Securite Des Technologies Sans Contact Pour Le Controle Des Acces Physiques

PREMIER MINISTRE Secrtariat Gnral de la Dfense et la Scurit Nationale Agence Nationale de Scurit des Systmes dInformation
GUIDE SECURITE DES TECHNOLOGIES SANS-CONTACT POUR

LE CONTROLE DES ACCES PHYSIQUES
Guide sur la scurit des technologies sans contact pour le contrle des accs physiques Version de travail 1.0 19 novembre 2012 P a g e 1/45
Table des matires

1 INTRODUCTION ......................................................................................................................................... 4 1.1 1.2 1.3 2 CONTEXTE ............................................................................................................................................... 4 OBJECTIFS DU GUIDE ................................................................................................................................ 4 PUBLIC CIBLE ........................................................................................................................................... 4
FONDEMENTS DU CONTROLE DACCES ........................................................................................... 6 2.1 2.2 2.3 2.4 DEFINITION .............................................................................................................................................. 6 LA PHASE DIDENTIFICATION ET DAUTHENTIFICATION ........................................................................... 6 TRAITEMENT DES DONNEES ..................................................................................................................... 7 VERROUILLAGE ET DEVERROUILLAGE ..................................................................................................... 7
EXPRESSION DE BESOINS ...................................................................................................................... 8 3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 IDENTIFICATION DES SITES ....................................................................................................................... 8 IDENTIFICATION DES BIENS ESSENTIELS ET BIENS SUPPORTS A PROTEGER................................................ 8 IDENTIFICATION DE ZONES ....................................................................................................................... 8 NIVEAU DE SURETE ET TYPES DE MENACES ............................................................................................ 10 FLUX DE CIRCULATION DES INDIVIDUS................................................................................................... 10 IDENTIFICATION DES ACTEURS ............................................................................................................... 11 PROCESSUS ORGANISATIONNELS............................................................................................................ 12 CONTINUITE DE SERVICE ........................................................................................................................ 12 INTERCONNEXIONS ................................................................................................................................ 12 BADGES MULTI-USAGES ......................................................................................................................... 12 CONTRAINTES REGLEMENTAIRES ........................................................................................................... 12
CHOIX DU SYSTEME .............................................................................................................................. 13 4.1 SECURITE DES ELEMENTS SUPPORTS ...................................................................................................... 13 4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques. ..................................................... 13 4.1.2 Ttes de lecture : protection des lments chiffrs. ....................................................................... 14 4.1.3 Units de traitement local : accs physique rserv, Secure Access Module et redondance. ....... 15 4.1.4 Liaisons filaires : dans le primtre de scurit. ........................................................................... 15 4.1.5 Rseau fdrateur : chiffrer les communications, protger lintgrit.......................................... 15 4.1.6 Serveur de gestion du systme et postes de travail : un SI part entire...................................... 16 4.1.7 Logiciel de gestion du systme : le point nvralgique des systmes de gestion daccs physiques par technologie sans contact. ........................................................................................................................ 17 4.2 PRINCIPES CRYPTOGRAPHIQUES MIS EN CONTEXTE ................................................................................ 17 4.3 ARCHITECTURES .................................................................................................................................... 20 4.3.1 Architecture n1, hautement recommande .................................................................................. 20 4.3.2 Architecture n2, acceptable ......................................................................................................... 21 4.3.3 Architecture n3, dconseille ....................................................................................................... 21 4.3.4 Architecture n4, dconseille ....................................................................................................... 22
5 6
SPECIFICATIONS ..................................................................................................................................... 23 INSTALLATION DU SYSTEME ............................................................................................................. 24 6.1 INTERCONNEXIONS AVEC DAUTRES SYSTEMES ..................................................................................... 24 6.1.1 Interconnexion avec un systme de gestion des ressources humaines .......................................... 24 6.1.2 Interconnexion avec le systme de contrle du temps de travail ................................................... 24 6.1.3 Interconnexion avec les systmes dalertes en cas de catastrophe ............................................... 24 6.1.4 Interconnexion avec les systmes de surveillance vido ............................................................... 24 6.1.5 Contraintes rglementaires ........................................................................................................... 25 6.1.6 Certification des intervenants ....................................................................................................... 25
EXPLOITATION DU SYSTEME ............................................................................................................. 26

7.1 GESTION DES DROITS ET DES BADGES DACCES ...................................................................................... 26 7.1.1 Accs gnriques ........................................................................................................................... 26 7.1.2 Accs particuliers .......................................................................................................................... 26 7.1.3 Oubli, perte ou vol de badge ......................................................................................................... 27 7.2 SURVEILLANCE DES ACCES .................................................................................................................... 27 7.2.1 Analyse des journaux dvnements .............................................................................................. 27 7.2.2 Dfinition dalertes spcifiques ..................................................................................................... 27 7.3 PROCEDURES DEXPLOITATION PARTICULIERES ..................................................................................... 28 7.3.1 En cas de fonctionnement dgrad ................................................................................................ 28 7.3.2 En cas de crise ou dincident grave .............................................................................................. 28 7.3.3 En cas dalerte incendie ................................................................................................................ 29 7.4 MAINTENANCE....................................................................................................................................... 29 7.4.1 Certification des intervenants ....................................................................................................... 29 7.4.2 Maintien en condition de scurit ................................................................................................. 29 7.4.3 Tlmaintenance............................................................................................................................ 30 ANNEXE 1 PROCESSUS DAUTHENTIFICATION DUNE CARTE ET DE TRANSMISSION SECURISEE DE LIDENTIFIANT .................................................................................................................. 31 ANNEXE 2 SCHEMA GENERAL DE LARCHITECTURE DUN SYSTEME DE CONTROLE DES ACCES PHYSIQUES MULTI-SITES .............................................................................................................. 32 ANNEXE 3 ANNEXE 4 A4.1 A4.2 A4.3 A4.4 A4.5 A4.6 A4.7 A4.8 A4.9 A4.10 A4.11 A4.12 A4.13 ANNEXE 5 A5.1 A5.2 A5.3 A5.4 A5.5 A5.6 EXEMPLE DE PROCESSUS ORGANISATIONNEL ....................................................... 33 SPECIFICATIONS DETAILLEES EN VUE DUNE PASSATION DE MARCHE ........ 34 TECHNOLOGIE UTILISEE ..................................................................................................................... 34 BADGES ............................................................................................................................................. 34 TETES DE LECTURE ............................................................................................................................ 35 UTL ................................................................................................................................................... 35 RESEAUX ET COMMUNICATIONS ........................................................................................................ 37 PERFORMANCES ................................................................................................................................. 38 RESILIENCE ........................................................................................................................................ 38 HORODATAGE ET CONTROLE DES ACCES ............................................................................................ 39 GESTION DES ALARMES ET EVENEMENTS ........................................................................................... 40 STOCKAGE ET ARCHIVAGE ................................................................................................................. 41 BIOMETRIE ......................................................................................................................................... 41 INSTALLATION ................................................................................................................................... 41 MAINTENANCE................................................................................................................................... 42 CONTRAINTES REGLEMENTAIRES ............................................................................... 43 PROTECTION DES PERSONNES............................................................................................................. 43 NORME SIMPLIFIEE N42 DE LA CNIL ................................................................................................ 43 UTILISATION DE LA BIOMETRIE .......................................................................................................... 44 IMPLICATION DES INSTANCES REPRESENTATIVES DU PERSONNEL ...................................................... 44 PERSONNES A MOBILITE REDUITE....................................................................................................... 44 AUTRES .............................................................................................................................................. 44
1 Introduction
1.1 Contexte
Plusieurs failles de scurit affectant les technologies sans contact sont avres. Un groupe de travail 1 interministriel, anim par lAgence nationale de scurit des systmes dinformation (ANSSI ) a valu que les consquences de ces failles taient particulirement proccupantes lorsque les technologies sans contact taient utilises dans les systmes de contrle des accs physiques. Face ce constat, lAgence a estim utile de publier un guide sur la scurit des technologies sanscontact pour le contrle des accs physiques. Ce guide explique en quoi les systmes de contrle daccs doivent tre considrs comme des systmes dinformation part entire, relevant du primtre de la Direction des Systmes dInformation (DSI), o doivent sappliquer les rgles lmentaires de lhygine informatique. Ce guide se limite aux aspects darchitecture et de scurit logique propres aux systmes de contrle 2 daccs utilisant des technologies sans contact. LANSSI sest associe au CNPP - Centre national de prvention et de protection pour mener une rflexion intgrant lensemble des lments qui composent ces systmes de contrle. Ce guide est ainsi complmentaire du rfrentiel CNPP intitul APSAD D83 - Contrle daccs Document technique pour la conception et linstallation , qui traite plus particulirement des aspects physiques pour les diffrentes technologies de systmes de contrle des accs, tels que la rsistance leffraction ou encore le contournement de lobstacle. Les deux documents prsentent en commun le Tableau 1 : Les quatre niveaux de sret, qui a t conu en concertation.
1.2
Objectifs du guide
Ce guide se veut une aide la dcision quant au choix dun systme de contrle daccs sans contact, et propose les bonnes pratiques dployer pour sa mise en uvre. Il fournit des recommandations permettant dassurer la mise en place dun systme de contrle daccs reposant sur les technologies sans contact en conformit avec un niveau de scurit satisfaisant. Ces recommandations sappliquent aussi bien des systmes de contrle daccs mono-sites , ou des systmes multi-sites , dont la gestion est centralise. Pour les sites o des technologies sans contact sont dj dployes, ce guide donne aux gestionnaires des lments pour effectuer une vrification de leur niveau de scurit et pour sassurer que les bonnes pratiques sont appliques. De plus, ce guide accompagne les choix dvolution technologique en dtaillant les recommandations suivre pour que le niveau de scurit global du site soit cohrent avec le niveau de scurit de la technologie utilise. Lobjectif de ce guide nest cependant pas dimposer une architecture ou une solution technique. Il na pas non plus vocation servir de cible de scurit pour les produits de contrle daccs sans contact.
1.3

Public cible
aux chefs de projet ou personnes en charge de la mise en place dun systme de contrle daccs sans contact, que ce soit dans une entreprise prive ou un organisme public ; aux acheteurs, qui pourront imposer dans leurs appels doffre les exigences dtailles en chapitre 5 afin de les rendre contraignantes pour le fournisseur ; aux installateurs ou intgrateurs, qui pourront tenir compte du contenu de ce guide afin de proposer des services adapts ; aux exploitants, qui sintresseront aux aspects lis lexploitation et la maintenance du systme.
Ce guide sadresse :
Les objectifs de ces diffrents acteurs ntant pas les mmes, le tableau ci-dessous permet didentifier, pour chacun dentre eux, les chapitres qui les concernent plus particulirement :
1 2
Site Internet de lANSSI : http://www.ssi.gouv.fr Centre national de prvention et de protection http://www.cnpp.com

Acteurs
Chef de projet
Chapitres recommands
Chapitre 2 : Fondements du contrle daccs
Personnes en charge de la mise en place dun Chapitre 3 : Expression de besoins systme de contrle daccs sans contact. Chapitre 4 : Choix du systme
Acheteurs
Chapitre 5 : Spcifications
Installateurs Intgrateurs
Chapitre 2 : Fondements du contrle daccs Chapitre 4 : Choix du systme Chapitre 5 : Spcifications Chapitre 6 : Installation du systme
Exploitants
Chapitre 7 : Exploitation du systme
2 Fondements du contrle daccs

