les accès consiste à définir les collaborateurs pouvant réaliser des actions précises au sein l’entreprise. Les logiciels sont aussi concernés dans un SI. Ils seront, par exemple, autorisés à visualiser certaines ressources sans pouvoir les traiter. En revanche, d’autres utilisateurs auront la possibilité d’accéder à ces données et de les modifier.
L’attribution des autorisations dépendra entre autres du niveau de sécurité et de l’équipe IT de l’organisation considérée. Les compétences des usagers doivent aussi être prises en considération pour éviter les erreurs sur les systèmes critiques. En effet, un seul incident à ce niveau risque d’entrainer des dommages graves sur l’ensemble de l’infrastructure.
Quels sont les objectifs ?
La définition de contrôle d’accès implique nécessairement la prise en compte de la partie logique et du versant physique de la procédure. Dans les deux cas, l’objectif est la sécurisation et la supervision des installations, face à la cybercriminalité. Les différences viennent seulement des supports et des matériels utilisés. De plus, la sécurité peut être renforcée en conjuguant ces deux méthodes.
Les dispositifs de contrôle d’accès physique permettent de restreindre les entrées sur le site, dans le bâtiment et dans l’espace de travail. Ils limitent ainsi l’accès aux équipements informatiques. Dans ce domaine, de nombreuses organisations utilisent un système de badge RFID pour identifier les utilisateurs. Cette solution peut aussi être remplacée par les données biométriques, uniques et impossibles à perdre.
Le contrôle d’accès logique, en revanche, se focalise sur les connexions internes et externes à un système informatique. Il vise à protéger les SI des cybermenaces et à limiter les risques provenant des utilisateurs. Sans restriction, ces derniers peuvent en effet endommager les ordinateurs ou déstabiliser le réseau par inadvertance.
Enfin, la traçabilité figure parmi les principaux objectifs des contrôles d’accès. Ces solutions permettent d’enregistrer entre autres l’historique de connexion, les actes de piratage subis, les tentatives d’intrusion, etc. Ainsi, il sera relativement facile de détecter les anomalies et de prendre des décisions en conséquence.
Les différents types de contrôles d’accès
Les solutions de contrôles d’accès se sont significativement développées dans le domaine militaire à partir des années 1960. Ce phénomène est notamment dû à la grande quantité de données sensibles traitées et conservées dans le milieu. De ce fait, ces acteurs privilégient les accès restreints pour assurer la confidentialité des données.
Les civils, de leur côté, se limitent souvent à contrôler l’intégrité de leurs systèmes. Aujourd’hui, il existe quatre grands types de gestion d’accès :
- Le contrôle d’accès obligatoire (Mandatory access control ou MAC) ;
- Le contrôle d’accès discrétionnaire (Discretionary access control ou DAC) ;
- Le contrôle d’accès lié aux fonctions (Team based access control ou TMAC) ;
- Contrôle d’accès basé sur les règles (Organization Based Access Control ou ORBAC).
Avec le MAC, le propriétaire du terminal connecté n’a aucun pouvoir de décision sur l’outil de protection. Il est soumis à la politique de sécurité centralisée du SI. En revanche, le modèle DAC permet aux utilisateurs dotés d’un niveau d’autorisation élevé de transférer ce privilège.
D’autre part, le système de contrôle d’accès TMAC repose sur la relation entre plusieurs collaborateurs travaillant sur une même tâche. Le succès de la mission dépendra ainsi de la bonne gestion des droits d’accès. Enfin, le modèle ORBAC consiste à contrôler l’accès en se référant aux règles de l’organisation.
Découvrir notre article sur la cybersécurité, pour mieux comprendre ses enjeux.
Comment se fait le contrôle d’accès ?
Dans les systèmes d’information, la définition de contrôle d’accès comporte trois grandes étapes résumées par le protocole AAA. Ces lettres renvoient aux termes anglais : Authentification, Authorization et Accounting (authentification, autorisation et traçabilité). Ainsi, le dispositif de contrôle d’accès gère entre autres :
- l’identification des autorisations ;
- l’authentification (mot de passe, jeton, accès biométrique…) ;
- l’autorisation des accès ;
- la responsabilité des organisations grâce aux identifiants de connexion (mots de passe, codes PIN, données biométriques, clés électroniques…).
Aujourd’hui, les experts en sécurité informatique conseillent souvent de coupler les contrôles d’accès physiques et logiques. Il peut s’agir d’un jeton d’authentification et d’un mot de passe, d’un code unique et d’une empreinte digitale… Cette méthode est aussi recommandée par la Commission nationale de l’informatique et des libertés (CNIL). Elle permet en effet de bénéficier d’un SI de haute sécurité.
Toutefois, certains lecteurs biométriques ne sont pas suffisamment matures pour être généralisés. Les outils de reconnaissance faciale, par exemple, ont encore besoin d’être perfectionnés. Pour l’instant, l’utilisateur risque de ne pas être reconnu en cas de changements physiques notables. Le lecteur d’empreintes digitales, en revanche, a déjà fait ses preuves dans différents systèmes et environnements numériques.