Securite Des Technologies Sans Contact Pour Le Controle Des Acces Physiques

PREMIER MINISTRE
Secrtariat Gnral de la Dfense et la Scurit Nationale

Agence Nationale de Scurit des Systmes dInformation
GUIDE
SECURITE DES TECHNOLOGIES SANS-CONTACT POUR

LE CONTROLE DES ACCES PHYSIQUES
Guide sur la scurit des technologies sans contact pour le contrle des accs physiques
Version de
19 novembre 2012 P a g e 1/45
travail 1.0
Table des matires
1 INTRODUCTION ......................................................................................................................................... 4
1.1 CONTEXTE ............................................................................................................................................... 4
1.2 OBJECTIFS DU GUIDE ................................................................................................................................ 4
1.3 PUBLIC CIBLE ........................................................................................................................................... 4
2 FONDEMENTS DU CONTROLE DACCES ........................................................................................... 6
2.1 DEFINITION .............................................................................................................................................. 6
2.2 LA PHASE DIDENTIFICATION ET DAUTHENTIFICATION ........................................................................... 6
2.3 TRAITEMENT DES DONNEES ..................................................................................................................... 7
2.4 VERROUILLAGE ET DEVERROUILLAGE ..................................................................................................... 7
3 EXPRESSION DE BESOINS ...................................................................................................................... 8
3.1 IDENTIFICATION DES SITES ....................................................................................................................... 8
3.2 IDENTIFICATION DES BIENS ESSENTIELS ET BIENS SUPPORTS A PROTEGER................................................ 8
3.3 IDENTIFICATION DE ZONES ....................................................................................................................... 8
3.4 NIVEAU DE SURETE ET TYPES DE MENACES ............................................................................................ 10
3.5 FLUX DE CIRCULATION DES INDIVIDUS................................................................................................... 10
3.6 IDENTIFICATION DES ACTEURS ............................................................................................................... 11
3.7 PROCESSUS ORGANISATIONNELS............................................................................................................ 12
3.8 CONTINUITE DE SERVICE ........................................................................................................................ 12
3.9 INTERCONNEXIONS ................................................................................................................................ 12
3.10 BADGES MULTI-USAGES ......................................................................................................................... 12
3.11 CONTRAINTES REGLEMENTAIRES ........................................................................................................... 12
4 CHOIX DU SYSTEME .............................................................................................................................. 13
4.1 SECURITE DES ELEMENTS SUPPORTS ...................................................................................................... 13
4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques. ..................................................... 13
4.1.2 Ttes de lecture : protection des lments chiffrs. ....................................................................... 14
4.1.3 Units de traitement local : accs physique rserv, Secure Access Module et redondance. ....... 15
4.1.4 Liaisons filaires : dans le primtre de scurit. ........................................................................... 15
4.1.5 Rseau fdrateur : chiffrer les communications, protger lintgrit.......................................... 15
4.1.6 Serveur de gestion du systme et postes de travail : un SI part entire...................................... 16
4.1.7 Logiciel de gestion du systme : le point nvralgique des systmes de gestion daccs physiques
par technologie sans contact. ........................................................................................................................ 17
4.2 PRINCIPES CRYPTOGRAPHIQUES MIS EN CONTEXTE ................................................................................ 17
4.3 ARCHITECTURES .................................................................................................................................... 20
4.3.1 Architecture n1, hautement recommande .................................................................................. 20
4.3.2 Architecture n2, acceptable ......................................................................................................... 21
4.3.3 Architecture n3, dconseille ....................................................................................................... 21
4.3.4 Architecture n4, dconseille ....................................................................................................... 22
5 SPECIFICATIONS ..................................................................................................................................... 23
6 INSTALLATION DU SYSTEME ............................................................................................................. 24
6.1 INTERCONNEXIONS AVEC DAUTRES SYSTEMES ..................................................................................... 24
6.1.1 Interconnexion avec un systme de gestion des ressources humaines .......................................... 24
6.1.2 Interconnexion avec le systme de contrle du temps de travail ................................................... 24
6.1.3 Interconnexion avec les systmes dalertes en cas de catastrophe ............................................... 24
6.1.4 Interconnexion avec les systmes de surveillance vido ............................................................... 24
6.1.5 Contraintes rglementaires ........................................................................................................... 25
6.1.6 Certification des intervenants ....................................................................................................... 25
7 EXPLOITATION DU SYSTEME ............................................................................................................. 26
Version de
travail 1.0
7.1 GESTION DES DROITS ET DES BADGES DACCES ...................................................................................... 26
7.1.1 Accs gnriques ........................................................................................................................... 26
7.1.2 Accs particuliers .......................................................................................................................... 26
7.1.3 Oubli, perte ou vol de badge ......................................................................................................... 27
7.2 SURVEILLANCE DES ACCES .................................................................................................................... 27
7.2.1 Analyse des journaux dvnements .............................................................................................. 27
7.2.2 Dfinition dalertes spcifiques ..................................................................................................... 27
7.3 PROCEDURES DEXPLOITATION PARTICULIERES ..................................................................................... 28
7.3.1 En cas de fonctionnement dgrad ................................................................................................ 28
7.3.2 En cas de crise ou dincident grave .............................................................................................. 28
7.3.3 En cas dalerte incendie ................................................................................................................ 29
7.4 MAINTENANCE....................................................................................................................................... 29
7.4.1 Certification des intervenants ....................................................................................................... 29
7.4.2 Maintien en condition de scurit ................................................................................................. 29
7.4.3 Tlmaintenance............................................................................................................................ 30
ANNEXE 1 PROCESSUS DAUTHENTIFICATION DUNE CARTE ET DE TRANSMISSION
SECURISEE DE LIDENTIFIANT .................................................................................................................. 31
ANNEXE 2 SCHEMA GENERAL DE LARCHITECTURE DUN SYSTEME DE CONTROLE DES
ACCES PHYSIQUES MULTI-SITES .............................................................................................................. 32
ANNEXE 3 EXEMPLE DE PROCESSUS ORGANISATIONNEL ....................................................... 33
ANNEXE 4 SPECIFICATIONS DETAILLEES EN VUE DUNE PASSATION DE MARCHE ........ 34
A4.1 TECHNOLOGIE UTILISEE ..................................................................................................................... 34
A4.2 BADGES ............................................................................................................................................. 34
A4.3 TETES DE LECTURE ............................................................................................................................ 35
A4.4 UTL ................................................................................................................................................... 35
A4.5 RESEAUX ET COMMUNICATIONS ........................................................................................................ 37
A4.6 PERFORMANCES ................................................................................................................................. 38
A4.7 RESILIENCE ........................................................................................................................................ 38
A4.8 HORODATAGE ET CONTROLE DES ACCES ............................................................................................ 39
A4.9 GESTION DES ALARMES ET EVENEMENTS ........................................................................................... 40
A4.10 STOCKAGE ET ARCHIVAGE ................................................................................................................. 41
A4.11 BIOMETRIE ......................................................................................................................................... 41
A4.12 INSTALLATION ................................................................................................................................... 41
A4.13 MAINTENANCE................................................................................................................................... 42
ANNEXE 5 CONTRAINTES REGLEMENTAIRES ............................................................................... 43
A5.1 PROTECTION DES PERSONNES............................................................................................................. 43
A5.2 NORME SIMPLIFIEE N42 DE LA CNIL ................................................................................................ 43
A5.3 UTILISATION DE LA BIOMETRIE .......................................................................................................... 44
A5.4 IMPLICATION DES INSTANCES REPRESENTATIVES DU PERSONNEL ...................................................... 44
A5.5 PERSONNES A MOBILITE REDUITE....................................................................................................... 44
A5.6 AUTRES .............................................................................................................................................. 44
Version de
travail 1.0
1 Introduction
1.1 Contexte
Plusieurs failles de scurit affectant les technologies sans contact sont avres. Un groupe de travail
1
interministriel, anim par lAgence nationale de scurit des systmes dinformation (ANSSI ) a
valu que les consquences de ces failles taient particulirement proccupantes lorsque les
technologies sans contact taient utilises dans les systmes de contrle des accs physiques.
Face ce constat, lAgence a estim utile de publier un guide sur la scurit des technologies sans-
contact pour le contrle des accs physiques. Ce guide explique en quoi les systmes de contrle
daccs doivent tre considrs comme des systmes dinformation part entire, relevant du
primtre de la Direction des Systmes dInformation (DSI), o doivent sappliquer les rgles
lmentaires de lhygine informatique.
Ce guide se limite aux aspects darchitecture et de scurit logique propres aux systmes de contrle
2
daccs utilisant des technologies sans contact. LANSSI sest associe au CNPP - Centre national
de prvention et de protection pour mener une rflexion intgrant lensemble des lments qui
composent ces systmes de contrle.
Ce guide est ainsi complmentaire du rfrentiel CNPP intitul APSAD D83 - Contrle daccs -
Document technique pour la conception et linstallation , qui traite plus particulirement des aspects
physiques pour les diffrentes technologies de systmes de contrle des accs, tels que la rsistance
leffraction ou encore le contournement de lobstacle. Les deux documents prsentent en commun le
Tableau 1 : Les quatre niveaux de sret, qui a t conu en concertation.
1.2 Objectifs du guide
Ce guide se veut une aide la dcision quant au choix dun systme de contrle daccs sans
contact, et propose les bonnes pratiques dployer pour sa mise en uvre.
Il fournit des recommandations permettant dassurer la mise en place dun systme de contrle
daccs reposant sur les technologies sans contact en conformit avec un niveau de scurit
satisfaisant. Ces recommandations sappliquent aussi bien des systmes de contrle daccs
mono-sites , ou des systmes multi-sites , dont la gestion est centralise.
Pour les sites o des technologies sans contact sont dj dployes, ce guide donne aux
gestionnaires des lments pour effectuer une vrification de leur niveau de scurit et pour sassurer
que les bonnes pratiques sont appliques.
De plus, ce guide accompagne les choix dvolution technologique en dtaillant les recommandations
suivre pour que le niveau de scurit global du site soit cohrent avec le niveau de scurit de la
technologie utilise.
Lobjectif de ce guide nest cependant pas dimposer une architecture ou une solution technique. Il na
pas non plus vocation servir de cible de scurit pour les produits de contrle daccs sans contact.
1.3 Public cible
Ce guide sadresse :
aux chefs de projet ou personnes en charge de la mise en place dun systme de contrle daccs
sans contact, que ce soit dans une entreprise prive ou un organisme public ;
aux acheteurs, qui pourront imposer dans leurs appels doffre les exigences dtailles en
chapitre 5 afin de les rendre contraignantes pour le fournisseur ;
aux installateurs ou intgrateurs, qui pourront tenir compte du contenu de ce guide afin de
proposer des services adapts ;
aux exploitants, qui sintresseront aux aspects lis lexploitation et la maintenance du systme.
Les objectifs de ces diffrents acteurs ntant pas les mmes, le tableau ci-dessous permet
didentifier, pour chacun dentre eux, les chapitres qui les concernent plus particulirement :
1
Site Internet de lANSSI : http://www.ssi.gouv.fr
2
Centre national de prvention et de protection http://www.cnpp.com
Version de
travail 1.0
Acteurs Chapitres recommands
Chef de projet Chapitre 2 : Fondements du contrle

daccs
Personnes en charge de
la mise en place dun Chapitre 3 : Expression de besoins
systme de contrle
daccs sans contact. Chapitre 4 : Choix du systme
Acheteurs Chapitre 5 : Spcifications
Installateurs Chapitre 2 : Fondements du contrle