2.1 Dfinition
Un systme de contrle des accs physiques est un dispositif ayant pour objectif de filtrer les flux dindividus souhaitant pntrer lintrieur dun site, dun btiment ou dun local. Il est constitu de moyens permettant dautoriser les entres et sorties de zones sensibles aux seules personnes qui ont le droit dy accder. Un systme de contrle daccs assure trois fonctions primaires : lidentification et lauthentification ; 3 le traitement des donnes ; le dverrouillage. Ces fonctions sont assures en chaque point o laccs est contrl. Dans le cas dun systme de contrle daccs utilisant des technologies sans contact, quatre lments support principaux interviennent : 4 le badge (ou support similaire) ; le lecteur (tte de lecture) ; lunit de traitement local (dsigne par UTL, galement connue sous le nom dunit de traitement et de contrle) ; le serveur de gestion du systme prsent en 4.1.6. En outre, il convient de prendre en considration la scurit des liaisons filaires entre les lments, ainsi que la scurit du serveur de gestion du systme de contrle daccs (galement appel UTS Unit de Traitement de Supervision, ou GAC Gestion des Accs Contrls) et des postes de travail utiliss pour la programmation.
2.2
La phase didentification et dauthentification
Les notions didentification et authentification dfinies dans ce guide sont conformes aux 5 recommandations de lAgence nationale de la scurit des systmes dinformation telles quexprimes dans le Rfrentiel gnral de scurit, disponible sur son site Internet. Elles diffrent des dfinitions mises dans la norme NF EN 50133 Systmes d'alarme - Systmes de contrle d'accs usage dans les applications de scurit . Pour mmoire : Sidentifier, c'est le fait de communiquer une identit. S'authentifier c'est apporter la preuve de son identit : cest donc un lment complmentaire lidentification. Dans le contexte des systmes de contrles daccs, et en fonction de la technologie choisie, la phase dite didentification/dauthentification peut se rduire lidentification du badge, ou lidentification et lauthentification du badge seulement. identification Dans un systme reposant sur une technologie sans-contact, lidentification est la prsentation d'un badge un lecteur. authentification du badge L'authentification du badge consiste prouver quil est valide. Pour un systme de contrle daccs reposant sur des technologies sans-contact, lauthentification du badge se fait le plus souvent par un change cryptographique permettant au badge de prouver quil dtient des lments secrets sans les rvler. Si les fonctions
3 4
La fonction de traabilit des accs est assure dans le cadre du traitement des donnes. Par soucis de facilitation de la lecture, le terme badge sera utilis de faon gnrique pour dsigner tout type de support. 5 http://www.ssi.gouv.fr
cryptographiques sont suffisamment robustes, il nest pas possible de cloner un tel badge tant que les lments secrets restent protgs. Nanmoins, le badge, support physique, peut tre vol. Le processus dauthentification dune carte et de transmission scurise de lidentifiant est prsent en Annexe 1 : Processus dauthentification dune carte et de transmission scurise de lidentifiant. authentification du porteur
Le badge tant pralablement authentifi, il s'agit pour le porteur du badge de prouver qu'il en est le dtenteur lgitime. Lauthentification du porteur se fait par lusage dun second lment slectionn parmi ce que lon est et ce que lon sait. Elle peut se faire par exemple par la saisie d'un mot de passe que seul le 7 dtenteur lgitime du badge connat ou par lusage de la biomtrie .
6
2.3
Traitement des donnes
Le traitement de donnes est assur en premier lieu par lunit de traitement local (UTL). Cette unit assure la gestion de toutes les demandes daccs, compare ces demandes par rapport un ensemble de droits daccs stocks dans sa base de donnes, et dlivre les commandes de libration des verrouillages. Le serveur de gestion du systme : centralise les journaux vnements ; remonte les vnements au gestionnaire ; hberge la base de donnes centrale, tenue jour (droits, utilisateurs, groupes, badges, etc.) ; pilote lensemble des UTL en leur transmettant la base de donnes ncessaire leur traitement des demandes daccs.
2.4
Verrouillage et dverrouillage
Le dispositif de verrouillage permet de raliser le blocage mcanique du point daccs pour empcher le passage des personnes non autorises. Le contrle daccs autorise le dverrouillage. Dans le cadre de lanalyse des risques, il conviendra de prendre en compte les situations dgrades (coupure lectrique) et les cas douverture automatique (incendie). Ces deux questions sont traites dans le chapitre 7.3, Procdures dexploitation particulires .
6 7
Le badge constitue le premier lment : ce que lon a. La biomtrie est assimilable une mthode didentification, car les lments biomtriques ne sont ni secrets, ni rvocables. Elle peut donc se substituer au badge en tant que moyen didentification, mais en aucun cas comme moyen dauthentification. Elle peut toutefois tre utile pour authentifier le porteur, en association avec un badge stockant les lments biomtriques permettant la comparaison, dont le badge assure lintgrit. Ce compromis reste dune scurit infrieure au mot de passe, qui peut tre gard secret, et qui est rpudiable.
3 Expression de besoins
Pour bien cerner les besoins relatifs au contrle des accs physiques, il est ncessaire en premier lieu dtablir une cartographie prcise de tous les lments qui dtermineront les caractristiques du systme de contrle mis en place. Parmi ces lments, on retrouve entre autres : les sites protger, et les zones qui les composent ; 8 les biens essentiels et biens supports protger ; les flux de circulation entre ces zones ; lorganisation (responsabilits, acteurs, processus). Ces aspects ne seront voqus que sommairement dans ce guide. Les lecteurs qui souhaiteraient accder plus dinformation peuvent se rfrer au rfrentiel APSAD D83 Contrle daccs 9 Document technique pour la conception et linstallation .
3.1
Identification des sites
Lidentification dtaille des sites est une tape importante de la rflexion pralable la mise en place dun systme de contrle daccs. Cette rflexion permet de clarifier les contraintes qui psent sur le projet et de disposer des lments ncessaires la rdaction des appels doffre. Les sites contrler doivent donc tre rfrencs de manire exhaustive, en prenant en compte leurs particularits. Pour chaque site, les lments suivants doivent tre considrs : nom du site (pour lidentification) ; adresse (pour la golocalisation) ; nature du site (immeuble entier, quelques tages seulement, quelques pices uniquement) ; ddi ou partag avec dautres organismes ou entreprises ; services proximit (police, pompiers, etc.) ; risques naturels (zone inondable, sismique, etc.) ; nombre de personnes actuel et potentiel.
3.2
Identification des biens essentiels et biens supports protger
Ce guide ayant pour vocation de traiter du systme de contrle des accs physiques du point de vue de la scurit des systmes dinformation, nous considrerons quun bien essentiel est une ressource immatrielle, telle que de linformation, ou un processus. Dans une approche plus large, il pourrait sagir de toute ressource ncessaire la ralisation des objectifs de lorganisme. Dans un tel cas, par extension, il serait possible de considrer que des ressources matrielles sont des biens essentiels. Les biens essentiels sappuient sur des biens supports qui en assurent le traitement, le stockage et la transmission. Ainsi un serveur de calcul nest pas un bien essentiel mais un bien support, de mme que les locaux, les systmes informatiques, et les diffrents quipements. Le bien essentiel est le processus de calcul, et le serveur est le bien support qui permet lexcution du processus. Il est recommand de lister les biens essentiels protger, et les biens supports sur lesquels ils sappuient, pour dterminer les ressources dont il convient de contrler les accs physiques. LANSSI publie une mthode de gestion des risques apportant des recommandations pour lanalyse exhaustive 10 des biens essentiels et des biens supports : la mthode EBIOS .
3.3
Identification de zones
Aprs avoir ralis linventaire des biens essentiels, des biens support, et de leur localisation, il est possible de distinguer des zones avec des niveaux de sensibilit diffrents au sein des sites protger.
Il est utile de faire une distinction entre les biens essentiels qui, dans un systme dinformation, sont des biens immatriels (informations ou processus utiles la ralisation des missions de lorganisme), des biens supports dont ils dpendent pour le traitement, le stockage ou la transmission. 9 CNPP ditions ; http://www.cnpp.com/ 10 Tlchargeable gratuitement sur http://www.ssi.gouv.fr/ebios
Il est recommand dtablir une chelle prcise et explicite des niveaux de sensibilit, avec leurs dfinitions associes. La numrotation partir de zro est tout--fait indique pour cet usage, le niveau zro tant alors la zone considre comme publique, lintrieur de la limite de proprit. Les niveaux suivants sont les zones sous contrle, entoures de barrires physiques comprenant un nombre restreint de points daccs, et situes dans lenceinte des sites ou des btiments. Les niveaux les plus levs sont les zones nvralgiques. Les zones o seront situs les lments du systme de contrle daccs (serveur de gestion du systme, et postes de travail clients) devront tre galement dfinies avec le niveau de sensibilit adquat. Les sites protger doivent tre dcoups en zones classes par niveaux de sensibilit selon lchelle pralablement conue. Ces zones nont pas tre dcoupes selon la configuration physique existante des lieux, mais bien selon leur sensibilit relle : un tel projet peut soulever la ncessit de conduire des travaux ou des rorganisations des cloisons, des sites et des btiments afin que la scurit physique soit optimise voire mme rendue possible. Sur le plan de btiment ci-dessous ont t reprsentes trois zones de niveaux de sensibilit diffrents : zone semi-publique (verte), accessible tout le monde mais destine aux visiteurs et place sous vido-surveillance ; zone de bureaux (orange), accessible aux employs et aux visiteurs autoriss au moyen dun badge et dun contrle visuel au niveau de la rception ; salle serveurs (rouge) accessible aux seuls employs autoriss et aux visiteurs accompagns au moyen dun badge et dun code.
Figure 1 : Exemples de zones
3.4
Niveau de sret et types de menaces
Le niveau de sret des quipements et des installations de contrle des accs physiques correspond un niveau de rsistance leffraction et la fraude. Le niveau de sret dcoule directement du type de menaces redout pour chaque niveau de sensibilit des zones prcdemment dfinies. Ces niveaux de sret et types de menaces ont t dfinis en lien avec le CNPP. Ce mme tableau est reproduit dans le rfrentiel APSAD D83 - Contrle daccs - Document technique pour la conception et linstallation : Menaces potentielles Qui ? Quels moyens ? Franchissement naturel dun point daccs Pntrations involontaires ou de curieux Pas de matriel ou matriel basique (marteau lger, tlphone portable) Quelles connaissances ? Niveaux de sret
Pas de connaissance I
Franchissement par attaque mcanique et/ou logique simple Pntrations prmdites de personnes faiblement quipes Matriel et mthode obtenus dans le commerce ou sur Internet. Connaissance basique du systme acquise au travers de documents publicitaires ou technico-commerciaux mis par le fabricant ou les distributeurs.
II
Franchissement par attaque mcanique et/ou logique volue Pntrations prmdites de personnes inities et quipes. Matriel ou maquette lectronique spcifique facilement ralisable. Connaissances recueillies partir de lexamen dun dispositif. III
Franchissement par attaque mcanique et/ou logique sophistique Pntrations prmdites de personnes inities, fortement quipes et renseignes. Matriel comprenant des moyens de cryptanalyse et/ou maquette lectronique spcifique conus spcialement pour neutraliser la sret en place. Connaissances sur la conception et lexploitation du systme. Ceci implique davoir accs des informations confidentielles du fabricant.
IV
Tableau 1 : Les quatre niveaux de sret
Ce tableau ne prend pas en compte limpact de filtrages raliss par des moyens humains ou non, tels que de la surveillance humaine ou de la vido surveillance 24h/24, et qui sont susceptibles de rduire le besoin de sret des quipements et des installations de contrle des accs physiques ncessaires.
3.5
Flux de circulation des individus
Lanalyse des flux de circulation des individus permet de connatre les besoins de chaque point daccs contrler. Il sagit de rpondre aux questions : Qui ? Quand ? Comment ? Combien ? Il est pour cela utile de dfinir : les diffrentes catgories de personnel autorises (personnel interne, intrimaires, agents de surveillance, prestataires de services, clients, visiteurs, services durgences, etc.) ; les plages horaires ; le type de passage contrler (simple porte, sas, entre de vhicules) ; les exigences de circulation particulires et contraintes spcifiques (sorties de secours) ; la quantit prvisionnelle de passages.
Trois exemples de flux physiques ont t reprsents sur le plan de btiment ci-dessous, montrant les principales personnes extrieures intervenant au sein des locaux et leurs dplacements autoriss.
Figure 2 : Exemples de flux physiques
3.6
Identification des acteurs
Les diffrents acteurs et responsables doivent tre clairement identifis. On distingue plusieurs types dacteurs pouvant intervenir dans les processus organisationnels de gestion des accs physiques : les demandeurs (service de gestion des ressources humaines, managers, etc.) qui font les demandes dattribution de badges et droits associs ; les responsables de validation (responsables de sites ou de zones), qui valident ou non les diffrents droits demands ; les informs, qui ont connaissance des attributions et rvocations de badges et de droits diffrentes fins ; les oprateurs du systme de contrle des accs physiques ; les oprateurs de sauvegarde du systme ; les oprateurs dexploitation des journaux dvnements du systme ; les mainteneurs des matriels physiques ; 11 les mainteneurs applicatifs ; les utilisateurs finaux, qui sont attribus les badges.
Selon la situation, plusieurs rles peuvent tre assurs par les mmes personnes. Il convient de sassurer que ce cumul ne confre pas tous les droits une seule personne et que des mcanismes dapprobation et de contrle indpendants sont mis en place et respects.
11
Une attention toute particulire doit tre porte la scurit du systme lorsquil est fait appel de la tlmaintenance. LANSSI a publi un guide sur linfogrance : http://www.ssi.gouv.fr/infogerance
3.7
Processus organisationnels
Les flux organisationnels doivent tre clairement dtermins ds lexpression des besoins. Il sagit de reprsenter les changes ncessaires entre les acteurs pour raliser un objectif particulier. Ces changes peuvent tre informatiss ou non. On distingue communment les processus suivants : demande de badge ; dlivrance de badge ; rvocation de badge ; modification de droits. Des exemples types de ces processus peuvent tre consults en Annexe 3, Exemple de processus organisationnels .
3.8
Continuit de service
Il est ncessaire davoir une rflexion sur le niveau de continuit de service souhait : tolrance aux pannes, autonomie en cas de coupure lectrique, dlais de remplacement du matriel dans le contrat de maintenance, etc. Le besoin doit tre exprim de manire rationnelle afin de ne pas engendrer des cots inutilement dmultiplis.
3.9
Interconnexions
Les interconnexions avec dautres systmes (vido surveillance, systme de gestion des ressources humaines, etc.) doivent tre rfrences et/ou exprimes au pralable car elles ont un impact sur le projet de mise en place dun systme de contrle daccs. La nature de ces interconnexions doit tre dtaille afin que les rponses aux appels doffre soient cohrentes en regard des systmes existants.
3.10 Badges multi-usages

