Honeywell Security & Data Collection
Application au Secteur Industriel :
Conseils pour l’installation de
Contrôle d’Accès « Convergé »
HSG-CONV-01-FR(0109)WP-COE
Janvier 2009
© 2009 Honeywell International Inc.
Pour plus d'informations sur Honeywell,
visitez le site internet à l'adresse suivante :
www.honeywell.com/security/fr
Honeywell Security & Data Collection
Honeywell Systems Group
Immeuble Lavoisier
Parc de Haute Technologie
3-7, rue George Besse
92160 ANTONY
France
Tel: +33 (0)1 40 96 20 50
Fax: +33 (0)1 40 96 20 60
www.honeywell.com
Accréditation d’Entrée Unique
La sécurité des locaux est assurée par un
badge, souvent une carte d’accès. La
sécurité informatique, d’un autre côté, est
mise en place grâce à un nom d’utilisateur
et un mot de passe.
Lorsqu’une entreprise souhaite sécuriser
une carte d’accès, elle peut ajouter un code
secret ou une identification biométrique.
Quand c’est la sécurité des systèmes
informatiques que l’on cherche à améliorer,
les options ne sont pas les mêmes.
L’entreprise peut ajouter les choses
suivantes:
Une clé de sécurité RSA ou une
identification biométrique identifiant
clairement la personne.
Une puce intelligente dédiée, embarquée
dans une carte ou une clé USB identifiant
la personne et pouvant également être
utilisée pour la certification des signatures
numériques. Les signatures numériques
sont importantes dans les environnements
réglementés afin de vérifier si une
personne a validé ou effectué une action.
Une solution à carte unique incluant une
puce intelligente dédiée pour les
technologies informatiques et de proximité
(puce sans contact ou carte d’accès 125
kHz) permet à l'entreprise de gérer une
ressource pour chaque employé, et ainsi
de minimiser les coûts matériels et
administratifs. Un processus d'émission
de cartes optimisé permet à la sécurité des
bâtiments de continuer à émettre des
badges, et le processus d'émission des
badges est connecté aux systèmes
informatiques pour que l’accréditation
n’implique qu’un processus unique.
Etapes à effectuer :
1. Les équipes de sécurité des bâtiments
doivent discuter des accréditations
d'accès avec leurs homologues du service
informatique afin d’identifier le besoin
d’utilisation de ces cartes au sein de
l’entreprise.
2. Les services informatiques doivent revoir
leurs besoins d'authentification et
d’infrastructures à clé publique.
Corrélation des événements
En connectant les systèmes, une entreprise
peut rapprocher en toute transparence des
événements liés à la sécurité physique et à la
sécurité informatique, qui étaient séparés
auparavant. Par exemple, il est possible
qu'un employé n'éveille pas de soupçons en
téléchargeant de grandes quantités de
données. Toutefois, la corrélation des
systèmes permettrait de remarquer qu'il ne
télécharge ces données que lors qu'il est
seul dans une pièce.
L‘entreprise doit identifier :
a. Les « seuils » de comportement normaux
des employés en fonction de leur poste.
Il peut s’avérer nécessaire d’évaluer les
comportements courants.
b. Certains événements susceptibles de
créer des failles de sécurité au sein de
l’entreprise (réception d’une lettre de
démission, renvoi pour faute, modification
inattendue des horaires de travail).
c. Les ressources informatiques et/ou les
sites contenant des données sensibles
(propriété intellectuelle, données
personnelles), afin de développer un plan
de verrouillage des niveaux de sécurité
normaux et de définition de niveaux de
sécurité plus élevés. L’entreprise doit
déterminer le retour sur risque de chaque
élément sensible et développer des plans
de sécurité en conséquence.
d. L’utilisation normale de chaque ressource
sensible et celle qui pourrait être
considérée comme anormale
(téléchargement de toutes les données
des clients ou de leurs données de cartes
de crédit).
En bref
La convergence est la première étape pour
n’importe quelle organisation souhaitant
connecter des systèmes critiques afin
d’établir une politique de sécurité exhaustive
et cohérente. En intégrant les systèmes pour
partager des informations, une organisation
peut repérer ses points faibles en temps réel
et associer les événements de sécurité
informatique avec les réponses de sécurité
physiques correspondantes. Ces possibilités
mettent en œuvre toute la gestion de la
politique de sécurité en temps réel.
L’étape suivante est la gestion proactive
des menaces, qui permet la corrélation des
informations en temps réel avec les
informations de l’historique. Le système
« apprend » ainsi à gérer l’environnement
actuel et à réagir en temps réel, ce qui
augmente la valeur du système et améliore
le retour sur investissement. Le système
peut, par exemple, identifier certains
comportements comme celui d'un employé
essayant de pénétrer par des portes
différentes à quelques jours d'intervalle, ou
celui d'un petit groupe d’employés dont les
habilitations ont toutes été traitées par un
même responsable administratif.