daccs
Intgrateurs
Chapitre 4 : Choix du systme
Chapitre 5 : Spcifications
Chapitre 6 : Installation du systme
Exploitants Chapitre 7 : Exploitation du systme
Version de
travail 1.0
2 Fondements du contrle daccs
2.1 Dfinition
Un systme de contrle des accs physiques est un dispositif ayant pour objectif de filtrer les flux
dindividus souhaitant pntrer lintrieur dun site, dun btiment ou dun local. Il est constitu de
moyens permettant dautoriser les entres et sorties de zones sensibles aux seules personnes qui ont
le droit dy accder.
Un systme de contrle daccs assure trois fonctions primaires :
lidentification et lauthentification ;
3
le traitement des donnes ;
le dverrouillage.
Ces fonctions sont assures en chaque point o laccs est contrl.
Dans le cas dun systme de contrle daccs utilisant des technologies sans contact, quatre lments
support principaux interviennent :
4
le badge (ou support similaire) ;
le lecteur (tte de lecture) ;
lunit de traitement local (dsigne par UTL, galement connue sous le nom dunit de
traitement et de contrle) ;
le serveur de gestion du systme prsent en 4.1.6.
En outre, il convient de prendre en considration la scurit des liaisons filaires entre les lments,
ainsi que la scurit du serveur de gestion du systme de contrle daccs (galement appel UTS
Unit de Traitement de Supervision, ou GAC Gestion des Accs Contrls) et des postes de travail
utiliss pour la programmation.
2.2 La phase didentification et dauthentification
Les notions didentification et authentification dfinies dans ce guide sont conformes aux
5
recommandations de lAgence nationale de la scurit des systmes dinformation telles
quexprimes dans le Rfrentiel gnral de scurit, disponible sur son site Internet. Elles diffrent
des dfinitions mises dans la norme NF EN 50133 Systmes d'alarme - Systmes de contrle
d'accs usage dans les applications de scurit .
Pour mmoire :
Sidentifier, c'est le fait de communiquer une identit.
S'authentifier c'est apporter la preuve de son identit : cest donc un lment complmentaire
lidentification.
Dans le contexte des systmes de contrles daccs, et en fonction de la technologie choisie, la
phase dite didentification/dauthentification peut se rduire lidentification du badge, ou
lidentification et lauthentification du badge seulement.
identification
Dans un systme reposant sur une technologie sans-contact, lidentification est la prsentation
d'un badge un lecteur.
authentification du badge
L'authentification du badge consiste prouver quil est valide.
Pour un systme de contrle daccs reposant sur des technologies sans-contact,
lauthentification du badge se fait le plus souvent par un change cryptographique permettant au
badge de prouver quil dtient des lments secrets sans les rvler. Si les fonctions
3
La fonction de traabilit des accs est assure dans le cadre du traitement des donnes.
4
Par soucis de facilitation de la lecture, le terme badge sera utilis de faon gnrique pour
dsigner tout type de support.
5
http://www.ssi.gouv.fr
Version de
travail 1.0
cryptographiques sont suffisamment robustes, il nest pas possible de cloner un tel badge tant que
les lments secrets restent protgs. Nanmoins, le badge, support physique, peut tre vol. Le
processus dauthentification dune carte et de transmission scurise de lidentifiant est prsent
en Annexe 1 : Processus dauthentification dune carte et de transmission scurise de
lidentifiant.
authentification du porteur
Le badge tant pralablement authentifi, il s'agit pour le porteur du badge de prouver qu'il en est
le dtenteur lgitime.
6
Lauthentification du porteur se fait par lusage dun second lment slectionn parmi ce que lon
est et ce que lon sait. Elle peut se faire par exemple par la saisie d'un mot de passe que seul le
7
dtenteur lgitime du badge connat ou par lusage de la biomtrie .
2.3 Traitement des donnes
Le traitement de donnes est assur en premier lieu par lunit de traitement local (UTL). Cette unit
assure la gestion de toutes les demandes daccs, compare ces demandes par rapport un ensemble
de droits daccs stocks dans sa base de donnes, et dlivre les commandes de libration des
verrouillages.
Le serveur de gestion du systme :
centralise les journaux vnements ;
remonte les vnements au gestionnaire ;
hberge la base de donnes centrale, tenue jour (droits, utilisateurs, groupes, badges,
etc.) ;
pilote lensemble des UTL en leur transmettant la base de donnes ncessaire leur
traitement des demandes daccs.
2.4 Verrouillage et dverrouillage
Le dispositif de verrouillage permet de raliser le blocage mcanique du point daccs pour empcher
le passage des personnes non autorises. Le contrle daccs autorise le dverrouillage.
Dans le cadre de lanalyse des risques, il conviendra de prendre en compte les situations dgrades
(coupure lectrique) et les cas douverture automatique (incendie). Ces deux questions sont traites
dans le chapitre 7.3, Procdures dexploitation particulires .
6
Le badge constitue le premier lment : ce que lon a.
7
La biomtrie est assimilable une mthode didentification, car les lments biomtriques ne sont ni
secrets, ni rvocables. Elle peut donc se substituer au badge en tant que moyen didentification, mais
en aucun cas comme moyen dauthentification. Elle peut toutefois tre utile pour authentifier le
porteur, en association avec un badge stockant les lments biomtriques permettant la comparaison,
dont le badge assure lintgrit. Ce compromis reste dune scurit infrieure au mot de passe, qui
peut tre gard secret, et qui est rpudiable.
Version de
travail 1.0
3 Expression de besoins
Pour bien cerner les besoins relatifs au contrle des accs physiques, il est ncessaire en premier lieu
dtablir une cartographie prcise de tous les lments qui dtermineront les caractristiques du
systme de contrle mis en place. Parmi ces lments, on retrouve entre autres :
les sites protger, et les zones qui les composent ;
8
les biens essentiels et biens supports protger ;
les flux de circulation entre ces zones ;
lorganisation (responsabilits, acteurs, processus).
Ces aspects ne seront voqus que sommairement dans ce guide. Les lecteurs qui souhaiteraient
accder plus dinformation peuvent se rfrer au rfrentiel APSAD D83 Contrle daccs
9
Document technique pour la conception et linstallation .
3.1 Identification des sites
Lidentification dtaille des sites est une tape importante de la rflexion pralable la mise en place
dun systme de contrle daccs. Cette rflexion permet de clarifier les contraintes qui psent sur le
projet et de disposer des lments ncessaires la rdaction des appels doffre. Les sites contrler
doivent donc tre rfrencs de manire exhaustive, en prenant en compte leurs particularits.
Pour chaque site, les lments suivants doivent tre considrs :
nom du site (pour lidentification) ;
adresse (pour la golocalisation) ;
nature du site (immeuble entier, quelques tages seulement, quelques pices uniquement) ;
ddi ou partag avec dautres organismes ou entreprises ;
services proximit (police, pompiers, etc.) ;
risques naturels (zone inondable, sismique, etc.) ;
nombre de personnes actuel et potentiel.
3.2 Identification des biens essentiels et biens supports protger
Ce guide ayant pour vocation de traiter du systme de contrle des accs physiques du point de vue
de la scurit des systmes dinformation, nous considrerons quun bien essentiel est une ressource
immatrielle, telle que de linformation, ou un processus. Dans une approche plus large, il pourrait
sagir de toute ressource ncessaire la ralisation des objectifs de lorganisme. Dans un tel cas, par
extension, il serait possible de considrer que des ressources matrielles sont des biens essentiels.
Les biens essentiels sappuient sur des biens supports qui en assurent le traitement, le stockage et la
transmission. Ainsi un serveur de calcul nest pas un bien essentiel mais un bien support, de mme
que les locaux, les systmes informatiques, et les diffrents quipements. Le bien essentiel est le
processus de calcul, et le serveur est le bien support qui permet lexcution du processus.
Il est recommand de lister les biens essentiels protger, et les biens supports sur lesquels ils
sappuient, pour dterminer les ressources dont il convient de contrler les accs physiques. LANSSI
publie une mthode de gestion des risques apportant des recommandations pour lanalyse exhaustive
10
des biens essentiels et des biens supports : la mthode EBIOS .
3.3 Identification de zones
Aprs avoir ralis linventaire des biens essentiels, des biens support, et de leur localisation, il est
possible de distinguer des zones avec des niveaux de sensibilit diffrents au sein des sites
protger.
8
Il est utile de faire une distinction entre les biens essentiels qui, dans un systme dinformation, sont
des biens immatriels (informations ou processus utiles la ralisation des missions de lorganisme),
des biens supports dont ils dpendent pour le traitement, le stockage ou la transmission.
9
CNPP ditions ; http://www.cnpp.com/
10
Tlchargeable gratuitement sur http://www.ssi.gouv.fr/ebios
Version de
travail 1.0
Il est recommand dtablir une chelle prcise et explicite des niveaux de sensibilit, avec leurs
dfinitions associes.
La numrotation partir de zro est tout--fait indique pour cet usage, le niveau zro tant alors la
zone considre comme publique, lintrieur de la limite de proprit.
Les niveaux suivants sont les zones sous contrle, entoures de barrires physiques comprenant un
nombre restreint de points daccs, et situes dans lenceinte des sites ou des btiments. Les niveaux
les plus levs sont les zones nvralgiques. Les zones o seront situs les lments du systme de
contrle daccs (serveur de gestion du systme, et postes de travail clients) devront tre galement
dfinies avec le niveau de sensibilit adquat.
Les sites protger doivent tre dcoups en zones classes par niveaux de sensibilit selon
lchelle pralablement conue. Ces zones nont pas tre dcoupes selon la configuration
physique existante des lieux, mais bien selon leur sensibilit relle : un tel projet peut soulever la
ncessit de conduire des travaux ou des rorganisations des cloisons, des sites et des btiments afin
que la scurit physique soit optimise voire mme rendue possible.
Sur le plan de btiment ci-dessous ont t reprsentes trois zones de niveaux de sensibilit
diffrents :
zone semi-publique (verte), accessible tout le monde mais destine aux visiteurs et place sous
vido-surveillance ;
zone de bureaux (orange), accessible aux employs et aux visiteurs autoriss au moyen dun
badge et dun contrle visuel au niveau de la rception ;
salle serveurs (rouge) accessible aux seuls employs autoriss et aux visiteurs accompagns au
moyen dun badge et dun code.
Figure 1 : Exemples de zones
Version de
travail 1.0
3.4 Niveau de sret et types de menaces
Le niveau de sret des quipements et des installations de contrle des accs physiques correspond
un niveau de rsistance leffraction et la fraude. Le niveau de sret dcoule directement du
type de menaces redout pour chaque niveau de sensibilit des zones prcdemment dfinies.
Ces niveaux de sret et types de menaces ont t dfinis en lien avec le CNPP. Ce mme tableau
est reproduit dans le rfrentiel APSAD D83 - Contrle daccs - Document technique pour la
conception et linstallation :
Menaces potentielles Niveaux
Qui ? Quels moyens ? Quelles connaissances ? de sret
Franchissement naturel dun point daccs
Pntrations involontaires Pas de matriel ou matriel Pas de connaissance

ou de curieux basique (marteau lger, I
tlphone portable)
Franchissement par attaque mcanique et/ou logique simple
Pntrations prmdites Matriel et mthode obtenus Connaissance basique du

de personnes faiblement dans le commerce ou sur systme acquise au travers
quipes Internet. de documents publicitaires
II
ou technico-commerciaux
mis par le fabricant ou les
distributeurs.
Franchissement par attaque mcanique et/ou logique volue
Pntrations prmdites Matriel ou maquette Connaissances recueillies

de personnes inities et lectronique spcifique partir de lexamen dun III
quipes. facilement ralisable. dispositif.
Franchissement par attaque mcanique et/ou logique sophistique
Pntrations prmdites Matriel comprenant des Connaissances sur la

de personnes inities, moyens de cryptanalyse conception et lexploitation
fortement quipes et et/ou maquette lectronique du systme. Ceci implique
renseignes. spcifique conus davoir accs des IV
spcialement pour informations confidentielles
neutraliser la sret en du fabricant.
place.
Tableau 1 : Les quatre niveaux de sret
Ce tableau ne prend pas en compte limpact de filtrages raliss par des moyens humains ou non, tels
que de la surveillance humaine ou de la vido surveillance 24h/24, et qui sont susceptibles de rduire
le besoin de sret des quipements et des installations de contrle des accs physiques
ncessaires.
3.5 Flux de circulation des individus
Lanalyse des flux de circulation des individus permet de connatre les besoins de chaque point
daccs contrler. Il sagit de rpondre aux questions : Qui ? Quand ? Comment ? Combien ?
Il est pour cela utile de dfinir :
les diffrentes catgories de personnel autorises (personnel interne, intrimaires, agents de
surveillance, prestataires de services, clients, visiteurs, services durgences, etc.) ;
les plages horaires ;
le type de passage contrler (simple porte, sas, entre de vhicules) ;
les exigences de circulation particulires et contraintes spcifiques (sorties de secours) ;
la quantit prvisionnelle de passages.
Version de
travail 1.0
Trois exemples de flux physiques ont t reprsents sur le plan de btiment ci-dessous, montrant les
principales personnes extrieures intervenant au sein des locaux et leurs dplacements autoriss.
Figure 2 : Exemples de flux physiques
3.6 Identification des acteurs