Dans certaines circonstances, il peut s'avrer utile de mutualiser les usages sur un mme badge. Il est ainsi envisageable d'ajouter sur le badge, en plus de la puce utilise pour le contrle d'accs, une seconde puce pour s'authentifier sur le systme d'information de l'organisme. D'autres usages (tels que le porte-monnaie lectronique) peuvent tre envisags selon le mme principe. En cas de mutualisation des usages sur un badge unique, il convient de bien analyser les solutions existantes pour limiter les risques, en cas de perte ou vol du badge notamment. L'objectif devra tre que la compromission d'un lment ne doit pas entrainer la compromission des autres. Chaque usage doit donc tre port par un composant indpendant.
3.11 Contraintes rglementaires

Certaines zones protges sont concernes par des rglementations particulires qui impacteront les caractristiques du systme de contrle des accs. Un aperu des principales rglementations peut tre consult en Annexe 4 Contraintes rglementaires . Lorsque le besoin a t correctement dfini, il devient ds lors possible de choisir un systme adapt au contexte et aux enjeux de lorganisme.
4 Choix du systme
Le choix dun systme ncessite de prendre en compte plusieurs critres, lis sa conception mme (architecture et scurit des lments support) et aux contraintes rglementaires.
4.1
Scurit des lments supports
Afin de mieux visualiser le positionnement des diffrents lments support dans larchitecture gnrale dun systme de contrle des accs physiques, un schma est disponible en Annexe 1. 4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques.
Le Tableau 2 ci-dessous tablit le lien entre les niveaux de sret et des niveaux de rsistance aux attaques logiques.
Niveau de sret I Rsistance aux attaques logiques12 Mthode Technologie Caractristiques
Identification du badge, ou information mmorise, ou lment biomtrique.
Transpondeurs 125kHz et assimils, cartes ISO14443 ou ISO15693 sans usage de la cryptographie ou cryptographie dfaillante ou propritaire. Carte ISO 14443, authentification cryptographie symtrique.
Facilement clonable
II
L1
Authentification du badge.
Authentification reposant sur une clef commune ; algorithmes et protocoles dauthentification connus et rputs (3DES, AES). Authentification reposant sur une clef drive dune clef matresse ; algorithmes et protocoles dauthentification connus et rputs (3DES, AES).
III
L2
Authentification du badge, clefs drives recommandes.
Carte ISO 14443, authentification cryptographie symtrique
IV
L3
Authentification du badge et du porteur par un second facteur (information mmorise ou lment biomtrique). Clef drives.
Carte ISO 14443, authentification cryptographie symtrique. Saisie dun code mmoris ou dun lment biomtrique.
Authentification reposant sur une clef drive dune clef maitresse ; Algorithmes et protocoles dauthentification connus et rputs (3DES, AES).
Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques
Les badges ne doivent avoir pour seule et unique information enregistre quun numro didentification. Il est dconseill dy stocker dautres informations. Toute autre information dauthentification mmorise supplmentaire (mot de passe, code PIN), doit tre stocke au niveau du serveur de gestion du contrle daccs ou des units de traitement local. A noter : pour rpondre aux principes exposs ici, une demande dautorisation devra tre faite selon 13 les procdures compltes de la CNIL : en cas dusage de la biomtrie il faut noter que la CNIL facilite certaines formalits de demande dautorisation, mais uniquement lorsque linformation est 14 stocke sur le badge . Ces procdures visent la protection des donnes personnelles, et non pas
12
Le risque de substitution par cration dun badge valide est pris en compte en tant quattaque logique. 13 Commission Nationale de lInformatique et des Liberts - http://www.cnil.fr/ 14 Cest le cas notamment pour lemploi de lempreinte digitale lorsquelle est exclusivement enregistre sur un support individuel dtenu par la personne concerne pour contrler laccs aux locaux professionnels (autorisation nAU-008)
celle du systme de contrle daccs. La procdure simplifie impose des conditions contraires aux principes exposs dans ce document, qui dconseille le stockage dinformations sur le badge. >> Il est recommand que les badges soient visuellement les plus neutres possibles. Ils ne doivent pas indiquer : dinformations sur lentreprise (nom, adresse) ; dinformations sur le porteur (nom, prnom, poste), en dehors de sa photo ; les accs quils permettent. Ils peuvent, en revanche, indiquer visuellement un numro de traabilit (ex. : XXX sur la Figure 3 cidessous), diffrent du numro didentification (ex. : YYY sur la Figure 3 ci-dessous), ne rvlant rien sur la nature du badge. Ce numro de traabilit pourra tre utilis des fins dadministration par le gestionnaire du systme. La photographie est tolre car elle permet de vrifier rapidement que le badge appartient bien au porteur.
Figure 3 : Exemple de badge
En ce qui concerne les types de badges, il est regrettable de noter le peu doptions disponibles au e moment de la rdaction de ce guide (4 trimestre 2012). Un certain nombre de supports ne 15 permettront que lidentification (de type puce RFID , comparable aux antivols dans les magasins). Dautres disposent de fonctions cryptographiques qui permettent une authentification (de type carte puce, comparable aux cartes de paiement bancaire). Certaines technologies de carte daccs qui font appel des mcanismes cryptographiques faibles, 16 ont des vulnrabilits connues qui permettent leur clonage et des attaques par rejeu . Il convient donc de sorienter vers des produits fiables, rcents, et dont le niveau de scurit est satisfaisant. La certification de la puce aux critres communs EAL 4+ est un gage de scurit. Il est ncessaire de bien se renseigner lors de lachat des badges et lors de linstallation du systme pour sassurer que les fonctionnalits dauthentification sont mises en place (certains installateurs matrisent mal ces technologies). A ce titre, les utilisateurs de systmes de contrle daccs sont invits sinspirer des clauses proposes au chapitre 5. Ils peuvent galement se tourner vers leurs organisations professionnelles, vers le CNPP et vers lANSSI afin de promouvoir la mise en place dun schma de certification des intgrateurs, des installateurs et des mainteneurs de ce type de systmes. 4.1.2 Ttes de lecture : protection des lments chiffrs. >> Les parties du systme situes hors de la zone de scurit dlimite par le contrle des accs, dont les ttes de lecture font partie, ne doivent pas tre source de vulnrabilits. Dans le cas des architectures o les ttes de lectures renferment des lments secrets, celles-ci doivent comporter des mcanismes de protection tels que leffacement des cls et ventuellement le dclenchement dune alarme en cas darrachement. Malheureusement ces dispositifs ne sont pas totalement srs : pour la plupart des produits proposant ces fonctionnalits, il demeure possible daccder lintrieur de la tte avec un espacement trs rduit (moins de 5mm) sans les dclencher. Bien que ce mode dattaque soit dun niveau dj avanc, il confirme la ncessit dexercer une surveillance des points daccs permettant de dceler toute activit suspecte sur les lecteurs. Ces architectures requirent galement une mthode de mise la cl scurise. En outre, du fait du nombre restreint de fabricants de lecteurs et de badges, certains modles sont facilement reconnaissables et peuvent rvler la technologie employe. Il est donc conseill dutiliser
15 16
Radio Frequency Identification. Attaque dans laquelle une transmission est frauduleusement rpte par une tierce partie interceptant les paquets sur la ligne.
des lecteurs faades standards ou anonymes (soit, totalement dpourvus dun quelconque sigle de socit ou de marque). Enfin, il est ncessaire de connatre les personnes habilites effectuer le paramtrage et les oprations dentretien des lecteurs (mise la cl, maintenance, etc.) et dassurer un suivi des oprations requrant ces accs. 4.1.3 Units de traitement local : accs physique rserv, Secure Access Module et redondance.
Lunit de traitement local (UTL) se prsente gnralement sous la forme dune carte circuits imprims, que lon peut considrer comme un automate, et qui gre un groupe de ttes de lecture, gnralement chacune associe un ouvrant. Cest un lment particulirement sensible du systme de contrle daccs : il dtient un cache de la base des droits daccs, ainsi que dautres informations telles que les derniers journaux dvnements. Dans la plupart des architectures, lUTL dtient aussi les lments secrets cryptographiques permettant lidentification/lauthentification et la scurisation de la communication avec le badge ou les ttes de lecture. Enfin lUTL contient les relais qui commandent l'ouverture des ouvrants. >> Les UTL doivent donc imprativement tre situes lintrieur de la zone physique pour laquelle elles commandent laccs et ne doivent pas tre accessibles facilement (idalement, elles doivent tre labri de tout accs frauduleux, dans un local technique ou tout autre type demplacement scuris). >> Les UTL sont parfois maintenues par des personnes tierces non habilites accder aux cls cryptographiques. Ce problme ne se pose pas dans le cas de larchitecture prsente en annexe 2 (la plus rpandue actuellement), mais le risque existe dans le cas de larchitecture n1 qui reste pourtant la seule recommandable. Une solution 17 consiste utiliser des modules scuriss de type Secure Access Module (SAM) afin disoler et de protger les lments secrets au sein de lUTL. (voir galement en 4.2) >> Dans le cadre de la maintenance globale du systme, la batterie de lalimentation de secours de lUTL doit tre rgulirement vrifie. Cette alimentation de secours et la rplication de la base des droits daccs dans chaque UTL sont le gage dune grande rsilience du systme. >> Comme pour la maintenance des ttes de lecture, il est impratif de disposer de la liste des personnes autorises accder physiquement aux UTL et dassurer galement la surveillance de ces oprations. 4.1.4 Liaisons filaires : dans le primtre de scurit.
Autant que possible, les liaisons filaires doivent tre situes dans la zone de scurit dlimite par le contrle des accs, et non pas lextrieur de cette zone. 4.1.5 Rseau fdrateur : chiffrer les communications, protger lintgrit.
Concernant les liaisons entre les UTL et le serveur de gestion du systme de contrle des accs (dites liaisons filaires du rseau fdrateur), la problmatique est sensiblement la mme. Que lon soit dans un schma mono-site , ou multi-sites avec des liaisons filaires extrieures et ventuellement lutilisation de passerelles IP (par exemple un serveur de gestion centralis pilotant des sites loigns connects par VPN au site principal), le chiffrement de la communication est indispensable, moins que les liaisons ne soient protges en intgrit (passages de cbles sous 18 surveillance ou trop difficile daccs). Lillustration ci-dessous prsente une configuration.
17
Dispositif gnralement constitu d'une carte puce au format d'une carte SIM, qui se charge de certains calculs cryptographiques en lieu et place du systme sur laquelle on la connecte. Ce dispositif amliore la scurit des clefs cryptographiques en les isolant. Il peut tre utilis par exemple pour effectuer des drivations de clef en assurant la scurit de la clef matresse, qu'il protge. 18 Notion de circuit approuv.
Figure 4 : exemple dun systme de contrle daccs sans contact
4.1.6
Serveur de gestion du systme et postes de travail : un SI part entire
Le serveur de gestion du systme est aussi appel Unit de Traitement de Supervision (UTS) ou Gestion des Accs Contrls (GAC). >> Le systme de contrle daccs est un systme dinformations (SI) part entire. Il doit donc tre scuris comme tout SI et ce, dautant plus quil traite dinformations personnelles sensibles. Il faut que les configurations du serveur de gestion du systme de contrle des accs, ainsi que des postes de travail relatifs au contrle des accs, soient scurises par lapplication des mesures habituelles de scurit des SI (pare-feu, application rgulire des correctifs de scurit, antivirus, 19 bonne gestion des comptes utilisateurs, authentification forte, etc.) . Le respect dune hygine informatique stricte est dautant plus crucial lorsque le systme de contrle daccs est connect dautres systmes - tel un circuit de vido surveillance, surtout si ce dernier est constitu de camras IP ou un systme de gestion du personnel avec interconnexion au rseau local (voir aussi Chapitre 6.1.1 : Interconnexion avec un systme de gestion des ressources humaines et Chapitre 6.1.4 : Interconnexion avec les systmes de surveillance vido). Ces machines doivent tre physiquement protges de la mme manire que les UTL.
19
LANSSI publie un de nombreuses recommandations sur son site : http://www.ssi.gouv.fr/bonnespratiques

