Accès mobile : mais quand ?
Avant de choisir la technique de contrôle d'accès, il est important de définir ses exigences dans le cadre d'un concept de sécurité, car tous les locaux n'ont pas les mêmes besoins en matière de sécurité.
En fait, nous nous y sommes déjà habitués : nous nous accordons l'accès. Le billet de concert réservé en ligne nous permet d'accéder à un certain service pendant une durée déterminée et à un endroit déterminé. Alors que "Print at home" et les e-tickets reposent sur la lecture d'un code-barres sur place, l'application permet d'aller plus loin : l'ouverture proprement dite de la porte. Cette application est particulièrement appréciée des hôtels. Ici aussi, nous avons déjà pris l'habitude de saisir nous-mêmes les données de nos clients pour la réservation, et le processus de paiement se fait également à la main.
Nous avons ainsi acquis, là aussi, l'"autorisation" d'accéder à un lieu donné pendant un certain temps. La transmission automatique de cette autorisation à une application n'est que la prochaine étape logique. Il existe depuis longtemps des exemples pratiques dans lesquels le client de l'hôtel ouvre directement la porte de sa chambre avec l'application, sans s'être rendu au préalable à l'enregistrement. Bien entendu, d'autres accès tels que le parking, le wellness, le lounge ou encore l'ouverture du minibar peuvent également être activés si l'hôtel a été réservé. Tout cela automatiquement et sans ressources humaines de l'hôtel.
L'accès mobile a le vent en poupe ?
La technologie correspondante est disponible pour les smartphones depuis une dizaine d'années. Pour l'utiliser, il faut un appareil compatible NFC et BLE, et justement, l'application correspondante. Là encore, nous nous y sommes déjà habitués. Procédures de paiement, e-banking et applications pour les patients pour les rapports de laboratoire ou l'application Swiss Covid : pour de nombreuses applications sensibles, nous utilisons une ou même plusieurs applications.
Pourquoi pas aussi pour l'accès ? Bien entendu, l'infrastructure, c'est-à-dire le mécanisme d'ouverture de la porte, doit également être prête pour l'application : La lecture du signal compatible BLE ou NFC et l'intégration (onboarding) du contrôle d'accès mobile dans le système sont les conditions de base pour l'ouverture souhaitée de la porte par smartphone.
Un large éventail d'applications
Nous connaissons depuis longtemps l'activation temporaire des accès, notamment par les contrôles d'accès électroniques. Il est également courant que les accès soient enregistrés électroniquement et donc traçables. Toutefois, dans les systèmes conventionnels, l'autorisation était liée à un support de fermeture ou à un support d'identification (IMT).
Avec l'accès mobile, ces tâches sont prises en charge par le smartphone ou l'application (spécifique au fabricant). Il en résulte une multitude de possibilités d'utilisation. Ainsi, le personnel engagé de manière variable peut être directement autorisé à intervenir ou à ouvrir les portes concernées. Il peut s'agir, par exemple, d'un vendeur dans une boutique de station-service ou d'un technicien de service dans un centre informatique.
Alors tout est sous contrôle ?
L'activation des autorisations (indépendamment du lieu) se fait aujourd'hui de manière spécifique au fabricant. Souvent, des solutions propriétaires (cloud) sont utilisées. Certains fournisseurs de solutions sont en train de proposer des solutions indépendantes des fabricants ou d'intégrer différents fournisseurs via des interfaces. En général, le principe suivant s'applique : plus il y a d'interfaces, plus le nombre de failles de sécurité possibles est élevé. La sécurité physique sur la porte dépend donc également de la sécurité informatique de l'ensemble du système. Il convient également de noter que dans l'exemple d'utilisation de Springer dans la boutique d'une station-service mentionné précédemment, on ne peut pas forcément partir du principe qu'un smartphone appartenant à l'entreprise est disponible. Est-il donc admissible que le collaborateur soit contraint d'installer sur son smartphone des applications utilisées à des fins professionnelles ? Et inversement, est-il souhaitable, du point de vue de l'employeur, que les procédures liées à la sécurité soient effectuées sur un smartphone privé ? Et pour inclure également le technicien de service : Est-il vraiment judicieux de débloquer l'accès au rack informatique du centre de calcul via une application ?