Les diffrents acteurs et responsables doivent tre clairement identifis. On distingue plusieurs types
dacteurs pouvant intervenir dans les processus organisationnels de gestion des accs physiques :
les demandeurs (service de gestion des ressources humaines, managers, etc.) qui font les
demandes dattribution de badges et droits associs ;
les responsables de validation (responsables de sites ou de zones), qui valident ou non les
diffrents droits demands ;
les informs, qui ont connaissance des attributions et rvocations de badges et de droits
diffrentes fins ;
les oprateurs du systme de contrle des accs physiques ;
les oprateurs de sauvegarde du systme ;
les oprateurs dexploitation des journaux dvnements du systme ;
les mainteneurs des matriels physiques ;
11
les mainteneurs applicatifs ;
les utilisateurs finaux, qui sont attribus les badges.
Selon la situation, plusieurs rles peuvent tre assurs par les mmes personnes. Il convient de
sassurer que ce cumul ne confre pas tous les droits une seule personne et que des mcanismes
dapprobation et de contrle indpendants sont mis en place et respects.
11
Une attention toute particulire doit tre porte la scurit du systme lorsquil est fait appel de
la tlmaintenance. LANSSI a publi un guide sur linfogrance : http://www.ssi.gouv.fr/infogerance
Version de
travail 1.0
3.7 Processus organisationnels
Les flux organisationnels doivent tre clairement dtermins ds lexpression des besoins. Il sagit de
reprsenter les changes ncessaires entre les acteurs pour raliser un objectif particulier. Ces
changes peuvent tre informatiss ou non. On distingue communment les processus suivants :
demande de badge ;
dlivrance de badge ;
rvocation de badge ;
modification de droits.
Des exemples types de ces processus peuvent tre consults en Annexe 3, Exemple de processus
organisationnels .
3.8 Continuit de service
Il est ncessaire davoir une rflexion sur le niveau de continuit de service souhait : tolrance aux
pannes, autonomie en cas de coupure lectrique, dlais de remplacement du matriel dans le contrat
de maintenance, etc. Le besoin doit tre exprim de manire rationnelle afin de ne pas engendrer des
cots inutilement dmultiplis.
3.9 Interconnexions
Les interconnexions avec dautres systmes (vido surveillance, systme de gestion des ressources
humaines, etc.) doivent tre rfrences et/ou exprimes au pralable car elles ont un impact sur le
projet de mise en place dun systme de contrle daccs. La nature de ces interconnexions doit tre
dtaille afin que les rponses aux appels doffre soient cohrentes en regard des systmes existants.
3.10 Badges multi-usages
Dans certaines circonstances, il peut s'avrer utile de mutualiser les usages sur un mme badge. Il
est ainsi envisageable d'ajouter sur le badge, en plus de la puce utilise pour le contrle d'accs, une
seconde puce pour s'authentifier sur le systme d'information de l'organisme. D'autres usages (tels
que le porte-monnaie lectronique) peuvent tre envisags selon le mme principe.
En cas de mutualisation des usages sur un badge unique, il convient de bien analyser les
solutions existantes pour limiter les risques, en cas de perte ou vol du badge notamment. L'objectif
devra tre que la compromission d'un lment ne doit pas entrainer la compromission des autres.
Chaque usage doit donc tre port par un composant indpendant.
3.11 Contraintes rglementaires
Certaines zones protges sont concernes par des rglementations particulires qui impacteront les
caractristiques du systme de contrle des accs. Un aperu des principales rglementations peut
tre consult en Annexe 4 Contraintes rglementaires .
Lorsque le besoin a t correctement dfini, il devient ds lors possible de choisir un systme adapt
au contexte et aux enjeux de lorganisme.
Version de
travail 1.0
4 Choix du systme
Le choix dun systme ncessite de prendre en compte plusieurs critres, lis sa conception mme
(architecture et scurit des lments support) et aux contraintes rglementaires.
4.1 Scurit des lments supports
Afin de mieux visualiser le positionnement des diffrents lments support dans larchitecture
gnrale dun systme de contrle des accs physiques, un schma est disponible en Annexe 1.
4.1.1 Badges : niveaux de sret, rsistance aux attaques logiques.
Le Tableau 2 ci-dessous tablit le lien entre les niveaux de sret et des niveaux de rsistance aux
attaques logiques.
Niveau de Rsistance aux Mthode Technologie Caractristiques

sret attaques
logiques12
I - Identification du badge, Transpondeurs 125kHz et Facilement clonable
ou information assimils, cartes ISO14443
mmorise, ou lment ou ISO15693 sans usage de
biomtrique. la cryptographie ou
cryptographie dfaillante ou
propritaire.
II L1 Authentification du Carte ISO 14443, Authentification reposant

badge. authentification sur une clef commune ;
cryptographie symtrique.
algorithmes et protocoles
dauthentification connus et
rputs (3DES, AES).
III L2 Authentification du Carte ISO 14443, Authentification reposant

badge, clefs drives authentification sur une clef drive dune
recommandes. cryptographie symtrique clef matresse ;
algorithmes et protocoles
dauthentification connus et
rputs (3DES, AES).
IV L3 Authentification du Carte ISO 14443, Authentification reposant

badge et du porteur par authentification sur une clef drive dune
un second facteur cryptographie symtrique. clef maitresse ;
(information mmorise
ou lment Saisie dun code mmoris Algorithmes et protocoles
biomtrique). ou dun lment biomtrique. dauthentification connus et
rputs (3DES, AES).
Clef drives.
Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques
Les badges ne doivent avoir pour seule et unique information enregistre quun numro
didentification. Il est dconseill dy stocker dautres informations. Toute autre information
dauthentification mmorise supplmentaire (mot de passe, code PIN), doit tre stocke au niveau du
serveur de gestion du contrle daccs ou des units de traitement local.
A noter : pour rpondre aux principes exposs ici, une demande dautorisation devra tre faite selon
13
les procdures compltes de la CNIL : en cas dusage de la biomtrie il faut noter que la CNIL
facilite certaines formalits de demande dautorisation, mais uniquement lorsque linformation est
14
stocke sur le badge . Ces procdures visent la protection des donnes personnelles, et non pas
12
Le risque de substitution par cration dun badge valide est pris en compte en tant quattaque
logique.
13
Commission Nationale de lInformatique et des Liberts - http://www.cnil.fr/
14
Cest le cas notamment pour lemploi de lempreinte digitale lorsquelle est exclusivement
enregistre sur un support individuel dtenu par la personne concerne pour contrler laccs aux
locaux professionnels (autorisation nAU-008)
Version de
travail 1.0
celle du systme de contrle daccs. La procdure simplifie impose des conditions contraires aux
principes exposs dans ce document, qui dconseille le stockage dinformations sur le badge.
>> Il est recommand que les badges soient visuellement les plus neutres possibles. Ils ne
doivent pas indiquer :
dinformations sur lentreprise (nom, adresse) ;
dinformations sur le porteur (nom, prnom, poste), en dehors de sa photo ;
les accs quils permettent.
Ils peuvent, en revanche, indiquer visuellement un numro de traabilit (ex. : XXX sur la Figure 3 ci-
dessous), diffrent du numro didentification (ex. : YYY sur la Figure 3 ci-dessous), ne rvlant rien
sur la nature du badge. Ce numro de traabilit pourra tre utilis des fins dadministration par le
gestionnaire du systme. La photographie est tolre car elle permet de vrifier rapidement que le
badge appartient bien au porteur.
Figure 3 : Exemple de badge
En ce qui concerne les types de badges, il est regrettable de noter le peu doptions disponibles au
e
moment de la rdaction de ce guide (4 trimestre 2012). Un certain nombre de supports ne
15
permettront que lidentification (de type puce RFID , comparable aux antivols dans les magasins).
Dautres disposent de fonctions cryptographiques qui permettent une authentification (de type carte
puce, comparable aux cartes de paiement bancaire).
Certaines technologies de carte daccs qui font appel des mcanismes cryptographiques faibles,
16
ont des vulnrabilits connues qui permettent leur clonage et des attaques par rejeu . Il convient
donc de sorienter vers des produits fiables, rcents, et dont le niveau de scurit est satisfaisant.
La certification de la puce aux critres communs EAL 4+ est un gage de scurit.
Il est ncessaire de bien se renseigner lors de lachat des badges et lors de linstallation du systme
pour sassurer que les fonctionnalits dauthentification sont mises en place (certains installateurs
matrisent mal ces technologies). A ce titre, les utilisateurs de systmes de contrle daccs sont
invits sinspirer des clauses proposes au chapitre 5. Ils peuvent galement se tourner vers leurs
organisations professionnelles, vers le CNPP et vers lANSSI afin de promouvoir la mise en place dun
schma de certification des intgrateurs, des installateurs et des mainteneurs de ce type de systmes.
4.1.2 Ttes de lecture : protection des lments chiffrs.
>> Les parties du systme situes hors de la zone de scurit dlimite par le contrle
des accs, dont les ttes de lecture font partie, ne doivent pas tre source de
vulnrabilits.
Dans le cas des architectures o les ttes de lectures renferment des lments secrets, celles-ci
doivent comporter des mcanismes de protection tels que leffacement des cls et ventuellement le
dclenchement dune alarme en cas darrachement. Malheureusement ces dispositifs ne sont pas
totalement srs : pour la plupart des produits proposant ces fonctionnalits, il demeure possible
daccder lintrieur de la tte avec un espacement trs rduit (moins de 5mm) sans les dclencher.
Bien que ce mode dattaque soit dun niveau dj avanc, il confirme la ncessit dexercer une
surveillance des points daccs permettant de dceler toute activit suspecte sur les lecteurs.
Ces architectures requirent galement une mthode de mise la cl scurise.
En outre, du fait du nombre restreint de fabricants de lecteurs et de badges, certains modles sont
facilement reconnaissables et peuvent rvler la technologie employe. Il est donc conseill dutiliser
15
Radio Frequency Identification.
16
Attaque dans laquelle une transmission est frauduleusement rpte par une tierce partie
interceptant les paquets sur la ligne.
Version de
travail 1.0
des lecteurs faades standards ou anonymes (soit, totalement dpourvus dun quelconque sigle de
socit ou de marque).
Enfin, il est ncessaire de connatre les personnes habilites effectuer le paramtrage et les
oprations dentretien des lecteurs (mise la cl, maintenance, etc.) et dassurer un suivi des
oprations requrant ces accs.
4.1.3 Units de traitement local : accs physique rserv, Secure Access Module et
redondance.
Lunit de traitement local (UTL) se prsente gnralement sous la forme dune carte circuits
imprims, que lon peut considrer comme un automate, et qui gre un groupe de ttes de lecture,
gnralement chacune associe un ouvrant.
Cest un lment particulirement sensible du systme de contrle daccs : il dtient un cache de la
base des droits daccs, ainsi que dautres informations telles que les derniers journaux
dvnements. Dans la plupart des architectures, lUTL dtient aussi les lments secrets
cryptographiques permettant lidentification/lauthentification et la scurisation de la communication
avec le badge ou les ttes de lecture. Enfin lUTL contient les relais qui commandent l'ouverture des
ouvrants.
>> Les UTL doivent donc imprativement tre situes lintrieur de la zone physique
pour laquelle elles commandent laccs et ne doivent pas tre accessibles facilement
(idalement, elles doivent tre labri de tout accs frauduleux, dans un local technique
ou tout autre type demplacement scuris).
>> Les UTL sont parfois maintenues par des personnes tierces non habilites accder
aux cls cryptographiques. Ce problme ne se pose pas dans le cas de larchitecture
prsente en annexe 2 (la plus rpandue actuellement), mais le risque existe dans le
cas de larchitecture n1 qui reste pourtant la seule recommandable. Une solution
17
consiste utiliser des modules scuriss de type Secure Access Module (SAM)
afin disoler et de protger les lments secrets au sein de lUTL. (voir galement en
4.2)
>> Dans le cadre de la maintenance globale du systme, la batterie de lalimentation de
secours de lUTL doit tre rgulirement vrifie. Cette alimentation de secours et la
rplication de la base des droits daccs dans chaque UTL sont le gage dune grande
rsilience du systme.
>> Comme pour la maintenance des ttes de lecture, il est impratif de disposer de la
liste des personnes autorises accder physiquement aux UTL et dassurer
galement la surveillance de ces oprations.
4.1.4 Liaisons filaires : dans le primtre de scurit.
Autant que possible, les liaisons filaires doivent tre situes dans la zone de scurit dlimite par le
contrle des accs, et non pas lextrieur de cette zone.
4.1.5 Rseau fdrateur : chiffrer les communications, protger lintgrit.
Concernant les liaisons entre les UTL et le serveur de gestion du systme de contrle des accs
(dites liaisons filaires du rseau fdrateur), la problmatique est sensiblement la mme. Que lon soit
dans un schma mono-site , ou multi-sites avec des liaisons filaires extrieures et
ventuellement lutilisation de passerelles IP (par exemple un serveur de gestion centralis pilotant
des sites loigns connects par VPN au site principal), le chiffrement de la communication est
indispensable, moins que les liaisons ne soient protges en intgrit (passages de cbles sous
18
surveillance ou trop difficile daccs).
Lillustration ci-dessous prsente une configuration.
17
Dispositif gnralement constitu d'une carte puce au format d'une carte SIM, qui se charge de
certains calculs cryptographiques en lieu et place du systme sur laquelle on la connecte. Ce dispositif
amliore la scurit des clefs cryptographiques en les isolant. Il peut tre utilis par exemple pour
effectuer des drivations de clef en assurant la scurit de la clef matresse, qu'il protge.
18
Notion de circuit approuv.
Version de
travail 1.0
Figure 4 : exemple dun systme de contrle daccs sans contact
4.1.6 Serveur de gestion du systme et postes de travail : un SI part entire