4.1.7
Logiciel de gestion du systme : le point nvralgique des systmes de gestion daccs physiques par technologie sans contact.
Le logiciel install sur le serveur de gestion a pour rle de communiquer dun point de vue logique 20 avec les UTL . Ce logiciel enferme toute lintelligence applicative, les autres lments, sous sa commande, ntant gnralement que des automates peu volus. Il doit donc tre dot de toutes les fonctionnalits ncessaires afin de piloter efficacement les UTL et en particulier : la centralisation des journaux dvnements des UTL, pour archivage scuris et consultation en temps rel ; la remonte des vnements au gestionnaire, que ce soit sous la forme dalertes lors de tentatives daccs non autorises ou de dfectuosit dun quipement, ou rgulires sous la forme de rapports journaliers par exemple ; la gestion des badges, des droits, des groupes, des dates dexpiration, etc. ; la maintenance en temps rel de la base de donnes centrale contenant toutes ces informations ; la sauvegarde rgulire de la base de donnes ; le pilotage en temps rel de lensemble des UTL, en leur transmettant la base de donnes ncessaire leur traitement des demandes daccs ; lauthentification pour contrler laccs au logiciel, et ventuellement la gestion de droits associe.
4.2
Principes cryptographiques mis en contexte
Acqurir des badges supportant lauthentification et disposant de mcanismes cryptographiques ne suffit pas. Il faut activer correctement ces mcanismes lors de linstallation par lintgrateur, faute de quoi, les badges ne seront utiliss quen identification, et pourront donc tre clons. Les mcanismes cryptographiques devraient respecter les rgles fixes par lANSSI prcises dans le document public : Mcanismes cryptographiques - Rgles et recommandations concernant le choix et le dimensionnement des mcanismes cryptographiques qui constitue lannexe B.1 du Rfrentiel 21 Gnral de Scurit (RGS) accessible sur le site de lANSSI . Dautres rfrentiels existent, correspondant des niveaux de scurit suprieurs, qui peuvent tre consults en fonction de la sensibilit du lieu o est mis en place le systme de contrle des accs. Les mcanismes d'authentification cryptographique doivent tre documents. Il ne doit pas y avoir d'attaques connues permettant de cloner la carte, ou de rejouer une transaction. La taille des cls utilises devrait galement tre conforme au Rfrentiel de lANSSI. Le mcanisme dauthentification peut employer trois types de cls : une cl symtrique unique La mme cl secrte est employe par toutes les cartes et par tous les systmes de contrle. Cette distribution grande chelle reprsente un risque pour cette cl, qui pourrait tre compromise par lattaque matrielle dune carte, ou du systme de contrle. des cls symtriques drives dune cl matresse Chaque carte contient une cl diffrente, qui est drive par un mcanisme cryptographique partir dune cl matresse et dun identifiant unique (UID) propre chaque carte. LUID est galement contenu dans la carte.
20
Le logiciel et le serveur de gestion du systme peuvent tre intgrs dans un boitier logiciel (appliance). 21 Voir sur le site Internet de lANSSI : www.ssi.gouv.fr/rgs
Figure 5 : Processus d'initialisation des badges clef symtrique drive
Lors du contrle, le systme demande lidentifiant unique de la carte, puis, partir de la cl matresse et de lUID du badge, regnre la mme clef drive, ce qui permet dauthentifier cette carte. Lavantage de cette approche est que lattaque matrielle dune carte ne permet que de la cloner. Elle ne permet pas den forger une diffrente, car la cl matresse nest pas prsente au sein de la carte. En revanche, la cl matresse doit tre employe par le systme de contrle lors de chaque vrification. Afin de mieux protger celle-ci, il est recommand dutiliser le module appel Secure Access Module (SAM), carte puce qui renferme la cl matresse, et qui produit ellemme les cls drives pour le systme de contrle. Ce dernier ne manipule ainsi jamais la cl matresse qui reste protge dans le SAM. des cls asymtriques Chaque lment du systme possde sa propre clef prive, qui permet le dchiffrement de messages chiffrs avec la clef publique. Plus flexible, cette solution permet de mieux protger les lments les plus sensibles (les cls prives) en nutilisant que des cls publiques et des certificats lors du contrle. Il sagit de la solution la moins rpandue car elle ncessite des cartes sans contact puissantes pour que le dlai de vrification ne soit pas prohibitif. Elle est nanmoins la plus scurise car en cas de compromission, de perte ou de vol, seule la clef concerne devra tre rvoque et change.
La cration et la gestion de toutes les cls cryptographiques employes dans le systme de contrle des accs physiques sont des oprations essentielles pour la scurit du systme. Lors de ces oprations, il est essentiel dassurer la protection des cls cryptographiques car elles sont le facteur principal de la scurit du systme. >> Pour cela, il convient de suivre les recommandations du rfrentiel de lANSSI, et de faire raliser ces oprations sous le contrle du gestionnaire du ou des sites. Une attention particulire doit tre apporte la mthode de mise la cl du systme de contrle des accs, notamment dans le cas o les ttes de lecture renferment des cls. >> Il ne doit pas tre possible pour une personne extrieure (y compris le fournisseur du matriel) de changer les cls dauthentification sans que cela ne soit dtect. En cas de compromission dune cl, il est souhaitable que le responsable du systme de contrle daccs puisse changer les cls cryptographiques quil emploie, sans entraner de surcots (rachat de cartes) ou de perturbations dans son service aux usagers, ni introduire de nouvelles failles de scurit. Si plusieurs zones sont de sensibilits diffrentes, ou sont sous la responsabilit de diffrents organismes indpendants, il est souhaitable que des cls cryptographiques diffrentes soient utilises pour chaque niveau (ou organisme). Cela permet de sassurer que la compromission de la cl dune zone peu protge nentrane pas la compromission dune zone plus protge.
Figure 6 : diffrentiation des clefs utilises selon la sensibilit des zones
En pratique, il savre souvent ncessaire demployer dautres cls cryptographiques dans le systme de contrle des accs, notamment : la ou les cls permettant dcrire dans les cartes (criture de champs, criture de cls, formatage). la ou les cls permettant de configurer et dinjecter les cls dans le systme de contrle (tte de lecture, UTL ou SAM).
Par leur usage, ces cls sont une information dune grande sensibilit. Cependant, ntant pas ncessaires lors du contrle (o seule la cl dauthentification est utilise), elles ne sont employes que lors de la cration de badges et la configuration du systme. Elles peuvent donc tre plus facilement protges et conserves de faon scurise (par exemple dans une enveloppe scelle mise dans un coffre-fort) au sein dun des sites protgs.
4.3
Architectures
Le choix dune architecture avec ttes de lecture passives (qui se contentent simplement de transfrer les messages) permet de saffranchir des problmatiques de scurit des liaisons filaires entre les ttes de lecture et les UTL, dans la mesure o le badge est scuris. Dans le cas contraire, les informations circulant dans les liaisons filaires extrieures doivent tre protges en confidentialit et en intgrit. Il existe diffrents types darchitectures, faisant intervenir les trois lments supports principaux : le badge, la tte de lecture, et lunit de traitement local (UTL). Ces lments interviennent diffrents niveaux et avec des mcanismes de scurit variables. Quatre architectures sont prsentes dans ce guide, par niveau de scurit dcroissant. Les architectures 3 et 4 sont dconseilles. 4.3.1 Architecture n1, hautement recommande
Canal sans fil

123456
Liaison filaire
Badge
Tte de lecture
UTL
Figure 7 : Architecture n1 : tte de lecture transparente, authentification de bout en bout
Le badge, scuris , sidentifie et sauthentifie directement lUTL par lintermdiaire de la tte de lecture qui transmet les messages sans les modifier, et ne participe pas au protocole cryptographique (tte de lecture dite transparente ). Avantages : le badge, scuris, ne peut pas tre clon ; aucune information ne circule en clair, que ce soit sur le canal sans fil ou sur la liaison filaire ; la tte de lecture ne contient aucun lment secret : il ny donc aucun impact en cas dexploitation dune vulnrabilit de cette dernire. Inconvnient : lUTL doit avoir la capacit deffectuer le protocole dauthentification. >> Cette architecture est hautement recommande, bien quelle reporte le risque dexploitation dune vulnrabilit de la tte de lecture sur lUTL. Les mesures de protection concernant lUTL devront donc requrir une attention toute particulire, notamment pour la protection des clefs cryptographiques (voir Chapitre 4.1.3 : Units de traitement local ).
22
22
Idalement certifi Critres Communs au niveau EAL4+.

