Honeywell Security & Data Collection Pour plus d'informations sur Honeywell, visitez le site internet à l'adresse suivante : www.honeywell.com/security/fr Application au Secteur Industriel : Conseils pour l’installation de Contrôle d’Accès « Convergé » Honeywell Security & Data Collection Honeywell Systems Group Immeuble Lavoisier Parc de Haute Technologie 3-7, rue George Besse 92160 ANTONY France Tel: +33 (0)1 40 96 20 50 Fax: +33 (0)1 40 96 20 60 www.honeywell.com HSG-CONV-01-FR(0109)WP-COE Janvier 2009 © 2009 Honeywell International Inc. Introduction Au cours des dernières années, dans le secteur de la sécurité, le mot « convergence » a sans doute été le plus utilisé dans les articles et publicités diverses. Ces définitions font généralement référence à l’intégration des systèmes de sécurité physiques et informatiques, éventuellement accompagnés d’éléments de contrôle des bâtiments. Ces définitions, si elles sont utiles pour les utilisateurs, entraînent la question habituelle : « Comment cela fonctionne-t-il? » La convergence utilise des données générées à la fois par des systèmes de sécurité physiques et informatiques afin d'optimiser l'efficacité des processus commerciaux et la sécurité. Son cadre d’utilisation définit un chemin de migration pour la croissance organisationnelle. Voici certains éléments basiques nécessaires pour s’assurer qu’une solution est réellement « convergée ». Gestion et Contrôle de la Politique de Sécurité Commune Les accréditations utilisateurs habituelles L’infrastructure informatique est le point de départ d'une solution « convergée », car elle permet de distribuer les principales données de l’entreprise entre les systèmes. Le système de sécurité physique ne connait pas de façon inhérente les données stratégiques de l’entreprise comme le statut des employés, l’habilitation du personnel et les certifications de formation. Un système de Ressources Humaines (RH) informatisé recense souvent ces données. Les systèmes de sécurité permettant l’IP offre la possibilité aux utilisateurs de tirer parti des investissements fixes et d’améliorer le retour sur investissement. La « convergence » pousse l’entreprise à prendre en compte les relations existant entre sécurité physique et sécurité informatique. Le développement de protocoles communs pour la gestion de l'accès aux biens et aux données de l'entreprise permet d’améliorer l’efficacité des processus d’accréditation et de gestion. Une organisation développe des règles basées sur des rôles qui peuvent gérer les processus d’émission de badges, d'inscription et de révocation en tirant parti d'interfaces XML/SOAP pour l’intégration avec les solutions de gestion des identités. Principal avantage ? le personnel de sécurité des bâtiments continue d’utiliser les outils les mieux adaptés à ses tâches, et le personnel en charge des ressources humaines (RH) utilise toujours des outils de ressources humaines. La dynamique des accréditations est en pleine évolution et améliore la gestion des autorisations pour les systèmes non informatiques ou les systèmes informatiques externes. Les organisations doivent identifier les points suivants: 1. Les sources qui font autorité (le système ayant le dernier mot) pour chaque personne disposant d’un badge d’entrée dans les bâtiments ou d’un compte informatique. 2. Les sources (systèmes informatiques ou personnes) de données principales utilisées pour déterminer si une personne dispose des autorisations nécessaires pour utiliser une ressource ou accéder à une zone. 3. Les besoins de conformité ou d’audit lorsque les données sont réparties sur plusieurs systèmes. 4. Tout problème spécifique relatif à l’entreprise ou à la sécurité, ou particulièrement important pour une organisation. 5. Les principaux événements en entreprise (arrivée, départ, changement de poste) et la spécification des responsabilités des différents systèmes. 6. Un ensemble de règles qui proposent des outils de création d’organisation du travail personnalisables afin de changer facilement les processus et les validations. Combien d’entreprises peuvent-elles garantir à 100% que les employés ou sous-traitants dont la collaboration est terminée sont immédiatement supprimés des systèmes de contrôle d'accès aux bâtiments ? Combien d’entre elles sont certaines qu’un ancien employé entrant dans un bâtiment ne dispose pas de comptes informatiques actifs ? Combien parieraient que leurs employés actuels savent reconnaitre une personne ne travaillant plus pour l'entreprise ? Les organisations doivent : a. Déterminer combien d’anciens employés ou sous-traitants disposent encore de badges d’accès aux bâtiments et de comptes informatiques. b. Déterminer combien de sous-traitants n’ayant pas accédé au site au cours des trois derniers mois disposent toujours de badges d’accès aux bâtiments actifs. c. Réaliser des études pour voir s’il y a des soucis