Le serveur de gestion du systme est aussi appel Unit de Traitement de Supervision (UTS) ou
Gestion des Accs Contrls (GAC).
>> Le systme de contrle daccs est un systme dinformations (SI) part entire. Il doit
donc tre scuris comme tout SI et ce, dautant plus quil traite dinformations personnelles
sensibles.
Il faut que les configurations du serveur de gestion du systme de contrle des accs, ainsi que des
postes de travail relatifs au contrle des accs, soient scurises par lapplication des mesures
habituelles de scurit des SI (pare-feu, application rgulire des correctifs de scurit, antivirus,
19
bonne gestion des comptes utilisateurs, authentification forte, etc.) .
Le respect dune hygine informatique stricte est dautant plus crucial lorsque le systme de contrle
daccs est connect dautres systmes - tel un circuit de vido surveillance, surtout si ce dernier est
constitu de camras IP ou un systme de gestion du personnel avec interconnexion au rseau local
(voir aussi Chapitre 6.1.1 : Interconnexion avec un systme de gestion des ressources humaines et
Chapitre 6.1.4 : Interconnexion avec les systmes de surveillance vido).
Ces machines doivent tre physiquement protges de la mme manire que les UTL.
19
LANSSI publie un de nombreuses recommandations sur son site : http://www.ssi.gouv.fr/bonnes-
pratiques
Version de
travail 1.0
4.1.7 Logiciel de gestion du systme : le point nvralgique des systmes de gestion daccs
physiques par technologie sans contact.
Le logiciel install sur le serveur de gestion a pour rle de communiquer dun point de vue logique
20
avec les UTL . Ce logiciel enferme toute lintelligence applicative, les autres lments, sous sa
commande, ntant gnralement que des automates peu volus. Il doit donc tre dot de toutes les
fonctionnalits ncessaires afin de piloter efficacement les UTL et en particulier :
la centralisation des journaux dvnements des UTL, pour archivage scuris et consultation
en temps rel ;
la remonte des vnements au gestionnaire, que ce soit sous la forme dalertes lors de
tentatives daccs non autorises ou de dfectuosit dun quipement, ou rgulires sous la
forme de rapports journaliers par exemple ;
la gestion des badges, des droits, des groupes, des dates dexpiration, etc. ;
la maintenance en temps rel de la base de donnes centrale contenant toutes ces
informations ;
la sauvegarde rgulire de la base de donnes ;
le pilotage en temps rel de lensemble des UTL, en leur transmettant la base de donnes
ncessaire leur traitement des demandes daccs ;
lauthentification pour contrler laccs au logiciel, et ventuellement la gestion de droits
associe.
4.2 Principes cryptographiques mis en contexte
Acqurir des badges supportant lauthentification et disposant de mcanismes cryptographiques ne
suffit pas. Il faut activer correctement ces mcanismes lors de linstallation par lintgrateur, faute de
quoi, les badges ne seront utiliss quen identification, et pourront donc tre clons.
Les mcanismes cryptographiques devraient respecter les rgles fixes par lANSSI prcises dans le
document public : Mcanismes cryptographiques - Rgles et recommandations concernant le choix
et le dimensionnement des mcanismes cryptographiques qui constitue lannexe B.1 du Rfrentiel
21
Gnral de Scurit (RGS) accessible sur le site de lANSSI . Dautres rfrentiels existent,
correspondant des niveaux de scurit suprieurs, qui peuvent tre consults en fonction de la
sensibilit du lieu o est mis en place le systme de contrle des accs.
Les mcanismes d'authentification cryptographique doivent tre documents. Il ne doit pas y avoir
d'attaques connues permettant de cloner la carte, ou de rejouer une transaction.
La taille des cls utilises devrait galement tre conforme au Rfrentiel de lANSSI.
Le mcanisme dauthentification peut employer trois types de cls :
une cl symtrique unique
La mme cl secrte est employe par toutes les cartes et par tous les systmes de contrle.
Cette distribution grande chelle reprsente un risque pour cette cl, qui pourrait tre
compromise par lattaque matrielle dune carte, ou du systme de contrle.
des cls symtriques drives dune cl matresse
Chaque carte contient une cl diffrente, qui est drive par un mcanisme cryptographique
partir dune cl matresse et dun identifiant unique (UID) propre chaque carte. LUID est
galement contenu dans la carte.
20
Le logiciel et le serveur de gestion du systme peuvent tre intgrs dans un boitier logiciel
(appliance).
21
Voir sur le site Internet de lANSSI : www.ssi.gouv.fr/rgs
Version de
travail 1.0
Figure 5 : Processus d'initialisation des badges clef symtrique drive
Lors du contrle, le systme demande lidentifiant unique de la carte, puis, partir de la cl

matresse et de lUID du badge, regnre la mme clef drive, ce qui permet dauthentifier
cette carte.
Lavantage de cette approche est que lattaque matrielle dune carte ne permet que de la
cloner. Elle ne permet pas den forger une diffrente, car la cl matresse nest pas prsente
au sein de la carte.
En revanche, la cl matresse doit tre employe par le systme de contrle lors de chaque
vrification. Afin de mieux protger celle-ci, il est recommand dutiliser le module appel
Secure Access Module (SAM), carte puce qui renferme la cl matresse, et qui produit elle-
mme les cls drives pour le systme de contrle. Ce dernier ne manipule ainsi jamais la
cl matresse qui reste protge dans le SAM.
des cls asymtriques
Chaque lment du systme possde sa propre clef prive, qui permet le dchiffrement de
messages chiffrs avec la clef publique. Plus flexible, cette solution permet de mieux protger
les lments les plus sensibles (les cls prives) en nutilisant que des cls publiques et des
certificats lors du contrle.
Il sagit de la solution la moins rpandue car elle ncessite des cartes sans contact puissantes
pour que le dlai de vrification ne soit pas prohibitif. Elle est nanmoins la plus scurise car
en cas de compromission, de perte ou de vol, seule la clef concerne devra tre rvoque et
change.
Version de
travail 1.0
La cration et la gestion de toutes les cls cryptographiques employes dans le systme de contrle
des accs physiques sont des oprations essentielles pour la scurit du systme. Lors de ces
oprations, il est essentiel dassurer la protection des cls cryptographiques car elles sont le facteur
principal de la scurit du systme.
>> Pour cela, il convient de suivre les recommandations du rfrentiel de lANSSI, et de faire
raliser ces oprations sous le contrle du gestionnaire du ou des sites.
Une attention particulire doit tre apporte la mthode de mise la cl du systme de contrle des
accs, notamment dans le cas o les ttes de lecture renferment des cls.
>> Il ne doit pas tre possible pour une personne extrieure (y compris le fournisseur du
matriel) de changer les cls dauthentification sans que cela ne soit dtect.
En cas de compromission dune cl, il est souhaitable que le responsable du systme de contrle
daccs puisse changer les cls cryptographiques quil emploie, sans entraner de surcots (rachat de
cartes) ou de perturbations dans son service aux usagers, ni introduire de nouvelles failles de
scurit.
Si plusieurs zones sont de sensibilits diffrentes, ou sont sous la responsabilit de diffrents
organismes indpendants, il est souhaitable que des cls cryptographiques diffrentes soient utilises
pour chaque niveau (ou organisme).
Cela permet de sassurer que la compromission de la cl dune zone peu protge nentrane pas la
compromission dune zone plus protge.
Figure 6 : diffrentiation des clefs utilises selon la sensibilit des zones
En pratique, il savre souvent ncessaire demployer dautres cls cryptographiques dans le systme
de contrle des accs, notamment :
la ou les cls permettant dcrire dans les cartes (criture de champs, criture de cls, formatage).
la ou les cls permettant de configurer et dinjecter les cls dans le systme de contrle (tte de
lecture, UTL ou SAM).
Version de
travail 1.0
Par leur usage, ces cls sont une information dune grande sensibilit. Cependant, ntant pas
ncessaires lors du contrle (o seule la cl dauthentification est utilise), elles ne sont employes
que lors de la cration de badges et la configuration du systme. Elles peuvent donc tre plus
facilement protges et conserves de faon scurise (par exemple dans une enveloppe scelle
mise dans un coffre-fort) au sein dun des sites protgs.
4.3 Architectures
Le choix dune architecture avec ttes de lecture passives (qui se contentent simplement de transfrer
les messages) permet de saffranchir des problmatiques de scurit des liaisons filaires entre les
ttes de lecture et les UTL, dans la mesure o le badge est scuris. Dans le cas contraire, les
informations circulant dans les liaisons filaires extrieures doivent tre protges en confidentialit et
en intgrit.
Il existe diffrents types darchitectures, faisant intervenir les trois lments supports principaux : le
badge, la tte de lecture, et lunit de traitement local (UTL). Ces lments interviennent diffrents
niveaux et avec des mcanismes de scurit variables.
Quatre architectures sont prsentes dans ce guide, par niveau de scurit dcroissant.
Les architectures 3 et 4 sont dconseilles.
4.3.1 Architecture n1, hautement recommande
Canal Liaison
sans fil filaire
123456
Badge Tte de lecture UTL
Figure 7 : Architecture n1 : tte de lecture transparente, authentification de bout en bout

22
Le badge, scuris , sidentifie et sauthentifie directement lUTL par lintermdiaire de la tte de
lecture qui transmet les messages sans les modifier, et ne participe pas au protocole cryptographique
(tte de lecture dite transparente ).
Avantages :
le badge, scuris, ne peut pas tre clon ;
aucune information ne circule en clair, que ce soit sur le canal sans fil ou sur la liaison filaire ;
la tte de lecture ne contient aucun lment secret : il ny donc aucun impact en cas dexploitation
dune vulnrabilit de cette dernire.
Inconvnient :
lUTL doit avoir la capacit deffectuer le protocole dauthentification.
>> Cette architecture est hautement recommande, bien quelle reporte le risque
dexploitation dune vulnrabilit de la tte de lecture sur lUTL. Les mesures de protection
concernant lUTL devront donc requrir une attention toute particulire, notamment pour la
protection des clefs cryptographiques (voir Chapitre 4.1.3 : Units de traitement local ).
22
Idalement certifi Critres Communs au niveau EAL4+.
Version de
travail 1.0
4.3.2 Architecture n2, acceptable
Canal Liaison
sans fil filaire
123456
Figure 8 : Architecture n2 : tte de lecture intelligente, double authentification en coupure