4.3.2
Architecture n2, acceptable
Canal sans fil

123456
Liaison filaire
Badge
Tte de lecture
UTL
Figure 8 : Architecture n2 : tte de lecture intelligente, double authentification en coupure
Le badge, scuris , sidentifie et sauthentifie la tte de lecture. Cette dernire a galement une liaison scurise (avec authentification et garantie de lintgrit) avec lUTL. Elle envoie lidentit rcolte lUTL. Avantages : le badge, scuris, ne peut pas tre clon ; la liaison filaire est protge. Inconvnients : la tte de lecture, situe hors de la zone de scurit, renferme la fois les secrets permettant lauthentification de la carte et les secrets permettant de protger la liaison filaire ; le badge est authentifi indirectement par lUTL. La tte de lecture est un intermdiaire dont le bon fonctionnement est crucial pour la scurit du systme. >> Cette architecture est acceptable si la tte de lecture a fait lobjet dune tude de scurit approfondie. 4.3.3 Architecture n3, dconseille
23
Canal sans fil

123456
Liaison filaire
Badge
Tte de lecture
UTL
Figure 9 : Architecture n3 : Badge non scuris, avec chiffrement filaire seulement
Le badge, non scuris, sidentifie directement auprs de lUTL. La liaison filaire entre la tte de lecture et lUTL est protge. Avantage : la liaison filaire est protge. Inconvnients : le badge peut tre clon, y compris hors du site, ce qui rend sans intrt la protection filaire. Il ne sert que didentification. les lments secrets permettant la protection de la liaison filaire se situent dans la tte de lecture, qui se trouve hors de la zone de scurit. Cette architecture est dconseille.
23
Idalement certifi Critres Communs au niveau EAL4+.

4.3.4
Architecture n4, dconseille
Canal sans fil

123456
Liaison filaire
Badge
Tte de lecture
UTL
Figure 10 : Architecture n4 : Badge scuris, avec liaison filaire non chiffre
Le badge scuris sidentifie et sauthentifie avec la tte de lecture. Cette dernire transmet de manire non protge lidentit lUTL. Avantage : le badge, scuris, ne peut pas tre clon. Inconvnients : la liaison filaire nest pas protge : un attaquant peut contourner lauthentification sil se branche physiquement sur la liaison filaire. la cl secrte dauthentification est stocke dans la tte de lecture, qui se trouve hors de la zone de scurit. Cette architecture est dconseille si le site ne fait pas lobjet dune surveillance physique renforce. En revanche, il est possible de migrer de cette architecture vers larchitecture 1 si la tte de lecture est capable de passer en mode transparent, et si les UTL sont changes.
5 Spcifications
Lors de la phase de prparation du cahier des charges en vue de la passation dun march pour lacquisition et linstallation dun systme de contrle daccs sans-contact, il est recommand de rendre ce guide applicable et dinclure les clauses prsentes en Annexe 4 - Spcifications dtailles en vue dune passation de march. Ces spcifications sont prsentes selon 13 grands thmes correspondants aux diffrents lments du systme ou son installation et sa maintenance : Technologie utilise ; Badges ; Ttes de lecture ; UTL ; Rseaux et communications ; Performances ; Rsilience ; Horodatage et contrle des accs ; Gestion des alarmes et vnements ; Stockage et archivage ; Biomtrie ; Installation ; Maintenance.
Note : les exigences indiques sont complmentaires : Pour atteindre un niveau de scurit de niveau L1, il faut appliquer toutes les exigences du niveau L1. Pour atteindre un niveau de scurit de niveau L2, il faut appliquer toutes les exigences du niveau L1 et toutes celles du niveau L2. Pour atteindre un niveau de scurit de niveau L3, il faut appliquer toutes les exigences du niveau L1, du niveau L2 et toutes celles du niveau L3.
Voir galement : Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques (4.1.1)
6 Installation du systme
6.1 Interconnexions avec dautres systmes
Les systmes de contrle daccs ne sont pas autonomes et doivent satisfaire des contraintes supplmentaires dinterconnexion, ce qui a, bien entendu, des impacts en termes de scurit. 6.1.1 Interconnexion avec un systme de gestion des ressources humaines
Cette interconnexion est tolre par la norme simplifie n 42 de la CNIL. Elle peut en effet contribuer une mise jour plus efficace des droits daccs si les deux applications ont t prvues dans ce sens (et si le systme de gestion des ressources humaines (RH) est bien mis jour en temps rel ). Elle savre pour linstant plus pertinente pour une rvocation de droits que pour une attribution. Nanmoins, il faut veiller ce que puissent tre grs les cas particuliers (comme par exemple une personne rappele durgence). Par ailleurs, lensemble des porteurs de badges peut ne pas concider avec lensemble des personnes recenses dans le systme RH. Une telle interconnexion implique souvent un lien entre le systme de gestion des accs avec le rseau informatique local. Il convient alors de prendre toutes les mesures ncessaires pour garantir que laccs au systme de gestion du contrle des accs physiques ne soit pas possible depuis le rseau local. Pour les raisons de scurit propres au systme de contrle des accs, il est prfrable dviter une telle interconnexion entre rseaux informatiques et de privilgier des processus organisationnels RH darrive et de dpart faisant intervenir le gestionnaire des accs physiques le plus tt possible. 6.1.2 Interconnexion avec le systme de contrle du temps de travail
La norme simplifie n 42 de la CNIL autorise que ces deux fonctionnalits soient associes . Nanmoins, en vue dune dclaration la CNIL, il est prfrable que lensemble soit nativement pens comme un projet global. A lusage, et compte tenu de la sensibilit du sujet, il semble prfrable de disposer dun systme de pointeuse proximit du contrle daccs qui pourra utiliser la mme carte. Le systme est alors susceptible dtre mieux accept par les usagers. Cette solution permet par ailleurs dviter de nombreux cas particuliers problmatiques (cas des runions lextrieur par exemple). Une telle interconnexion est dconseille. 6.1.3 Interconnexion avec les systmes dalertes en cas de catastrophe Linterconnexion avec les systmes dalertes (c'est--dire dincendie uniquement dans la plupart des cas) est une obligation rglementaire (Cf. Annexe 4). 6.1.4 Interconnexion avec les systmes de surveillance vido Linterconnexion au systme de vido surveillance est acceptable si la scurisation de ce dernier suit les mmes principes que la scurisation du systme de contrle des accs. Dans le cas dune vido surveillance sur IP, plusieurs cas se prsentent : Vido surveillance sur cblage IP ddi. Si la scurit physique du cblage est assure, linterconnexion ne devrait pas poser de problmes de scurit. Il convient tout de mme de vrifier attentivement les oprations de maintenance du systme de vido surveillance, qui donne invitablement accs celui de contrle des accs. Vido surveillance sur cblage IP du rseau informatique local. Dans ce cas prcis, des mesures de cloisonnement doivent tre mises en place afin que laccs au systme de gestion du contrle des accs physiques ne soit pas possible depuis le rseau informatique local. Il est prfrable, par scurit pour le systme de contrle des accs, dviter une telle interconnexion.
6.1.5
Contraintes rglementaires
Certaines interconnexions peuvent tre sujettes des rglementations particulires. Un aperu des principales rglementations est donn en Annexe 4. 6.1.6 Certification des intervenants La complexit des systmes, que le lecteur aura perue tout au long de ce guide, ncessite quils soient installs et maintenus par des personnes de confiance parfaitement formes. Pour pouvoir garantir la comptence de ces personnes, il semble utile de mettre en place un schma de certification des personnes par des organismes habilits par le CNPP ou lANSSI. Lors de lcriture de ce guide, un tel schma nexiste pas encore et seules des discussions informelles ont eu lieu sur ce sujet. Les utilisateurs, fournisseurs, intgrateurs et mainteneurs de systmes de contrle daccs intresss par la mise en place dun tel schma sont invits se rapprocher de leurs organismes professionnels ainsi que du CNPP et de lANSSI pour en promouvoir lide.
7 Exploitation du systme
7.1 Gestion des droits et des badges daccs
Les droits daccs doivent tre dfinis pour chaque catgorie de personnes mme de sintroduire dans le ou les sites sous contrle. Il est donc prfrable de configurer les droits par groupes dutilisateurs puis dajouter des accs personnaliss. Les procdures de dfinition des groupes et des droits individuels dans lorganisme doivent tre formalises dans ce sens, et tre gnralement valids par les chefs dtablissements ou autres personnes responsables. 7.1.1 Accs gnriques
Les demandes de badges doivent tre intgres au processus de gestion des ressources humaines, lors de larrive des salaris. Les droits spcifiques (par exemple : accs la salle serveurs) ventuellement demands devraient tre valids par les chefs dtablissements ou autres personnes responsables. La cration (programmation) et la remise des badges doivent se faire selon des procdures dfinies, avec une remise de badge en face face. Dans le cas dune gestion locale du systme de contrle des accs, la cration et la remise du badge doivent tre effectues sous le contrle du gestionnaire du systme. Dans le cas dune gestion centralise du contrle des accs, la cration et la personnalisation des badges doivent se faire selon un processus connu du gestionnaire du systme. Lorsque la situation le permet (recrutement dun stagiaire, contrat dure dtermine, fin de mission anticipe, etc.), une date de fin de validit du badge doit tre programme. La restitution des badges doit galement tre intgre aux processus de gestion des ressources humaines, lors du dpart des salaris, afin que les droits soient rvoqus au plus tt. Lhistorique des accs doit tre consultable. Une vrification rgulire des accs utilisateurs doit tre effectue. 7.1.2 Accs particuliers Certains profils particuliers dusagers occasionnels (personnel de maintenance, visiteurs, etc.) doivent tre traits diffremment des salaris tout en maintenant les mmes exigences de scurit (la scurit gnrale du systme repose sur la prise en compte du maillon le plus faible). En effet, les badges des personnels tiers sont plus facilement oublis ou perdus, et parfois ne sont tout simplement pas restitus. Sils sont moins scuriss, ils offrent plus facilement une personne mal intentionne la possibilit de sintroduire dans lenceinte sous contrle. Les visiteurs En labsence de mcanisme de drivation de la cl matresse dauthentification [Cf. 4.2 Principes cryptographiques], et sil existe des zones inaccessibles aux visiteurs ou dans le cas dun organisme multi-sites, il est conseill dutiliser des cls de chiffrement diffrentes pour ces badges. De mme, il est recommand de limiter leur dure de validit. Il convient galement de dfinir les procdures dobtention dun badge pour un visiteur ainsi que les modalits dentre dans les locaux de ce dernier. Les procdures peuvent tre diffrentes selon le statut du personnel qui accueille le visiteur (un stagiaire peut ne pas tre autoris faire entrer une personne extrieure, contrairement un salari). Dans tous les cas, les procdures doivent tre documentes. Selon le niveau de scurit recherch, en particulier si lon souhaite quun visiteur ne puisse pas se dplacer seul, le systme pourra tre configur de faon ce que laccompagnateur et le visiteur doivent effectuer une lecture de leurs badges dans un temps restreint sur un mme point daccs (fonction descorte). Les usagers privilgis, ayant des droits importants La possibilit daccorder des porteurs du badge des droits importants (accs complet, reprogrammation des lecteurs, etc.) est tudier au cas par cas. Le nombre de ces porteurs doit tre rduit au strict ncessaire car ils reprsentent une importante et relle vulnrabilit du systme.
Lorsque de tels porteurs de badge existent, il est trs fortement recommand que leur badge demeure lintrieur de lenceinte chaque fois que cela est possible. Dans ce cas, le porteur pourrait se voir remettre un badge permettant, dans un premier temps, daccder uniquement lintrieur de lenceinte puis dans un deuxime temps de se faire remettre le badge ayant des droits plus importants). 7.1.3 Oubli, perte ou vol de badge Loubli du badge permanent doit se traduire par la dlivrance dun badge de substitution dune dure de validit limit (24 heures maximum). Paralllement, cela devrait entraner linvalidation temporaire du badge oubli. Il convient de vrifier quune mme personne ne demande pas systmatiquement un badge de substitution, ce qui rvlerait une probable perte non dclare du badge permanent. En cas de perte ou vol de son badge, le personnel concern doit le signaler sans dlai afin de faire invalider son badge.
7.2
7.2.1
Surveillance des accs