L’utilisation d’un système de convergence
propose d’énormes avantages, qui sont
appelés à se développer encore car la
convergence connait une évolution
permanente. La façon dont les organisations
mettent en œuvre ces ensembles d'outils ne
dépend que d’elles et de leurs besoins
individuels de sécurité et de conformité.
Introduction
Au cours des dernières années, dans
le secteur de la sécurité, le mot
« convergence » a sans doute été le plus
utilisé dans les articles et publicités diverses.
Ces définitions font généralement référence
à l’intégration des systèmes de sécurité
physiques et informatiques, éventuellement
accompagnés d’éléments de contrôle des
bâtiments. Ces définitions, si elles sont utiles
pour les utilisateurs, entraînent la question
habituelle : « Comment cela fonctionne-t-il? »
La convergence utilise des données
générées à la fois par des systèmes de
sécurité physiques et informatiques afin
d'optimiser l'efficacité des processus
commerciaux et la sécurité. Son cadre
d’utilisation définit un chemin de migration
pour la croissance organisationnelle. Voici
certains éléments basiques nécessaires
pour s’assurer qu’une solution est réellement
« convergée ».
Gestion et Contrôle de la
Politique de Sécurité Commune
L’infrastructure informatique est le point de
départ d'une solution « convergée », car elle
permet de distribuer les principales données
de l’entreprise entre les systèmes. Le système
de sécurité physique ne connait pas de façon
inhérente les données stratégiques de
l’entreprise comme le statut des employés,
l’habilitation du personnel et les certifications
de formation. Un système de Ressources
Humaines (RH) informatisé recense souvent
ces données. Les systèmes de sécurité
permettant l’IP offre la possibilité aux
utilisateurs de tirer parti des investissements
fixes et d’améliorer le retour sur
investissement.
Le développement de protocoles communs
pour la gestion de l'accès aux biens et aux
données de l'entreprise permet d’améliorer
l’efficacité des processus d’accréditation et
de gestion. Une organisation développe des
règles basées sur des rôles qui peuvent gérer
les processus d’émission de badges,
d'inscription et de révocation en tirant parti
d'interfaces XML/SOAP pour l’intégration avec
les solutions de gestion des identités. Principal
avantage ? le personnel de sécurité des
bâtiments continue d’utiliser les outils les
mieux adaptés à ses tâches, et le personnel
en charge des ressources humaines (RH)
utilise toujours des outils de ressources
humaines.
Les organisations doivent identifier les points
suivants:
1. Les sources qui font autorité (le système
ayant le dernier mot) pour chaque personne
disposant d’un badge d’entrée dans les
bâtiments ou d’un compte informatique.
2. Les sources (systèmes informatiques ou
personnes) de données principales utilisées
pour déterminer si une personne dispose
des autorisations nécessaires pour utiliser
une ressource ou accéder à une zone.
3. Les besoins de conformité ou d’audit
lorsque les données sont réparties sur
plusieurs systèmes.
4. Tout problème spécifique relatif à
l’entreprise ou à la sécurité, ou
particulièrement important pour une
organisation.
5. Les principaux événements en entreprise
(arrivée, départ, changement de poste) et la
spécification des responsabilités des
différents systèmes.
6. Un ensemble de règles qui proposent des
outils de création d’organisation du travail
personnalisables afin de changer facilement
les processus et les validations.
Les accréditations utilisateurs
habituelles
La « convergence » pousse l’entreprise à
prendre en compte les relations existant entre
sécurité physique et sécurité informatique.
Combien d’entreprises peuvent-elles garantir
à 100% que les employés ou sous-traitants
dont la collaboration est terminée sont
immédiatement supprimés des systèmes de
contrôle d'accès aux bâtiments ? Combien
d’entre elles sont certaines qu’un ancien
employé entrant dans un bâtiment ne
dispose pas de comptes informatiques actifs
? Combien parieraient que leurs employés
actuels savent reconnaitre une personne ne
travaillant plus pour l'entreprise ?
La dynamique des accréditations est en
pleine évolution et améliore la gestion des
autorisations pour les systèmes non
informatiques ou les systèmes informatiques
externes.
Les organisations doivent :
a. Déterminer combien d’anciens employés
ou sous-traitants disposent encore de
badges d’accès aux bâtiments et de
comptes informatiques.
b. Déterminer combien de sous-traitants
n’ayant pas accédé au site au cours des
trois derniers mois disposent toujours de
badges d’accès aux bâtiments actifs.
c. Réaliser des études pour voir s’il y a des
soucis concernant l’entrée de certaines
personnes dans les bâtiments.
d. Evaluer combien de temps il faut pour
valider ou annuler une accréditation.
e. Former les employés sur les risques liés a
la sécurité.
1 / 2 100%