23
Le badge, scuris , sidentifie et sauthentifie la tte de lecture. Cette dernire a galement une
liaison scurise (avec authentification et garantie de lintgrit) avec lUTL. Elle envoie lidentit
rcolte lUTL.
Avantages :
le badge, scuris, ne peut pas tre clon ;
la liaison filaire est protge.
Inconvnients :
la tte de lecture, situe hors de la zone de scurit, renferme la fois les secrets permettant
lauthentification de la carte et les secrets permettant de protger la liaison filaire ;
le badge est authentifi indirectement par lUTL. La tte de lecture est un intermdiaire dont le bon
fonctionnement est crucial pour la scurit du systme.
>> Cette architecture est acceptable si la tte de lecture a fait lobjet dune tude de
scurit approfondie.
4.3.3 Architecture n3, dconseille
Canal Liaison
sans fil filaire
123456
Figure 9 : Architecture n3 : Badge non scuris, avec chiffrement filaire seulement
Le badge, non scuris, sidentifie directement auprs de lUTL. La liaison filaire entre la tte de
lecture et lUTL est protge.
Avantage :
la liaison filaire est protge.
Inconvnients :
le badge peut tre clon, y compris hors du site, ce qui rend sans intrt la protection filaire. Il ne
sert que didentification.
les lments secrets permettant la protection de la liaison filaire se situent dans la tte de lecture,
qui se trouve hors de la zone de scurit.
Cette architecture est dconseille.
23
Idalement certifi Critres Communs au niveau EAL4+.
Version de
travail 1.0
4.3.4 Architecture n4, dconseille
Canal Liaison
sans fil filaire
123456
Figure 10 : Architecture n4 : Badge scuris, avec liaison filaire non chiffre
Le badge scuris sidentifie et sauthentifie avec la tte de lecture. Cette dernire transmet de
manire non protge lidentit lUTL.
Avantage :
le badge, scuris, ne peut pas tre clon.
Inconvnients :
la liaison filaire nest pas protge : un attaquant peut contourner lauthentification sil se branche
physiquement sur la liaison filaire.
la cl secrte dauthentification est stocke dans la tte de lecture, qui se trouve hors de la zone
de scurit.
Cette architecture est dconseille si le site ne fait pas lobjet dune surveillance physique renforce.
En revanche, il est possible de migrer de cette architecture vers larchitecture 1 si la tte de lecture est
capable de passer en mode transparent, et si les UTL sont changes.
Version de
travail 1.0
5 Spcifications
Lors de la phase de prparation du cahier des charges en vue de la passation dun march pour
lacquisition et linstallation dun systme de contrle daccs sans-contact, il est recommand de
rendre ce guide applicable et dinclure les clauses prsentes en Annexe 4 - Spcifications dtailles
en vue dune passation de march.
Ces spcifications sont prsentes selon 13 grands thmes correspondants aux diffrents lments
du systme ou son installation et sa maintenance :
Technologie utilise ;
Badges ;
Ttes de lecture ;
UTL ;
Rseaux et communications ;
Performances ;
Rsilience ;
Horodatage et contrle des accs ;
Gestion des alarmes et vnements ;
Stockage et archivage ;
Biomtrie ;
Installation ;
Maintenance.
Note : les exigences indiques sont complmentaires :
Pour atteindre un niveau de scurit de niveau L1, il faut appliquer toutes les exigences du niveau
L1.
L1 et toutes celles du niveau L2.
L1, du niveau L2 et toutes celles du niveau L3.
Voir galement :
Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques (4.1.1)
Version de
travail 1.0
6 Installation du systme
6.1 Interconnexions avec dautres systmes
Les systmes de contrle daccs ne sont pas autonomes et doivent satisfaire des contraintes
supplmentaires dinterconnexion, ce qui a, bien entendu, des impacts en termes de scurit.
6.1.1 Interconnexion avec un systme de gestion des ressources humaines
Cette interconnexion est tolre par la norme simplifie n 42 de la CNIL. Elle peut en effet contribuer
une mise jour plus efficace des droits daccs si les deux applications ont t prvues dans ce
sens (et si le systme de gestion des ressources humaines (RH) est bien mis jour en temps
rel ).
Elle savre pour linstant plus pertinente pour une rvocation de droits que pour une attribution.
Nanmoins, il faut veiller ce que puissent tre grs les cas particuliers (comme par exemple une
personne rappele durgence). Par ailleurs, lensemble des porteurs de badges peut ne pas concider
avec lensemble des personnes recenses dans le systme RH.
Une telle interconnexion implique souvent un lien entre le systme de gestion des accs avec le
rseau informatique local. Il convient alors de prendre toutes les mesures ncessaires pour garantir
que laccs au systme de gestion du contrle des accs physiques ne soit pas possible depuis le
rseau local.
Pour les raisons de scurit propres au systme de contrle des accs, il est prfrable dviter une
telle interconnexion entre rseaux informatiques et de privilgier des processus organisationnels RH
darrive et de dpart faisant intervenir le gestionnaire des accs physiques le plus tt possible.
6.1.2 Interconnexion avec le systme de contrle du temps de travail
La norme simplifie n 42 de la CNIL autorise que ces deux fonctionnalits soient associes .
Nanmoins, en vue dune dclaration la CNIL, il est prfrable que lensemble soit nativement pens
comme un projet global.
A lusage, et compte tenu de la sensibilit du sujet, il semble prfrable de disposer dun systme de
pointeuse proximit du contrle daccs qui pourra utiliser la mme carte. Le systme est alors
susceptible dtre mieux accept par les usagers. Cette solution permet par ailleurs dviter de
nombreux cas particuliers problmatiques (cas des runions lextrieur par exemple).
Une telle interconnexion est dconseille.
6.1.3 Interconnexion avec les systmes dalertes en cas de catastrophe
Linterconnexion avec les systmes dalertes (c'est--dire dincendie uniquement dans la plupart des
cas) est une obligation rglementaire (Cf. Annexe 4).
6.1.4 Interconnexion avec les systmes de surveillance vido
Linterconnexion au systme de vido surveillance est acceptable si la scurisation de ce dernier suit
les mmes principes que la scurisation du systme de contrle des accs. Dans le cas dune vido
surveillance sur IP, plusieurs cas se prsentent :
Vido surveillance sur cblage IP ddi.
Si la scurit physique du cblage est assure, linterconnexion ne devrait pas poser de
problmes de scurit. Il convient tout de mme de vrifier attentivement les oprations de
maintenance du systme de vido surveillance, qui donne invitablement accs celui de
contrle des accs.
Vido surveillance sur cblage IP du rseau informatique local.
Dans ce cas prcis, des mesures de cloisonnement doivent tre mises en place afin que
laccs au systme de gestion du contrle des accs physiques ne soit pas possible depuis le
rseau informatique local. Il est prfrable, par scurit pour le systme de contrle des
accs, dviter une telle interconnexion.
Version de
travail 1.0
6.1.5 Contraintes rglementaires
Certaines interconnexions peuvent tre sujettes des rglementations particulires. Un aperu des
principales rglementations est donn en Annexe 4.
6.1.6 Certification des intervenants
La complexit des systmes, que le lecteur aura perue tout au long de ce guide, ncessite quils
soient installs et maintenus par des personnes de confiance parfaitement formes. Pour pouvoir
garantir la comptence de ces personnes, il semble utile de mettre en place un schma de
certification des personnes par des organismes habilits par le CNPP ou lANSSI.
Lors de lcriture de ce guide, un tel schma nexiste pas encore et seules des discussions informelles
ont eu lieu sur ce sujet. Les utilisateurs, fournisseurs, intgrateurs et mainteneurs de systmes de
contrle daccs intresss par la mise en place dun tel schma sont invits se rapprocher de leurs
organismes professionnels ainsi que du CNPP et de lANSSI pour en promouvoir lide.
Version de
travail 1.0
7 Exploitation du systme
7.1 Gestion des droits et des badges daccs
Les droits daccs doivent tre dfinis pour chaque catgorie de personnes mme de sintroduire
dans le ou les sites sous contrle. Il est donc prfrable de configurer les droits par groupes
dutilisateurs puis dajouter des accs personnaliss. Les procdures de dfinition des groupes et des
droits individuels dans lorganisme doivent tre formalises dans ce sens, et tre gnralement
valids par les chefs dtablissements ou autres personnes responsables.
7.1.1 Accs gnriques
Les demandes de badges doivent tre intgres au processus de gestion des ressources humaines,
lors de larrive des salaris. Les droits spcifiques (par exemple : accs la salle serveurs)
ventuellement demands devraient tre valids par les chefs dtablissements ou autres personnes
responsables.
La cration (programmation) et la remise des badges doivent se faire selon des procdures dfinies,
avec une remise de badge en face face. Dans le cas dune gestion locale du systme de contrle
des accs, la cration et la remise du badge doivent tre effectues sous le contrle du gestionnaire
du systme. Dans le cas dune gestion centralise du contrle des accs, la cration et la
personnalisation des badges doivent se faire selon un processus connu du gestionnaire du systme.
Lorsque la situation le permet (recrutement dun stagiaire, contrat dure dtermine, fin de mission
anticipe, etc.), une date de fin de validit du badge doit tre programme.
La restitution des badges doit galement tre intgre aux processus de gestion des ressources
humaines, lors du dpart des salaris, afin que les droits soient rvoqus au plus tt.
Lhistorique des accs doit tre consultable. Une vrification rgulire des accs utilisateurs doit tre
effectue.
7.1.2 Accs particuliers
Certains profils particuliers dusagers occasionnels (personnel de maintenance, visiteurs, etc.)
doivent tre traits diffremment des salaris tout en maintenant les mmes exigences de
scurit (la scurit gnrale du systme repose sur la prise en compte du maillon le plus
faible). En effet, les badges des personnels tiers sont plus facilement oublis ou perdus, et
parfois ne sont tout simplement pas restitus. Sils sont moins scuriss, ils offrent plus
facilement une personne mal intentionne la possibilit de sintroduire dans lenceinte sous
contrle.
Les visiteurs
En labsence de mcanisme de drivation de la cl matresse dauthentification [Cf.
4.2 Principes cryptographiques], et sil existe des zones inaccessibles aux visiteurs ou dans le
cas dun organisme multi-sites, il est conseill dutiliser des cls de chiffrement diffrentes
pour ces badges. De mme, il est recommand de limiter leur dure de validit.
Il convient galement de dfinir les procdures dobtention dun badge pour un visiteur ainsi
que les modalits dentre dans les locaux de ce dernier. Les procdures peuvent tre
diffrentes selon le statut du personnel qui accueille le visiteur (un stagiaire peut ne pas tre
autoris faire entrer une personne extrieure, contrairement un salari). Dans tous les
cas, les procdures doivent tre documentes.
Selon le niveau de scurit recherch, en particulier si lon souhaite quun visiteur ne puisse
pas se dplacer seul, le systme pourra tre configur de faon ce que laccompagnateur et
le visiteur doivent effectuer une lecture de leurs badges dans un temps restreint sur un mme
point daccs (fonction descorte).
Les usagers privilgis, ayant des droits importants