Analyse des journaux dvnements
Les journaux dvnements, centraliss de manire exhaustive par le logiciel de gestion du systme de contrle des accs, doivent tre consultables facilement par le gestionnaire du systme. Des vrifications rgulires des accs devraient tre effectues afin de dtecter toute erreur ou anomalie. Ceci consiste par exemple gnrer et examiner : un rapport listant les badges qui nont pas t utiliss lors des dernires semaines (5 par exemple), permettant de sassurer que les badges sont bien tous actifs, et didentifier des badges qui auraient d tre dsactivs mais qui ne le sont pas ; la liste complte des accs visiteurs de la semaine ; un rapport dutilisation des badges privilgis sur la semaine coule ; la liste des accs refuss de la semaine, afin de dtecter des tentatives daccs frauduleuses rptes ; la liste des accs en dehors des plages horaires normales de travail et en dehors des jours ouvrs durant la semaine coule ; etc.
Une surveillance rgulire et srieuse des accs et des diffrents rapports est primordiale pour assurer la scurit du systme de contrle des accs, en dtectant rapidement les anomalies et les tentatives daccs frauduleuses. Lusage dun faux badge sera trs difficilement dtectable autrement. 7.2.2 Dfinition dalertes spcifiques En parallle de rapports rguliers sur les journaux dvnements, il est recommand de configurer des alertes en temps rel qui pourront tre rapidement prises en compte par le gestionnaire du systme. Ces alertes, qui se devront dtre peu nombreuses, pourront tre remontes par exemple par courriel ou par des messages textes envoys sur des tlphones portables (SMS), de manire tre rapidement consultes. Bien entendu cela implique soit une interconnexion avec le rseau local pour permettre lutilisation de services de messagerie, soit un rseau ddi au systme et connect aux postes de travail de gestion du systme de contrle daccs (c'est--dire les postes des gestionnaires du systme). Cette interconnexion devra tre tudie conformment au paragraphe 3.9. Ces alertes devraient tre configures pour tout vnement dun niveau de criticit important. Par exemple : tentatives daccs refuses et rptes (2 fois sur une mme tte de lecture et sur une priode donne, ou 2 fois par le mme badge par exemple) ; dfectuosit dun lment support (tte de lecture, UTL, alertes systmes et applicatives du serveur de gestion du systme daccs) ; tentative unique daccs refuse une zone sensible ; porte reste ouverte plus dun certain temps ; (liste non exhaustive)
7.3
7.3.1
Procdures dexploitation particulires

En cas de fonctionnement dgrad
On dfinit le fonctionnement dgrad, dans le cadre de ce guide, comme le fonctionnement du systme de manire partielle suite un dysfonctionnement complet ou partiel des lments qui le composent. Plusieurs types dvnements peuvent se produire et entraner un fonctionnement dgrad. Les vnements peuvent aussi se cumuler. Il convient de faire face chaque situation en dfinissant les bonnes procdures ds la mise en place du systme. Panne dune tte de lecture Le gestionnaire du systme veillera avoir des ttes de lecture en stock pour garantir leur remplacement le plus rapidement possible. Pendant la panne, et en fonction des exigences et de lemplacement de la tte de lecture concerne, plusieurs solutions sont possibles : laisser la porte ouverte, en acceptant le risque ; contrler les flux de personnes manuellement (par un agent de surveillance par exemple) ; condamner la porte et obliger les personnes emprunter un passage secondaire. Attention toutefois au fait que sil sagit dune porte avec un systme de contrle daccs en entre et en sortie, sa condamnation peut aller lencontre de la rglementation sur la scurit des personnes (Cf Annexe 4) ; etc. Panne dUTL La problmatique est la mme que pour une tte de lecture dfaillante, la diffrence que plusieurs ttes de lecture (celles contrles par lUTL) seront non oprationnelles. Panne du serveur ou du logiciel de gestion du systme daccs Les UTL doivent avoir une copie de la base des droits afin de continuer fonctionner de manire autonome. Pendant la panne, la cration de badges et leur rvocation nest pas possible, ni la gnration des rapports ou la consultation des vnements. Cette situation est faiblement critique et devrait pouvoir tre gre facilement et sans gros impact. Il est toutefois ncessaire de mener, au plus vite, les oprations de reprise aprs incident, partir des dernires sauvegardes. Coupure lectrique Pendant la dure de la coupure, et si les conditions de scurit des personnes le permettent, il est conseill de vrifier manuellement le verrouillage de chaque porte sensible (portes extrieures des sites, et portes intrieures donnant accs des zones sensibles) afin de sassurer que les batteries ont bien pris le relai dalimentation et assurent le verrouillage des portes. Lorsque la dure de la panne excde lautonomie sur batterie des lments supports du systme de contrle daccs, la panne relve de lincident grave (cf. : 7.3.2 En cas de crise ou dincident grave). Il convient de porter une attention particulire aux portes qui pourraient rester verrouilles alors que la rglementation sur la scurit des personnes en impose le dverrouillage. 7.3.2 En cas de crise ou dincident grave
Une crise, ou un incident grave, dans le cadre de ce guide, sera tout incident rendant le systme non oprationnel dans sa quasi-totalit. Parmi ces incidents, on en distingue deux types : panne importante du systme Dans ce cas prcis, il faut faire face une situation o le contrle daccs nest plus oprationnel pour diffrentes raisons (dysfonctionnement logiciel avec corruption des bases de droits des UTL, panne lectrique plus longue que lautonomie des lments support, etc.).
Dans une telle situation, deux choses sont garder lesprit : des catastrophes pourraient se produire pendant ce laps de temps, la scurit des personnes doit, bien entendu, continuer dtre assure, c'est--dire que tout systme de verrouillage de porte non aliment en lectricit doit tout de mme permettre son ouverture en sortie ; le besoin dentrer peut subsister en fonction de la situation. Les portes, dont le systme de verrouillage condamne ces dernires lorsquil nest plus aliment, doivent pouvoir tre ouvertes par un moyen mcanique (clef par exemple). attaques russies menes par des personnes malveillantes, remettant en cause la fiabilit du systme de contrle Si la fiabilit du systme de contrle daccs est remise en cause, par exemple par la diffusion sur internet dune vulnrabilit et des moyens simples pour lexploiter, lintrusion de personnes malintentionnes est facilite. Le systme peut alors tre considr comme non oprationnel et lentreprise devrait avoir prvu des procdures agents de scurit qui effectuent des rondes dans les zones concernes. 7.3.3 En cas dalerte incendie
La rglementation nationale impose que les issues et dgagements permettent une vacuation rapide 24 en cas dincendie . Les accs ne sont alors plus contrls par le systme mis en place. Selon les risques identifis et les rgles dfinies par lorganisme, il convient de dterminer comme le contrle des accs peut tre assur dans un tel cas, par exemple grce des moyens humains ou vidos. Le responsable du site doit dterminer (et tester) lavance comment se passera le retour dans les locaux lissue dune alerte : soit par louverture complte des points daccs (avec contrle humain par exemple) soit via le fonctionnement normal du systme (il faut alors pouvoir rinitialiser le systme).
7.4
7.4.1
Maintenance
Certification des intervenants
Les prestataires de maintenance devraient tre certifis conformment au paragraphe 6.1.6. 7.4.2 Maintien en condition de scurit Les agents de lANSSI constatent quasi systmatiquement lors de leurs interventions que les systmes de contrle daccs ne sont pas maintenus en condition de scurit. Une fois installs, limportant est quils fonctionnent. Aussi seule une maintenance oprationnelle est effectue. Ce comportement conduit les entreprises et les administrations faire reposer la scurit de leurs biens les plus prcieux sur des systmes fonctionnant avec des logiciels obsoltes, dont de nombreuses vulnrabilits sont connues et exploites. Cette situation est absolument anormale. >> Les contractants doivent exiger un maintien en condition de scurit pour leurs systmes de contrle daccs, au mme titre que pour tout autre systme dinformation. A minima, les tiers en maintenance doivent : notifier la prsence de vulnrabilits sur les produits dont ils ont la charge ; proposer la mise en place immdiate de mesures palliatives de ces vulnrabilits et un plan de dploiement rapide des correctifs ds lors quils ont t publis par lditeur des logiciels ; fournir un suivi des versions des logiciels et des correctifs dploys ainsi que lcart entre ce qui est dploy et les versions et correctifs compatibles avec le systme les plus rcents. Ils devront dtailler les risques encourus ds lors que les versions dployes ne sont pas les plus rcentes ou que les correctifs de scurit ne sont pas tous installs.
24
Articles R4216-1 et suivants du Code du travail.