concernant l’entrée de certaines personnes dans les bâtiments. d. Evaluer combien de temps il faut pour valider ou annuler une accréditation. e. Former les employés sur les risques liés a la sécurité. Accréditation d’Entrée Unique Corrélation des événements En bref La sécurité des locaux est assurée par un badge, souvent une carte d’accès. La sécurité informatique, d’un autre côté, est mise en place grâce à un nom d’utilisateur et un mot de passe. En connectant les systèmes, une entreprise peut rapprocher en toute transparence des événements liés à la sécurité physique et à la sécurité informatique, qui étaient séparés auparavant. Par exemple, il est possible qu'un employé n'éveille pas de soupçons en téléchargeant de grandes quantités de données. Toutefois, la corrélation des systèmes permettrait de remarquer qu'il ne télécharge ces données que lors qu'il est seul dans une pièce. La convergence est la première étape pour n’importe quelle organisation souhaitant connecter des systèmes critiques afin d’établir une politique de sécurité exhaustive et cohérente. En intégrant les systèmes pour partager des informations, une organisation peut repérer ses points faibles en temps réel et associer les événements de sécurité informatique avec les réponses de sécurité physiques correspondantes. Ces possibilités mettent en œuvre toute la gestion de la politique de sécurité en temps réel. Lorsqu’une entreprise souhaite sécuriser une carte d’accès, elle peut ajouter un code secret ou une identification biométrique. Quand c’est la sécurité des systèmes informatiques que l’on cherche à améliorer, les options ne sont pas les mêmes. L’entreprise peut ajouter les choses suivantes: • Une clé de sécurité RSA ou une identification biométrique identifiant clairement la personne. • Une puce intelligente dédiée, embarquée dans une carte ou une clé USB identifiant la personne et pouvant également être utilisée pour la certification des signatures numériques. Les signatures numériques sont importantes dans les environnements réglementés afin de vérifier si une personne a validé ou effectué une action. Une solution à carte unique incluant une puce intelligente dédiée pour les technologies informatiques et de proximité (puce sans contact ou carte d’accès 125 kHz) permet à l'entreprise de gérer une ressource pour chaque employé, et ainsi de minimiser les coûts matériels et administratifs. Un processus d'émission de cartes optimisé permet à la sécurité des bâtiments de continuer à émettre des badges, et le processus d'émission des badges est connecté aux systèmes informatiques pour que l’accréditation n’implique qu’un processus unique. Etapes à effectuer : 1. Les équipes de sécurité des bâtiments doivent discuter des accréditations d'accès avec leurs homologues du service informatique afin d’identifier le besoin d’utilisation de ces cartes au sein de l’entreprise. 2. Les services informatiques doivent revoir leurs besoins d'authentification et d’infrastructures à clé publique. L‘entreprise doit identifier : a. Les « seuils » de comportement normaux des employés en fonction de leur poste. Il peut s’avérer nécessaire d’évaluer les comportements courants. b. Certains événements susceptibles de créer des failles de sécurité au sein de l’entreprise (réception d’une lettre de démission, renvoi pour faute, modification inattendue des horaires de travail). c. Les ressources informatiques et/ou les sites contenant des données sensibles (propriété intellectuelle, données personnelles), afin de développer un plan de verrouillage des niveaux de sécurité normaux et de définition de niveaux de sécurité plus élevés. L’entreprise doit déterminer le retour sur risque de chaque élément sensible et développer des plans de sécurité en conséquence. d. L’utilisation normale de chaque ressource sensible et celle qui pourrait être considérée comme anormale (téléchargement de toutes les données des clients ou de leurs données de cartes de crédit). L’étape suivante est la gestion proactive des menaces, qui permet la corrélation des informations en temps réel avec les informations de l’historique. Le système « apprend » ainsi à gérer l’environnement actuel et à réagir en temps réel, ce qui augmente la valeur du système et améliore le retour sur investissement. Le système peut, par exemple, identifier certains comportements comme celui d'un employé essayant de pénétrer par des portes différentes à quelques jours d'intervalle, ou celui d'un petit groupe d’employés dont les habilitations ont toutes été traitées par un même responsable administratif. L’utilisation d’un système de convergence propose d’énormes avantages, qui sont appelés à se développer encore car la convergence connait une évolution permanente. La façon dont les organisations mettent en œuvre ces ensembles d'outils ne dépend que d’elles et de leurs besoins individuels de sécurité et de conformité.