La possibilit daccorder des porteurs du badge des droits importants (accs complet,
reprogrammation des lecteurs, etc.) est tudier au cas par cas. Le nombre de ces porteurs
doit tre rduit au strict ncessaire car ils reprsentent une importante et relle vulnrabilit
du systme.
Version de
travail 1.0
Lorsque de tels porteurs de badge existent, il est trs fortement recommand que leur badge
demeure lintrieur de lenceinte chaque fois que cela est possible. Dans ce cas, le porteur
pourrait se voir remettre un badge permettant, dans un premier temps, daccder uniquement
lintrieur de lenceinte puis dans un deuxime temps de se faire remettre le badge ayant
des droits plus importants).
7.1.3 Oubli, perte ou vol de badge
Loubli du badge permanent doit se traduire par la dlivrance dun badge de substitution dune dure
de validit limit (24 heures maximum). Paralllement, cela devrait entraner linvalidation temporaire
du badge oubli. Il convient de vrifier quune mme personne ne demande pas systmatiquement un
badge de substitution, ce qui rvlerait une probable perte non dclare du badge permanent.
En cas de perte ou vol de son badge, le personnel concern doit le signaler sans dlai afin de faire
invalider son badge.
7.2 Surveillance des accs
7.2.1 Analyse des journaux dvnements
Les journaux dvnements, centraliss de manire exhaustive par le logiciel de gestion du systme
de contrle des accs, doivent tre consultables facilement par le gestionnaire du systme.
Des vrifications rgulires des accs devraient tre effectues afin de dtecter toute erreur ou
anomalie. Ceci consiste par exemple gnrer et examiner :
un rapport listant les badges qui nont pas t utiliss lors des dernires semaines (5 par
exemple), permettant de sassurer que les badges sont bien tous actifs, et didentifier des
badges qui auraient d tre dsactivs mais qui ne le sont pas ;
la liste complte des accs visiteurs de la semaine ;
un rapport dutilisation des badges privilgis sur la semaine coule ;
la liste des accs refuss de la semaine, afin de dtecter des tentatives daccs frauduleuses
rptes ;
la liste des accs en dehors des plages horaires normales de travail et en dehors des jours
ouvrs durant la semaine coule ;
etc.
Une surveillance rgulire et srieuse des accs et des diffrents rapports est primordiale pour
assurer la scurit du systme de contrle des accs, en dtectant rapidement les anomalies et les
tentatives daccs frauduleuses. Lusage dun faux badge sera trs difficilement dtectable
autrement.
7.2.2 Dfinition dalertes spcifiques
En parallle de rapports rguliers sur les journaux dvnements, il est recommand de configurer des
alertes en temps rel qui pourront tre rapidement prises en compte par le gestionnaire du systme.
Ces alertes, qui se devront dtre peu nombreuses, pourront tre remontes par exemple par courriel
ou par des messages textes envoys sur des tlphones portables (SMS), de manire tre
rapidement consultes.
Bien entendu cela implique soit une interconnexion avec le rseau local pour permettre lutilisation de
services de messagerie, soit un rseau ddi au systme et connect aux postes de travail de gestion
du systme de contrle daccs (c'est--dire les postes des gestionnaires du systme). Cette
interconnexion devra tre tudie conformment au paragraphe 3.9.
Ces alertes devraient tre configures pour tout vnement dun niveau de criticit important.
Par exemple :
tentatives daccs refuses et rptes (2 fois sur une mme tte de lecture et sur une
priode donne, ou 2 fois par le mme badge par exemple) ;
dfectuosit dun lment support (tte de lecture, UTL, alertes systmes et applicatives du
serveur de gestion du systme daccs) ;
tentative unique daccs refuse une zone sensible ;
porte reste ouverte plus dun certain temps ;
(liste non exhaustive)
Version de
travail 1.0
7.3 Procdures dexploitation particulires
7.3.1 En cas de fonctionnement dgrad
On dfinit le fonctionnement dgrad, dans le cadre de ce guide, comme le fonctionnement du
systme de manire partielle suite un dysfonctionnement complet ou partiel des lments qui le
composent.
Plusieurs types dvnements peuvent se produire et entraner un fonctionnement dgrad. Les
vnements peuvent aussi se cumuler. Il convient de faire face chaque situation en dfinissant les
bonnes procdures ds la mise en place du systme.
Panne dune tte de lecture
Le gestionnaire du systme veillera avoir des ttes de lecture en stock pour garantir leur
remplacement le plus rapidement possible. Pendant la panne, et en fonction des exigences et
de lemplacement de la tte de lecture concerne, plusieurs solutions sont possibles :
laisser la porte ouverte, en acceptant le risque ;
contrler les flux de personnes manuellement (par un agent de surveillance par
exemple) ;
condamner la porte et obliger les personnes emprunter un passage secondaire.
Attention toutefois au fait que sil sagit dune porte avec un systme de contrle
daccs en entre et en sortie, sa condamnation peut aller lencontre de la
rglementation sur la scurit des personnes (Cf Annexe 4) ;
etc.
Panne dUTL
La problmatique est la mme que pour une tte de lecture dfaillante, la diffrence que
plusieurs ttes de lecture (celles contrles par lUTL) seront non oprationnelles.
Panne du serveur ou du logiciel de gestion du systme daccs
Les UTL doivent avoir une copie de la base des droits afin de continuer fonctionner de
manire autonome. Pendant la panne, la cration de badges et leur rvocation nest pas
possible, ni la gnration des rapports ou la consultation des vnements. Cette situation est
faiblement critique et devrait pouvoir tre gre facilement et sans gros impact. Il est toutefois
ncessaire de mener, au plus vite, les oprations de reprise aprs incident, partir des
dernires sauvegardes.
Coupure lectrique
Pendant la dure de la coupure, et si les conditions de scurit des personnes le permettent,
il est conseill de vrifier manuellement le verrouillage de chaque porte sensible (portes
extrieures des sites, et portes intrieures donnant accs des zones sensibles) afin de
sassurer que les batteries ont bien pris le relai dalimentation et assurent le verrouillage des
portes.
Lorsque la dure de la panne excde lautonomie sur batterie des lments supports du
systme de contrle daccs, la panne relve de lincident grave (cf. : 7.3.2 En cas de crise ou
dincident grave).
Il convient de porter une attention particulire aux portes qui pourraient rester verrouilles
alors que la rglementation sur la scurit des personnes en impose le dverrouillage.
7.3.2 En cas de crise ou dincident grave
Une crise, ou un incident grave, dans le cadre de ce guide, sera tout incident rendant le systme non
oprationnel dans sa quasi-totalit.
Parmi ces incidents, on en distingue deux types :
panne importante du systme
Dans ce cas prcis, il faut faire face une situation o le contrle daccs nest plus
oprationnel pour diffrentes raisons (dysfonctionnement logiciel avec corruption des bases
de droits des UTL, panne lectrique plus longue que lautonomie des lments support, etc.).
Version de
travail 1.0
Dans une telle situation, deux choses sont garder lesprit :
des catastrophes pourraient se produire pendant ce laps de temps, la scurit des
personnes doit, bien entendu, continuer dtre assure, c'est--dire que tout systme
de verrouillage de porte non aliment en lectricit doit tout de mme permettre son
ouverture en sortie ;
le besoin dentrer peut subsister en fonction de la situation. Les portes, dont le
systme de verrouillage condamne ces dernires lorsquil nest plus aliment, doivent
pouvoir tre ouvertes par un moyen mcanique (clef par exemple).
attaques russies menes par des personnes malveillantes, remettant en cause la fiabilit du
systme de contrle
Si la fiabilit du systme de contrle daccs est remise en cause, par exemple par la diffusion
sur internet dune vulnrabilit et des moyens simples pour lexploiter, lintrusion de personnes
malintentionnes est facilite. Le systme peut alors tre considr comme non oprationnel
et lentreprise devrait avoir prvu des procdures agents de scurit qui effectuent des
rondes dans les zones concernes.
7.3.3 En cas dalerte incendie
La rglementation nationale impose que les issues et dgagements permettent une vacuation rapide
24
en cas dincendie . Les accs ne sont alors plus contrls par le systme mis en place. Selon les
risques identifis et les rgles dfinies par lorganisme, il convient de dterminer comme le contrle
des accs peut tre assur dans un tel cas, par exemple grce des moyens humains ou vidos.
Le responsable du site doit dterminer (et tester) lavance comment se passera le retour dans les
locaux lissue dune alerte :
soit par louverture complte des points daccs (avec contrle humain par exemple)
soit via le fonctionnement normal du systme (il faut alors pouvoir rinitialiser le systme).
7.4 Maintenance
7.4.1 Certification des intervenants
Les prestataires de maintenance devraient tre certifis conformment au paragraphe 6.1.6.
7.4.2 Maintien en condition de scurit
Les agents de lANSSI constatent quasi systmatiquement lors de leurs interventions que les
systmes de contrle daccs ne sont pas maintenus en condition de scurit. Une fois installs,
limportant est quils fonctionnent. Aussi seule une maintenance oprationnelle est effectue. Ce
comportement conduit les entreprises et les administrations faire reposer la scurit de leurs biens
les plus prcieux sur des systmes fonctionnant avec des logiciels obsoltes, dont de nombreuses
vulnrabilits sont connues et exploites.
Cette situation est absolument anormale.
>> Les contractants doivent exiger un maintien en condition de scurit pour leurs
systmes de contrle daccs, au mme titre que pour tout autre systme
dinformation.
A minima, les tiers en maintenance doivent :
notifier la prsence de vulnrabilits sur les produits dont ils ont la charge ;
proposer la mise en place immdiate de mesures palliatives de ces vulnrabilits et un plan
de dploiement rapide des correctifs ds lors quils ont t publis par lditeur des logiciels ;
fournir un suivi des versions des logiciels et des correctifs dploys ainsi que lcart entre ce
qui est dploy et les versions et correctifs compatibles avec le systme les plus rcents. Ils
devront dtailler les risques encourus ds lors que les versions dployes ne sont pas les
plus rcentes ou que les correctifs de scurit ne sont pas tous installs.
24
Articles R4216-1 et suivants du Code du travail.
Version de
travail 1.0
7.4.3 Tlmaintenance
Lusage de la tlmaintenance saccompagne de risques parfois extrmement levs. Afin de les
rduire, il est conseill de suivre les recommandations du guide de lANSSI relatif lexternalisation
25
Matriser les risques de linfogrance , notamment la partie 2.2 : Risques lis aux interventions
distance.
25
http://www.ssi.gouv.fr/infogerance.
Version de
travail 1.0
Annexe 1 Processus dauthentification dune carte et de
transmission scurise de lidentifiant
Version de
travail 1.0
Annexe 2 Schma gnral de larchitecture dun systme
de contrle des accs physiques multi-sites
Version de
travail 1.0
Annexe 3 Exemple de processus organisationnel
Version de
travail 1.0
Annexe 4 Spcifications dtailles en vue dune
passation de march
A4.1 Technologie utilise
L1 Une technologie conforme au niveau L1 du Tableau 2 : Correspondance entre le