7.4.3
Tlmaintenance
Lusage de la tlmaintenance saccompagne de risques parfois extrmement levs. Afin de les rduire, il est conseill de suivre les recommandations du guide de lANSSI relatif lexternalisation 25 Matriser les risques de linfogrance , notamment la partie 2.2 : Risques lis aux interventions distance.
25
http://www.ssi.gouv.fr/infogerance.
Annexe 1
Processus dauthentification dune carte et de transmission scurise de lidentifiant
Annexe 2
Schma gnral de larchitecture dun systme de contrle des accs physiques multi-sites
Annexe 3
Exemple de processus organisationnel
Annexe 4
Spcifications dtailles en vue dune passation de march
A4.1 Technologie utilise
L1
Une technologie conforme au niveau L1 du Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques, page 13 4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques. du guide sur la scurit des technologies sans contact pour le contrle des accs physiques v1.0 de lANSSI sera mise en uvre.
L2
Une technologie conforme au niveau L2 du Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques, page 13 4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques. du guide sur la scurit des technologies sans contact pour le contrle des accs physiques v1.0 de lANSSI sera mise en uvre.
L3
Une technologie conforme au niveau L3 du Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques, page 13 4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques. du guide sur la scurit des technologies sans contact pour le contrle des accs physiques v1.0 de lANSSI sera mise en uvre. Chaque support de lidentifiant utilisera une cl diffrente drive dune cl matresse.
L3
A4.2 Badges
L1
Les donnes relatives aux droits daccs et les priodes de validit ne doivent pas tre stockes dans le badge mais dans la base de donnes du systme de contrle daccs. Le badge doit tre garanti unique (aucun doublon avec un systme existant dans la socit ou dans une autre entreprise, et aucun doublon sur le mme systme). Le badge doit pouvoir tre raffect une autre personne sans perte de traabilit. Aucune information relative au porteur du badge (except une photo de ce dernier) ou aux sites protgs ne doit tre accessible sur celui-ci. Chaque badge doit se voir attribuer un numro de traabilit unique et visible sur le support. Ce numro de traabilit doit tre diffrent du numro didentification du systme.
L1
L1
L1
L1
L2
Le support de lidentifiant (badge, par exemple) doit tre certifi selon les Critres Communs au niveau EAL4+.
L3
Pas dexigence spcifique pour ce niveau.
A4.3 Ttes de lecture
L1
Les ttes de lecture doivent fonctionner avec une distance maximale de 5 cm entre le lecteur et le badge. Aucun droit daccs ne doit tre dport dans la tte de lecture. Les ttes de lecture sont quipes dun systme de dtection dintrusion et darrachage.
L1 L1
L2
Les ttes de lecture doivent avoir dmontr un excellent niveau de protection contre les fraudes. Elles devront avoir fait lobjet dune certification de scurit de 26 premier niveau (CSPN) . Les ttes de lecture doivent comporter une signalisation visuelle daccs autoris et daccs refus, ainsi quune signalisation sonore en cas de porte maintenue ouverte. Les ttes de lecture ne doivent pouvoir tre programmes que via les UTL, et en aucun cas au moyen dune carte de maintenance simplement prsente la tte de lecture pour la reprogrammer.
L2
L2
L3
Les ttes de lecture doivent pouvoir admettre un clavier dauthentification. Ce clavier devra tre dot dune fonction accs sous contraintes .
A4.4 UTL
L1
Les UTL et concentrateurs associs peuvent tre associs en un seul et mme quipement assurant les fonctions des deux. Les UTL analysent les droits du badge et dlivrent lordre douverture gche ou actionneur. Pour leurs vnements et alarmes, les UTL assureront la datation.
L1
L1
26
http://www.ssi.gouv.fr/cspn
L1
Les UTL transmettent les informations lies la transaction, au serveur de gestion du systme (UTS, GAC, ou autre quipement). Les UTL doivent mettre, vers le serveur de gestion du systme, des informations sur les anomalies de fonctionnement qui leurs sont propres et sur les quipements qui leurs sont associs.
L1
L1
Les UTL sauto-surveilleront en gnrant des dfauts internes. Ces alarmes seront dates et envoyes aux serveurs de gestion du systme comme une alarme interne. Les UTL doivent raliser des diagnostics fonctionnels sur les quipements qui lui sont associs. La scurisation des UTL devra tre cohrente avec la solution globale propose. Les UTL sont installes lintrieur des zones quelles contrlent. Les UTL sont quipes dun systme de dtection dintrusion et darrachage. Toutes les UTL pourront fonctionner sans perturbation en cas de perte de la liaison avec les quipements en amont. En cas de coupure de liaison avec le serveur de gestion du systme, les UTL doivent pouvoir archiver temporairement un nombre dalarmes ou dvnements compatible avec les exigences, puis assurer une mise jour diffre de larchivage centralis. En cas de coupure de liaison avec le serveur de gestion du systme, les UTL doivent pouvoir grer au minimum N badges. Les UTL possderont une mmoire (contenant les instructions du traitement) type EPROM (Erasable Programmable Read Only Memory) ou RAM (Random Access Memory) sauvegarde par batterie (24 heures minimum).
L1
L1 L1 L1 L1
L1
L1
L1
L2
Les UTL doivent tre capables de grer l'anti pass-back des lecteurs qui lui sont associs.
L3
A4.5 Rseaux et communications
L1
Les cheminements de cbles seront mis en place lintrieur des zones contrles. Les liaisons de communication entre les moyens physiques douverture et lunit de traitement local seront des liaisons ddies au systme de scurit. Les liaisons filaires seront surveilles de manire garantir quaucune tentative de fraude ne puisse tre ralise. La perte dinformations au niveau des liaisons devra tre signale et traite comme une alarme. La fibre optique sera prfre pour les liaisons vers lextrieur du btiment.
L1
L1
L1
L1
L2
La transmission des informations du systme de contrle daccs se fait sur des VLANs ddis ce systme. Les protocoles de communication utiliss (algorithmes de chiffrement inclus) devront tre dcrits, et particulirement les principes de scurisation et de vrification des changes. La communication entre le badge, la tte de lecture et lUTL sera chiffre de bout en bout par des mcanismes conformes aux rfrentiels cryptographiques 27 recommands par lANSSI (Annexe B1 du RGS ). La communication entre lUTL et le serveur de gestion du systme sera chiffre de bout en bout par des mcanismes conformes aux rfrentiels 28 cryptographiques recommands par lANSSI (Annexe B1 du RGS ).
L2
L2
L2
L3
Les cbles servant pour la transmission des informations du systme de contrle daccs sont des cbles ddis ce systme. Les rseaux dfinis pour le systme de contrle daccs seront totalement indpendants des rseaux du site autant pour les cbles que pour les quipements lectroniques ou informatiques associs. Sils venaient faire lobjet de vulnrabilits publies, permettant de compromettre leur efficacit, les protocoles et algorithmes utiliss devront pouvoir tre remplacs par dautres protocoles ou algorithmes ne faisant pas lobjet de vulnrabilits publies et permettant de maintenir le niveau de scurit des changes.
L3
L3
27 28
http://www.ssi.gouv.fr/rgs http://www.ssi.gouv.fr/rgs
A4.6 Performances
L1
Le temps de rponse entre la prsentation dun badge et louverture doit tre infrieur 0,5 s. Le temps dapparition dune alarme sur une console dexploitation (en service) doit tre infrieur 2 s. Le temps de transmission dune information daccs au serveur de gestion du systme doit tre infrieur 2 s.
L1
L1
L2
L3
A4.7 Rsilience
L1
Au niveau du systme et des quipements, une alimentation de secours d'une autonomie de X heures minimum devra pallier une perte de l'nergie principale (batterie /onduleur). Le constructeur sengage fournir du matriel de remplacement identique pendant Y ans. Tous les quipements seront dimensionnes en fonction des besoins en dgageant un potentiel de croissance de lordre de X% sur les entres / sorties.
L1
L1
L2
L3
A4.8 Horodatage et contrle des accs
L1 L1
Toutes les donnes seront dates. La datation sera prcise la seconde prs et le systme garantira la synchronisation de tous les quipements entre eux. La mise lheure locale au niveau serveur de gestion systme sera faite manuellement avec une possibilit de synchronisation externe par NTP (Network Time Protocol). Le passage en heure dt/heure dhiver sera automatique mais cette fonction pourra tre dsactive. Le logiciel ne doit pas interdire le dverrouillage des accs par commandes manuelles (cl, coup de poing, etc.). Dans tous les cas, les demandes de commandes d'ouverture et fermeture doivent faire l'objet d'une information enregistre par le systme, en prcisant l'origine de la commande (oprateur), l'exception des dispositifs anti-panique du type coup de poing , o seule l'information de dbut et fin doit tre enregistre. Le logiciel doit permettre d'autoriser l'accs ponctuellement une ou plusieurs zones un dtenteur de badge en traant lensemble des lments de lopration. Le systme doit permettre d'effectuer des recherches sur la configuration oprationnelle.
L1
L1
L1
L1
L1
L1
L2
Le logiciel doit permettre de faire le comptage des personnels prsents dans un local ou une zone contrle en entre / sortie. Les dtenteurs qui ne sont pas dans ces zones, doivent tre identifis dans une zone commune du site. Le logiciel doit pouvoir interdire l'accs un local ou une zone ds qu'un nombre de personnels programm est dpass. Le logiciel doit possder la fonction anti pass-back : le badge ne donne nouveau l'entre que lorsqu'il a t enregistr en sortie. Le logiciel doit possder la fonction escorte : les badges visiteurs ne permettent laccs quaprs le passage de la personne charge de laccompagner, et ce uniquement pendant un dlai de X secondes. Une mme personne doit pouvoir escorter N visiteurs en mme temps. Ces visiteurs doivent alors tous badger dans un dlai de Z secondes aprs le passage de lescorte sous peine de dclencher une alarme. Au-del de N visiteurs, deux personnels sont requis pour lescorte, lun passant en premier, lautre en dernier. Le logiciel doit vrifier que tous les visiteurs escorts sont bien passs entre les deux accompagnateurs et dclencher une alarme si ce nest pas le cas. Les personnels autoriss accompagner des visiteurs doivent pouvoir tre explicitement dclars comme tels dans le systme. Le systme doit pouvoir refuser la fonction descorte aux personnels qui nont pas t explicitement dclars comme tant autoriss accompagner des visiteurs.
L2
L2
L2
L2
Le logiciel doit permettre un dtenteur de droits particuliers de s'affranchir de la fonction anti pass-back . L'autorisation d'accs doit tre accompagne d'un message particulier traant l'utilisation de ce privilge. Le logiciel doit permettre dempcher laccs une zone incluse dans une autre si la personne na pas pralablement badg lentre de la premire zone. Exemple : laccs la zone blanche nest possible quaprs avoir badg pour entrer dans la zone orange.
L2
L3
Le logiciel doit possder une fonction qui interdit l'accs une zone, une personne qui n'a pas t vue sortie de la zone o elle tait pralablement localise (cette fonction ne s'applique qu'aux zones ayant un lecteur en entre ou en sortie). Le logiciel doit traiter le passage effectif : la personne ayant badg n'est considre dans la zone que lorsqu'elle a vraiment pntr dans cette zone, et non pas lors de la prsentation de la carte d'accs .
L3
A4.9 Gestion des alarmes et vnements
L1 L1 L1
La datation sera effectue au plus prs de lvnement ou de lalarme. Le logiciel doit rendre obligatoire la procdure d'acquittement des alarmes. Le systme doit permettre de suivre lvolution de ltat des alarmes : date et heure de l'apparition, description, localisation, date et heure de prise en compte par l'oprateur, date et heure de rsolution. Le logiciel doit prsenter les alarmes aux oprateurs dans l'ordre de priorit du niveau le plus lev au plus faible. Une consigne spcifique pourra tre attache chaque alarme. Cette consigne pourra tre affiche lagent de protection chaque apparition de lalarme. Dans un site avec des zones incluses dans dautres zones, on ne peut ouvrir une zone intermdiaire que si lon a badg dans les zones externes.
L1
L1
L1
L2
Le logiciel doit traiter et afficher les alarmes en temps rel. Les alarmes doivent tre diffrencies des vnements normaux du systme (ex. : accs autoris). Le logiciel doit permettre dimprimer les alarmes au fil de leau. Les lments secrets matres du systme (cls cryptographiques) devront tre saisis manuellement ou injects par le responsable scurit du site et ne devront pas tre gnrs par le systme ni fournis par le fournisseur qui devra nanmoins apporter son assistance pour former lintervenant cette opration.
L2 L2
L3
A4.10 Stockage et archivage
L1
Le logiciel doit permettre d'effectuer des archivages et stockages avec identification prcise des priodes correspondant aux donnes. Les donnes du systme seront idalement stockes dans une base de donnes d'un format non propritaire, dimensionne de manire pouvoir archiver au minimum 2 mois d'historique.
L1
L2
L3
A4.11 Biomtrie
L1
Lidentification biomtrique est acceptable.
L2
La biomtrie ne peut venir quen complment dun badge.
L3
Lusage dun code, en complment obligatoire du badge, sera prfrable lusage de la biomtrie (non rvocable).
A4.12 Installation
L1
L2
Le systme devra tre install par du personnel certifi par un organisme habilit, dans la mesure o un schma de certification adquat existe. Les certificats devront tre prsents.
L3
A4.13 Maintenance
L1
Lusage de la tlmaintenance doit tre conforme aux recommandations de lANSSI sur linfogrance : http://www.ssi.gouv.fr/infogerance.
L2
La maintenance devra tre assure par du personnel certifi par un organisme habilit, dans la mesure o un schma de certification adquat existe. Les certificats devront tre prsents. Les tiers en maintenance sengagent notifier la prsence de vulnrabilits sur la version dploys des systmes dont ils ont la responsabilit. A minima ils proposeront les correctifs ou les mesures de contournement dans un dlai de X heures/jours/semaines aprs leur publication par lditeur. Idalement ils sengagent dployer ses patchs et correctifs de scurit aprs la mise disposition par les fabricants des quipements concerns.
L2
L2
Un suivi des versions majeures dployes des diffrents systmes devra tre fourni rgulirement (tous les Y mois). Ce suivi devra mettre en avant les diffrences entre les versions dployes et les versions compatibles avec le systme les plus rcentes.
L3
Lusage de la tlmaintenance est fortement dconseill.
Annexe 5
Contraintes rglementaires
Il est ncessaire que toutes les dispositions soient prises afin dassurer prioritairement la scurit des personnes en cas de catastrophes ncessitant des vacuations. Certaines procdures sont galement effectuer auprs de la Commission nationale de linformatique et des liberts (CNIL), dans le cadre de la protection de la vie prive, en fonction des dispositifs mis en place. Pour finir, des contraintes plus spcifiques peuvent sappliquer en fonction des zones protges. Cette annexe na pas pour vocation dtre exhaustive, mais de fournir un aperu des contraintes prendre en compte dans un projet de mise en place de systmes de contrle daccs.
A5.1 Protection des personnes