niveau de sret et la rsistance aux attaques logiques, page 13 4.1.1 -
Badges : niveaux de sret, rsistance aux attaques logiques. du guide sur la
scurit des technologies sans contact pour le contrle des accs physiques v1.0
de lANSSI sera mise en uvre.


L3 Chaque support de lidentifiant utilisera une cl diffrente drive dune cl

matresse.
A4.2 Badges
L1 Les donnes relatives aux droits daccs et les priodes de validit ne doivent pas
tre stockes dans le badge mais dans la base de donnes du systme de
contrle daccs.
L1 Le badge doit tre garanti unique (aucun doublon avec un systme existant dans
la socit ou dans une autre entreprise, et aucun doublon sur le mme systme).
L1 Le badge doit pouvoir tre raffect une autre personne sans perte de
traabilit.
L1 Aucune information relative au porteur du badge (except une photo de ce

dernier) ou aux sites protgs ne doit tre accessible sur celui-ci.
L1 Chaque badge doit se voir attribuer un numro de traabilit unique et visible sur
le support. Ce numro de traabilit doit tre diffrent du numro didentification
du systme.
Version de
travail 1.0
L2 Le support de lidentifiant (badge, par exemple) doit tre certifi selon les Critres
Communs au niveau EAL4+.
L3 Pas dexigence spcifique pour ce niveau.
A4.3 Ttes de lecture
L1 Les ttes de lecture doivent fonctionner avec une distance maximale de 5 cm

entre le lecteur et le badge.
L1 Aucun droit daccs ne doit tre dport dans la tte de lecture.
L1 Les ttes de lecture sont quipes dun systme de dtection dintrusion et

darrachage.
L2 Les ttes de lecture doivent avoir dmontr un excellent niveau de protection

contre les fraudes. Elles devront avoir fait lobjet dune certification de scurit de
26
premier niveau (CSPN) .
L2 Les ttes de lecture doivent comporter une signalisation visuelle daccs autoris
et daccs refus, ainsi quune signalisation sonore en cas de porte maintenue
ouverte.
L2 Les ttes de lecture ne doivent pouvoir tre programmes que via les UTL, et en
aucun cas au moyen dune carte de maintenance simplement prsente la tte
de lecture pour la reprogrammer.
L3 Les ttes de lecture doivent pouvoir admettre un clavier dauthentification. Ce

clavier devra tre dot dune fonction accs sous contraintes .
A4.4 UTL
L1 Les UTL et concentrateurs associs peuvent tre associs en un seul et mme

quipement assurant les fonctions des deux.
L1 Les UTL analysent les droits du badge et dlivrent lordre douverture gche ou
actionneur.
L1 Pour leurs vnements et alarmes, les UTL assureront la datation.
26
http://www.ssi.gouv.fr/cspn
Version de
travail 1.0
L1 Les UTL transmettent les informations lies la transaction, au serveur de
gestion du systme (UTS, GAC, ou autre quipement).
L1 Les UTL doivent mettre, vers le serveur de gestion du systme, des informations
sur les anomalies de fonctionnement qui leurs sont propres et sur les
quipements qui leurs sont associs.
L1 Les UTL sauto-surveilleront en gnrant des dfauts internes. Ces alarmes

seront dates et envoyes aux serveurs de gestion du systme comme une
alarme interne.
L1 Les UTL doivent raliser des diagnostics fonctionnels sur les quipements qui lui
sont associs.
L1 La scurisation des UTL devra tre cohrente avec la solution globale propose.
L1 Les UTL sont installes lintrieur des zones quelles contrlent.
L1 Les UTL sont quipes dun systme de dtection dintrusion et darrachage.
L1 Toutes les UTL pourront fonctionner sans perturbation en cas de perte de la

liaison avec les quipements en amont.
L1 En cas de coupure de liaison avec le serveur de gestion du systme, les UTL

doivent pouvoir archiver temporairement un nombre dalarmes ou dvnements
compatible avec les exigences, puis assurer une mise jour diffre de
larchivage centralis.
L1 En cas de coupure de liaison avec le serveur de gestion du systme, les UTL

doivent pouvoir grer au minimum N badges.
L1 Les UTL possderont une mmoire (contenant les instructions du traitement) type
EPROM (Erasable Programmable Read Only Memory) ou RAM (Random Access
Memory) sauvegarde par batterie (24 heures minimum).
L2 Les UTL doivent tre capables de grer l'anti pass-back des lecteurs qui lui
sont associs.
Version de
travail 1.0
A4.5 Rseaux et communications
L1 Les cheminements de cbles seront mis en place lintrieur des zones

contrles.
L1 Les liaisons de communication entre les moyens physiques douverture et lunit

de traitement local seront des liaisons ddies au systme de scurit.
L1 Les liaisons filaires seront surveilles de manire garantir quaucune tentative

de fraude ne puisse tre ralise.
L1 La perte dinformations au niveau des liaisons devra tre signale et traite

comme une alarme.
L1 La fibre optique sera prfre pour les liaisons vers lextrieur du btiment.
L2 La transmission des informations du systme de contrle daccs se fait sur des

VLANs ddis ce systme.
L2 Les protocoles de communication utiliss (algorithmes de chiffrement inclus)

devront tre dcrits, et particulirement les principes de scurisation et de
vrification des changes.
L2 La communication entre le badge, la tte de lecture et lUTL sera chiffre de bout

en bout par des mcanismes conformes aux rfrentiels cryptographiques
27
recommands par lANSSI (Annexe B1 du RGS ).
L2 La communication entre lUTL et le serveur de gestion du systme sera chiffre

de bout en bout par des mcanismes conformes aux rfrentiels
28
cryptographiques recommands par lANSSI (Annexe B1 du RGS ).
L3 Les cbles servant pour la transmission des informations du systme de contrle

daccs sont des cbles ddis ce systme.
L3 Les rseaux dfinis pour le systme de contrle daccs seront totalement

indpendants des rseaux du site autant pour les cbles que pour les
quipements lectroniques ou informatiques associs.
L3 Sils venaient faire lobjet de vulnrabilits publies, permettant de

compromettre leur efficacit, les protocoles et algorithmes utiliss devront pouvoir
tre remplacs par dautres protocoles ou algorithmes ne faisant pas lobjet de
vulnrabilits publies et permettant de maintenir le niveau de scurit des
changes.
27
http://www.ssi.gouv.fr/rgs
28
http://www.ssi.gouv.fr/rgs
Version de
travail 1.0
A4.6 Performances
L1 Le temps de rponse entre la prsentation dun badge et louverture doit tre

infrieur 0,5 s.
L1 Le temps dapparition dune alarme sur une console dexploitation (en service)
doit tre infrieur 2 s.
L1 Le temps de transmission dune information daccs au serveur de gestion du

systme doit tre infrieur 2 s.
A4.7 Rsilience
L1 Au niveau du systme et des quipements, une alimentation de secours d'une

autonomie de X heures minimum devra pallier une perte de l'nergie principale
(batterie /onduleur).
L1 Le constructeur sengage fournir du matriel de remplacement identique

pendant Y ans.
L1 Tous les quipements seront dimensionnes en fonction des besoins en

dgageant un potentiel de croissance de lordre de X% sur les entres / sorties.
Version de
travail 1.0
A4.8 Horodatage et contrle des accs
L1 Toutes les donnes seront dates.
L1 La datation sera prcise la seconde prs et le systme garantira la

synchronisation de tous les quipements entre eux.
L1 La mise lheure locale au niveau serveur de gestion systme sera faite

manuellement avec une possibilit de synchronisation externe par NTP (Network
Time Protocol).
L1 Le passage en heure dt/heure dhiver sera automatique mais cette fonction

pourra tre dsactive.
L1 Le logiciel ne doit pas interdire le dverrouillage des accs par commandes

manuelles (cl, coup de poing, etc.).
L1 Dans tous les cas, les demandes de commandes d'ouverture et fermeture doivent
faire l'objet d'une information enregistre par le systme, en prcisant l'origine de
la commande (oprateur), l'exception des dispositifs anti-panique du type
coup de poing , o seule l'information de dbut et fin doit tre enregistre.
L1 Le logiciel doit permettre d'autoriser l'accs ponctuellement une ou plusieurs

zones un dtenteur de badge en traant lensemble des lments de lopration.
L1 Le systme doit permettre d'effectuer des recherches sur la configuration

oprationnelle.
L2 Le logiciel doit permettre de faire le comptage des personnels prsents dans un

local ou une zone contrle en entre / sortie. Les dtenteurs qui ne sont pas
dans ces zones, doivent tre identifis dans une zone commune du site.
L2 Le logiciel doit pouvoir interdire l'accs un local ou une zone ds qu'un

nombre de personnels programm est dpass.
L2 Le logiciel doit possder la fonction anti pass-back : le badge ne donne

nouveau l'entre que lorsqu'il a t enregistr en sortie.
L2 Le logiciel doit possder la fonction escorte : les badges visiteurs ne

permettent laccs quaprs le passage de la personne charge de
laccompagner, et ce uniquement pendant un dlai de X secondes. Une mme
personne doit pouvoir escorter N visiteurs en mme temps. Ces visiteurs doivent
alors tous badger dans un dlai de Z secondes aprs le passage de lescorte
sous peine de dclencher une alarme. Au-del de N visiteurs, deux personnels
sont requis pour lescorte, lun passant en premier, lautre en dernier. Le logiciel
doit vrifier que tous les visiteurs escorts sont bien passs entre les deux
accompagnateurs et dclencher une alarme si ce nest pas le cas. Les personnels
autoriss accompagner des visiteurs doivent pouvoir tre explicitement dclars
comme tels dans le systme. Le systme doit pouvoir refuser la fonction descorte
aux personnels qui nont pas t explicitement dclars comme tant autoriss
accompagner des visiteurs.
Version de
travail 1.0
L2 Le logiciel doit permettre un dtenteur de droits particuliers de s'affranchir de la
fonction anti pass-back . L'autorisation d'accs doit tre accompagne d'un
message particulier traant l'utilisation de ce privilge.
L2 Le logiciel doit permettre dempcher laccs une zone

incluse dans une autre si la personne na pas pralablement
badg lentre de la premire zone.
Exemple : laccs la zone blanche nest possible quaprs
avoir badg pour entrer dans la zone orange.
L3 Le logiciel doit possder une fonction qui interdit l'accs une zone, une
personne qui n'a pas t vue sortie de la zone o elle tait pralablement
localise (cette fonction ne s'applique qu'aux zones ayant un lecteur en entre ou
en sortie).
L3 Le logiciel doit traiter le passage effectif : la personne ayant badg n'est

considre dans la zone que lorsqu'elle a vraiment pntr dans cette zone, et
non pas lors de la prsentation de la carte d'accs .
A4.9 Gestion des alarmes et vnements
L1 La datation sera effectue au plus prs de lvnement ou de lalarme.
L1 Le logiciel doit rendre obligatoire la procdure d'acquittement des alarmes.
L1 Le systme doit permettre de suivre lvolution de ltat des alarmes : date et

heure de l'apparition, description, localisation, date et heure de prise en compte
par l'oprateur, date et heure de rsolution.
L1 Le logiciel doit prsenter les alarmes aux oprateurs dans l'ordre de priorit du
niveau le plus lev au plus faible.
L1 Une consigne spcifique pourra tre attache chaque alarme. Cette consigne
pourra tre affiche lagent de protection chaque apparition de lalarme.
L1 Dans un site avec des zones incluses dans dautres zones, on ne peut ouvrir une
zone intermdiaire que si lon a badg dans les zones externes.
L2 Le logiciel doit traiter et afficher les alarmes en temps rel. Les alarmes doivent
tre diffrencies des vnements normaux du systme (ex. : accs autoris).
L2 Le logiciel doit permettre dimprimer les alarmes au fil de leau.
L2 Les lments secrets matres du systme (cls cryptographiques) devront tre

saisis manuellement ou injects par le responsable scurit du site et ne devront
pas tre gnrs par le systme ni fournis par le fournisseur qui devra nanmoins
apporter son assistance pour former lintervenant cette opration.
Version de
travail 1.0
A4.10 Stockage et archivage
L1 Le logiciel doit permettre d'effectuer des archivages et stockages avec

identification prcise des priodes correspondant aux donnes.
L1 Les donnes du systme seront idalement stockes dans une base de donnes
d'un format non propritaire, dimensionne de manire pouvoir archiver au
minimum 2 mois d'historique.
A4.11 Biomtrie
L1 Lidentification biomtrique est acceptable.
L2 La biomtrie ne peut venir quen complment dun badge.
L3 Lusage dun code, en complment obligatoire du badge, sera prfrable lusage

de la biomtrie (non rvocable).
A4.12 Installation
L2 Le systme devra tre install par du personnel certifi par un organisme habilit,
dans la mesure o un schma de certification adquat existe. Les certificats
devront tre prsents.
Version de
travail 1.0
A4.13 Maintenance
L1 Lusage de la tlmaintenance doit tre conforme aux recommandations de

lANSSI sur linfogrance : http://www.ssi.gouv.fr/infogerance.
L2 La maintenance devra tre assure par du personnel certifi par un organisme

habilit, dans la mesure o un schma de certification adquat existe. Les
certificats devront tre prsents.
L2 Les tiers en maintenance sengagent notifier la prsence de vulnrabilits sur la