En cas de catastrophes ncessitant une vacuation (des incendies la plupart du temps, mais galement dautres risques potentiels en fonction de lenvironnement de travail), des procdures doivent tre prcisment dfinies. En particulier, le systme doit pouvoir dverrouiller tous les accs concerns par lalarme (btiment ou zone), afin que lvacuation ne soit pas bloque ou ralentie, et diter la liste des personnes se trouvant lintrieur (cf. normes NFS 61-937 et NFS 61-931 sur les issues de secours). Il appartient au responsable du site de dfinir les modalits de retour dans les locaux lissue dune alerte : ouverture complte des points daccs (ncessite alors un contrle humain pour sassurer que ceux qui rentrent en ont bien le droit) ; fonctionnement normal du systme (il faut alors pouvoir rinitialiser le systme).
En cas de panne dun ou plusieurs composants du systme, il appartient aussi au responsable du ou des sites de choisir quel doit tre le fonctionnement dgrad du systme en fonction des objectifs de scurit, de la configuration du site et des capacits de lorganisme. Le comportement dgrad ne doit bien entendu pas perturber lvacuation des personnes en cas de catastrophe. Le systme pourra par exemple basculer en position tout ouvert . Mais ceci peut ne pas tre du tout satisfaisant. Une autre solution pourrait tre dadjoindre une commande manuelle de dverrouillage depuis lintrieur (selon le dispositif mcanique du point daccs) permettant ainsi la sortie du personnel. Il faut alors traiter le cas de lentre dindividus avec le concours de personnels de scurit. Cela montre bien limportance dun systme particulirement redondant pour garantir la plus grande rsilience possible.
A5.2 Norme simplifie n42 de la CNIL

La norme simplifie n42 de la CNIL concerne le traitement automatis dinformations nominatives mis en uvre sur les lieux de travail pour la gestion daccs au locaux, des horaires et de la restauration. Cette norme simplifie ne traite pas le cas des dispositifs utilisant des donnes biomtriques (cf. 3.4.2 Utilisation de la biomtrie par empreintes). En gnral, les systmes de contrle daccs utilisant des technologies sans contact relvent, lorsquils nutilisent pas de techniques biomtriques par empreintes, de cette norme simplifie. Ils sont donc soumis un rgime de dclaration de conformit cette norme. Concernant la journalisation des vnements, et conformment aux exigences de cette norme simplifie, il est important de prendre en compte le fait que les lments relatifs au dplacement des personnes ne peuvent tre conservs au-del de trois mois. Pour finir, la CNIL fixe les rgles quant au traitement des informations personnelles : communication et dure de conservation des lments didentification, information des usagers, etc. Ces rgles sont consultables sur le site de la CNIL.
A5.3 Utilisation de la biomtrie

Tous les traitements de donnes caractre personnel, ds lors quils mettent en jeu des donnes biomtriques (empreinte, contour de la main, etc. et lexception de la biomtrie par veines par exemple), doivent faire lobjet dune demande dautorisation pralable auprs de la CNIL. Dans les cas suivants, les formalits sont allges et se rduisent une dclaration de conformit des autorisations uniques : cas des dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalit le contrle daccs ainsi que la restauration sur les lieux de travail (autorisation unique nAU29 007) . cas des dispositifs reposant sur la reconnaissance de lempreinte digitale exclusivement enregistre sur un support individuel dtenu par la personne concerne (c'est--dire le badge et non lUTL) et ayant pour finalit le contrle daccs aux locaux sur les lieux de travail (autorisation unique nAU-008).
A5.4 Implication des instances reprsentatives du personnel

La mise en place dun systme de contrle daccs doit se faire en accord avec le Code du Travail, puisquelle implique un changement des conditions de travail. La direction doit informer de son intention de mettre en place un contrle des accs physiques, demander lavis des instances reprsentatives du personnel (Comit hygine et scurit, Comit dentreprise).
A5.5 Personnes mobilit rduite

Lorsque les zones protges sont susceptibles daccueillir des personnes handicapes mobilit rduite, il est important de prendre en compte la norme NF P 99-611 relative laccessibilit des personnes mobilit rduite. Les ttes de lecture par exemple doivent tre installes une hauteur par rapport au sol de 1,10m 1,30m par rapport au sol, ainsi que tout dispositif additionnel dauthentification (boitier de saisie de code PIN, dempreinte biomtrique, etc.).
A5.6 Autres
Attention, certaines zones protges sont concernes par des rglementations particulires qui impacteront les caractristiques du systme de contrle des accs. Cest le cas par exemple des sites comportant des installations abritant des matires nuclaires, dont les systmes dinformation participant la protection des zones nvralgiques ne peuvent en aucun cas tre interconnects au rseau public, ni aux autres rseaux, sauf dispositions particulires. On retrouve galement dautres contraintes rglementaires spcifiques pour les sites classs 30 31 SEVESO , les zones ATEX , etc. Toutes ces contraintes doivent tre clairement identifies ds lexpression du besoin.
29
Par dlibration n2012-322 du 20 septembre 2012 publie au JORF n0238 du 12 octobre 2012, la CNIL a mis fin la possibilit de recourir lautorisation unique nAU-007 pour les dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalit la gestion des horaires de travail. Les systmes pralablement autoriss disposent dun dlai de 5 ans partir de la publication pour se mettre en conformit. 30 La directive 96/82/CE ou directive SEVESO est une directive europenne qui impose aux Etats membres didentifier les sites industriels prsentant des risques daccidents majeurs. 31 La rglementation ATEX (Atmosphres Explosives) est issue de deux directives europennes (94/9/CE et 1999/92/CE). Cette rglementation a t transpose en France dans le code du travail larticle R 4227-50.
propos de ce guide Ce guide sur la scurit des technologies sans contact pour le contrle des accs physiques a t ralis par lAgence nationale de la scurit des systmes dinformation (ANSSI). Cette version de travail 1.0 est publie loccasion du colloque Contrle des accs, comment faire les bons choix ? organis par le CNPP le 22 novembre 2012. Licence information publique librement rutilisable (LIP V1 2010.04.02) propos de lANSSI LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet 2009 sous la forme dun service comptence nationale. En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11 fvrier 2011, lagence assure la mission dautorit nationale en matire de dfense et de scurit des systmes dinformation. Elle est rattache au Secrtaire gnral de la dfense et de la scurit nationale, sous lautorit du Premier ministre. Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur http://www.ssi.gouv.fr
Agence nationale de la scurit des systmes dinformation ANSSI 51 boulevard de la Tour-Maubourg 75 700 Paris 07 SP

Securite Des Technologies Sans Contact Pour Le Controle Des Acces Physiques

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Securite Des Technologies Sans Contact Pour Le Controle Des Acces Physiques

Enviado por

Direitos autorais:

Formatos disponíveis

PREMIER MINISTRE Secrtariat Gnral de la Dfense et la Scurit Nationale Agence Nationale de Scurit des Systmes dInformation

GUIDE SECURITE DES TECHNOLOGIES SANS-CONTACT POUR

Table des matires

EXPLOITATION DU SYSTEME ............................................................................................................. 26

Site Internet de lANSSI : http://www.ssi.gouv.fr Centre national de prvention et de protection http://www.cnpp.com

Chapitre 7 : Exploitation du systme

2 Fondements du contrle daccs

La phase didentification et dauthentification

Traitement des donnes

Identification des sites

Identification des biens essentiels et biens supports protger

Figure 1 : Exemples de zones

Niveau de sret et types de menaces

Tableau 1 : Les quatre niveaux de sret

Flux de circulation des individus

Figure 2 : Exemples de flux physiques

Identification des acteurs

3.10 Badges multi-usages

3.11 Contraintes rglementaires

Scurit des lments supports

Identification du badge, ou information mmorise, ou lment biomtrique.

Authentification du badge, clefs drives recommandes.

Carte ISO 14443, authentification cryptographie symtrique

Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques

Figure 3 : Exemple de badge

Figure 4 : exemple dun systme de contrle daccs sans contact

Serveur de gestion du systme et postes de travail : un SI part entire

LANSSI publie un de nombreuses recommandations sur son site : http://www.ssi.gouv.fr/bonnespratiques

Principes cryptographiques mis en contexte

Figure 5 : Processus d'initialisation des badges clef symtrique drive

Figure 6 : diffrentiation des clefs utilises selon la sensibilit des zones

Canal sans fil

Figure 7 : Architecture n1 : tte de lecture transparente, authentification de bout en bout

Idalement certifi Critres Communs au niveau EAL4+.

Architecture n2, acceptable

Canal sans fil

Figure 8 : Architecture n2 : tte de lecture intelligente, double authentification en coupure

Canal sans fil

Figure 9 : Architecture n3 : Badge non scuris, avec chiffrement filaire seulement

Idalement certifi Critres Communs au niveau EAL4+.

Architecture n4, dconseille

Canal sans fil

Figure 10 : Architecture n4 : Badge scuris, avec liaison filaire non chiffre

Surveillance des accs

Procdures dexploitation particulires

Articles R4216-1 et suivants du Code du travail.

Processus dauthentification dune carte et de transmission scurise de lidentifiant

Exemple de processus organisationnel

Spcifications dtailles en vue dune passation de march

A4.1 Technologie utilise

Pas dexigence spcifique pour ce niveau.

A4.3 Ttes de lecture

Pas dexigence spcifique pour ce niveau.

A4.5 Rseaux et communications

Pas dexigence spcifique pour ce niveau.

Pas dexigence spcifique pour ce niveau.

Pas dexigence spcifique pour ce niveau.

Pas dexigence spcifique pour ce niveau.

A4.8 Horodatage et contrle des accs

A4.9 Gestion des alarmes et vnements

Pas dexigence spcifique pour ce niveau.

A4.10 Stockage et archivage

Pas dexigence spcifique pour ce niveau.

Pas dexigence spcifique pour ce niveau.