version dploys des systmes dont ils ont la responsabilit.
A minima ils proposeront les correctifs ou les mesures de contournement dans un
dlai de X heures/jours/semaines aprs leur publication par lditeur.
Idalement ils sengagent dployer ses patchs et correctifs de scurit aprs la
mise disposition par les fabricants des quipements concerns.
L2 Un suivi des versions majeures dployes des diffrents systmes devra tre
fourni rgulirement (tous les Y mois). Ce suivi devra mettre en avant les
diffrences entre les versions dployes et les versions compatibles avec le
systme les plus rcentes.
L3 Lusage de la tlmaintenance est fortement dconseill.
Version de
travail 1.0
Annexe 5 Contraintes rglementaires
Il est ncessaire que toutes les dispositions soient prises afin dassurer prioritairement la scurit des
personnes en cas de catastrophes ncessitant des vacuations.
Certaines procdures sont galement effectuer auprs de la Commission nationale de linformatique
et des liberts (CNIL), dans le cadre de la protection de la vie prive, en fonction des dispositifs mis en
place.
Pour finir, des contraintes plus spcifiques peuvent sappliquer en fonction des zones protges.
Cette annexe na pas pour vocation dtre exhaustive, mais de fournir un aperu des contraintes
prendre en compte dans un projet de mise en place de systmes de contrle daccs.
A5.1 Protection des personnes
En cas de catastrophes ncessitant une vacuation (des incendies la plupart du temps, mais
galement dautres risques potentiels en fonction de lenvironnement de travail), des procdures
doivent tre prcisment dfinies. En particulier, le systme doit pouvoir dverrouiller tous les accs
concerns par lalarme (btiment ou zone), afin que lvacuation ne soit pas bloque ou ralentie, et
diter la liste des personnes se trouvant lintrieur (cf. normes NFS 61-937 et NFS 61-931 sur les
issues de secours).
Il appartient au responsable du site de dfinir les modalits de retour dans les locaux lissue dune
alerte :
ouverture complte des points daccs (ncessite alors un contrle humain pour sassurer que
ceux qui rentrent en ont bien le droit) ;
fonctionnement normal du systme (il faut alors pouvoir rinitialiser le systme).
En cas de panne dun ou plusieurs composants du systme, il appartient aussi au responsable du ou
des sites de choisir quel doit tre le fonctionnement dgrad du systme en fonction des objectifs de
scurit, de la configuration du site et des capacits de lorganisme. Le comportement dgrad ne doit
bien entendu pas perturber lvacuation des personnes en cas de catastrophe. Le systme pourra par
exemple basculer en position tout ouvert . Mais ceci peut ne pas tre du tout satisfaisant. Une
autre solution pourrait tre dadjoindre une commande manuelle de dverrouillage depuis lintrieur
(selon le dispositif mcanique du point daccs) permettant ainsi la sortie du personnel. Il faut alors
traiter le cas de lentre dindividus avec le concours de personnels de scurit.
Cela montre bien limportance dun systme particulirement redondant pour garantir la plus grande
rsilience possible.
A5.2 Norme simplifie n42 de la CNIL
La norme simplifie n42 de la CNIL concerne le traitement automatis dinformations nominatives mis
en uvre sur les lieux de travail pour la gestion daccs au locaux, des horaires et de la restauration.
Cette norme simplifie ne traite pas le cas des dispositifs utilisant des donnes biomtriques (cf. 3.4.2
Utilisation de la biomtrie par empreintes).
En gnral, les systmes de contrle daccs utilisant des technologies sans contact relvent,
lorsquils nutilisent pas de techniques biomtriques par empreintes, de cette norme simplifie. Ils sont
donc soumis un rgime de dclaration de conformit cette norme.
Concernant la journalisation des vnements, et conformment aux exigences de cette norme
simplifie, il est important de prendre en compte le fait que les lments relatifs au dplacement des
personnes ne peuvent tre conservs au-del de trois mois.
Pour finir, la CNIL fixe les rgles quant au traitement des informations personnelles : communication
et dure de conservation des lments didentification, information des usagers, etc. Ces rgles sont
consultables sur le site de la CNIL.
Version de
travail 1.0
A5.3 Utilisation de la biomtrie
Tous les traitements de donnes caractre personnel, ds lors quils mettent en jeu des donnes
biomtriques (empreinte, contour de la main, etc. et lexception de la biomtrie par veines par
exemple), doivent faire lobjet dune demande dautorisation pralable auprs de la CNIL.
Dans les cas suivants, les formalits sont allges et se rduisent une dclaration de conformit
des autorisations uniques :
cas des dispositifs reposant sur la reconnaissance du contour de la main et ayant pour finalit
le contrle daccs ainsi que la restauration sur les lieux de travail (autorisation unique nAU-
29
007) .
cas des dispositifs reposant sur la reconnaissance de lempreinte digitale exclusivement
enregistre sur un support individuel dtenu par la personne concerne (c'est--dire le badge
et non lUTL) et ayant pour finalit le contrle daccs aux locaux sur les lieux de travail
(autorisation unique nAU-008).
A5.4 Implication des instances reprsentatives du personnel
La mise en place dun systme de contrle daccs doit se faire en accord avec le Code du Travail,
puisquelle implique un changement des conditions de travail.
La direction doit informer de son intention de mettre en place un contrle des accs physiques,
demander lavis des instances reprsentatives du personnel (Comit hygine et scurit, Comit
dentreprise).
A5.5 Personnes mobilit rduite
Lorsque les zones protges sont susceptibles daccueillir des personnes handicapes mobilit
rduite, il est important de prendre en compte la norme NF P 99-611 relative laccessibilit des
personnes mobilit rduite. Les ttes de lecture par exemple doivent tre installes une hauteur
par rapport au sol de 1,10m 1,30m par rapport au sol, ainsi que tout dispositif additionnel
dauthentification (boitier de saisie de code PIN, dempreinte biomtrique, etc.).
A5.6 Autres
Attention, certaines zones protges sont concernes par des rglementations particulires qui
impacteront les caractristiques du systme de contrle des accs.
Cest le cas par exemple des sites comportant des installations abritant des matires nuclaires, dont
les systmes dinformation participant la protection des zones nvralgiques ne peuvent en aucun
cas tre interconnects au rseau public, ni aux autres rseaux, sauf dispositions particulires.
On retrouve galement dautres contraintes rglementaires spcifiques pour les sites classs
30 31
SEVESO , les zones ATEX , etc. Toutes ces contraintes doivent tre clairement identifies ds
lexpression du besoin.
29
Par dlibration n2012-322 du 20 septembre 2012 publie au JORF n0238 du 12 octobre 2012, la
CNIL a mis fin la possibilit de recourir lautorisation unique nAU-007 pour les dispositifs reposant
sur la reconnaissance du contour de la main et ayant pour finalit la gestion des horaires de travail.
Les systmes pralablement autoriss disposent dun dlai de 5 ans partir de la publication pour se
mettre en conformit.
30
La directive 96/82/CE ou directive SEVESO est une directive europenne qui impose aux Etats
membres didentifier les sites industriels prsentant des risques daccidents majeurs.
31
La rglementation ATEX (Atmosphres Explosives) est issue de deux directives europennes
(94/9/CE et 1999/92/CE). Cette rglementation a t transpose en France dans le code du travail
larticle R 4227-50.
Version de
travail 1.0
propos de ce guide
Ce guide sur la scurit des technologies sans contact pour le contrle des accs physiques a t
ralis par lAgence nationale de la scurit des systmes dinformation (ANSSI).
Cette version de travail 1.0 est publie loccasion du colloque Contrle des accs, comment faire
les bons choix ? organis par le CNPP le 22 novembre 2012.
Licence information publique librement rutilisable (LIP V1 2010.04.02)
propos de lANSSI
LAgence nationale de la scurit des systmes dinformation (ANSSI) a t cre le 7 juillet 2009
sous la forme dun service comptence nationale.
En vertu du dcret n2009-834 du 7 juillet 2009 modifi par le dcret n2011-170 du 11 fvrier 2011,
lagence assure la mission dautorit nationale en matire de dfense et de scurit des systmes
dinformation. Elle est rattache au Secrtaire gnral de la dfense et de la scurit nationale, sous
lautorit du Premier ministre.
Pour en savoir plus sur lANSSI et ses missions, rendez-vous sur http://www.ssi.gouv.fr
Agence nationale de la scurit des systmes dinformation

ANSSI 51 boulevard de la Tour-Maubourg 75 700 Paris 07 SP
Version de
travail 1.0

Securite Des Technologies Sans Contact Pour Le Controle Des Acces Physiques

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Securite Des Technologies Sans Contact Pour Le Controle Des Acces Physiques

Transféré par

Droits d'auteur :

Formats disponibles

PREMIER MINISTRE

Secrtariat Gnral de la Dfense et la Scurit Nationale

SECURITE DES TECHNOLOGIES SANS-CONTACT POUR

Chef de projet Chapitre 2 : Fondements du contrle

Acheteurs Chapitre 5 : Spcifications

Installateurs Chapitre 2 : Fondements du contrle

Chapitre 6 : Installation du systme

Exploitants Chapitre 7 : Exploitation du systme

Figure 1 : Exemples de zones

Pntrations involontaires Pas de matriel ou matriel Pas de connaissance

Franchissement par attaque mcanique et/ou logique simple

Pntrations prmdites Matriel et mthode obtenus Connaissance basique du

Franchissement par attaque mcanique et/ou logique volue

Pntrations prmdites Matriel ou maquette Connaissances recueillies

Franchissement par attaque mcanique et/ou logique sophistique

Pntrations prmdites Matriel comprenant des Connaissances sur la

Tableau 1 : Les quatre niveaux de sret

Figure 2 : Exemples de flux physiques

3.6 Identification des acteurs

Niveau de Rsistance aux Mthode Technologie Caractristiques

II L1 Authentification du Carte ISO 14443, Authentification reposant

III L2 Authentification du Carte ISO 14443, Authentification reposant

IV L3 Authentification du Carte ISO 14443, Authentification reposant

Tableau 2 : Correspondance entre le niveau de sret et la rsistance aux attaques logiques

Figure 3 : Exemple de badge

4.1.6 Serveur de gestion du systme et postes de travail : un SI part entire

Lors du contrle, le systme demande lidentifiant unique de la carte, puis, partir de la cl

Figure 6 : diffrentiation des clefs utilises selon la sensibilit des zones

Badge Tte de lecture UTL

Figure 7 : Architecture n1 : tte de lecture transparente, authentification de bout en bout

Badge Tte de lecture UTL

Figure 8 : Architecture n2 : tte de lecture intelligente, double authentification en coupure

Badge Tte de lecture UTL

Figure 9 : Architecture n3 : Badge non scuris, avec chiffrement filaire seulement

Badge Tte de lecture UTL

Figure 10 : Architecture n4 : Badge scuris, avec liaison filaire non chiffre

A4.1 Technologie utilise

L1 Une technologie conforme au niveau L1 du Tableau 2 : Correspondance entre le

L2 Une technologie conforme au niveau L2 du Tableau 2 : Correspondance entre le

L3 Une technologie conforme au niveau L3 du Tableau 2 : Correspondance entre le

L3 Chaque support de lidentifiant utilisera une cl diffrente drive dune cl

L1 Aucune information relative au porteur du badge (except une photo de ce

L3 Pas dexigence spcifique pour ce niveau.

A4.3 Ttes de lecture

L1 Les ttes de lecture doivent fonctionner avec une distance maximale de 5 cm

L1 Aucun droit daccs ne doit tre dport dans la tte de lecture.

L1 Les ttes de lecture sont quipes dun systme de dtection dintrusion et

L2 Les ttes de lecture doivent avoir dmontr un excellent niveau de protection

L3 Les ttes de lecture doivent pouvoir admettre un clavier dauthentification. Ce

L1 Les UTL et concentrateurs associs peuvent tre associs en un seul et mme

L1 Pour leurs vnements et alarmes, les UTL assureront la datation.

L1 Les UTL sauto-surveilleront en gnrant des dfauts internes. Ces alarmes

L1 Les UTL sont installes lintrieur des zones quelles contrlent.

L1 Les UTL sont quipes dun systme de dtection dintrusion et darrachage.

L1 Toutes les UTL pourront fonctionner sans perturbation en cas de perte de la

L1 En cas de coupure de liaison avec le serveur de gestion du systme, les UTL

L1 En cas de coupure de liaison avec le serveur de gestion du systme, les UTL

L3 Pas dexigence spcifique pour ce niveau.

L1 Les cheminements de cbles seront mis en place lintrieur des zones

L1 Les liaisons de communication entre les moyens physiques douverture et lunit

L1 Les liaisons filaires seront surveilles de manire garantir quaucune tentative

L1 La perte dinformations au niveau des liaisons devra tre signale et traite

L2 La transmission des informations du systme de contrle daccs se fait sur des

L2 Les protocoles de communication utiliss (algorithmes de chiffrement inclus)