Le besoin de sécurité est déterminant
Tous les locaux, respectivement leurs contenus/utilisations, n'ont pas les mêmes besoins en matière de sécurité. Alors que l'expression "analyse des besoins de protection" est souvent utilisée dans le domaine informatique, l'objectif est également identique pour la sécurité physique : définir les exigences en matière de sécurité. Il en résulte souvent aussi des exigences concernant l'organisation des accès et les moyens techniques utilisés. Ce n'est pas un hasard si la pénétration du marché de l'accès mobile dans le segment "grand public" est en hausse. Les applications hôtelières, les salles de réunion et, d'une manière générale, les domaines où les exigences de sécurité sont faibles sont prédestinés à de telles applications. Mais plus le besoin de sécurité augmente, plus la prudence est de mise. Le cas échéant, une caractéristique d'identification supplémentaire permet de tenir compte du besoin de sécurité accru. Toutefois, le Mobile Access n'est pas (encore) adapté aux applications dans le domaine de la haute sécurité, comme par exemple les centres de calcul, les coffres-forts, les prisons ou les dépôts de munitions.
Ce qui est généralement valable
Le concept d'accès fait partie de la planification de la sécurité et, en règle générale, ce n'est pas la facilité d'utilisation d'une application qui est déterminante, mais le besoin (de protection). Avant de choisir la technique de contrôle d'accès, il convient donc de définir ses exigences dans le cadre d'un concept de sécurité. Il est tout à fait courant que tous les locaux concernés n'aient pas les mêmes exigences de sécurité.
Il est également typique que tous les utilisateurs ne soient pas autorisés à accéder à tous les locaux. Et cela nous amène aux principes, pas nouveaux mais toujours valables, du concept d'accès.
L'organisation de l'accès commence par le zonage
Chaque utilisation est attribuée à une zone de sécurité et chaque zone reçoit une couleur. On obtient ainsi un plan de sécurité en couleur qui indique les passages de zones auxquels il faut être particulièrement attentif. Les zones de circulation sont souvent des zones à usage mixte, parfois à caractère semi-public. Si une surface semi-publique jouxte directement une zone de haute sécurité, les exigences de sécurité au niveau du passage de zone augmentent automatiquement. Pour une porte, cela signifie classiquement des exigences accrues en matière de résistance à l'effraction, ce que l'on appelle la classe de résistance (RC), qui peut également avoir une influence sur le choix de la technique de fermeture, de la surveillance et donc, dans certaines circonstances, sur le choix du moyen de fermeture. Une solution compatible avec le Mobile Access très appréciée lors d'un rééquipement est l'installation d'un cylindre de fermeture électronique correspondant, un cylindre numérique. Il s'agit maintenant de vérifier si les exigences RC souhaitées peuvent être satisfaites de cette manière. Il convient de noter que les solutions actuelles de Mobile Access ne sont pas encore systématiquement testées avec des portes résistantes (classe RC).
La clé a-t-elle fait son temps ?
La fermeture mécanique reste la forme la plus courante d'organisation des accès. La distribution en grandes quantités augmente le risque de perte de clés, le principal inconvénient de cette solution. Même si l'exploitation et la gestion des droits d'accès ne sont pas très flexibles avec les fermetures mécaniques, il existe toujours des applications dans le domaine de la haute sécurité pour lesquelles il est possible d'atteindre le niveau de sécurité souhaité avec des changeurs de clés ou des coffres-forts à clés et une distribution sécurisée avec une identification à deux facteurs.
Les fermetures mécatroniques combinent les avantages d'une fermeture mécanique robuste et l'avantage de pouvoir bloquer électroniquement les clés perdues, ce qui permet d'éviter le remplacement coûteux de la fermeture. La clé est donc ici également un support de caractéristiques d'identification (IMT). Un IMT est également une condition préalable à toutes les autres solutions électroniques : à commencer par les cylindres numériques, les lecteurs de garniture, les installations de contrôle d'accès hors ligne et en ligne bien connues, jusqu'aux solutions en réseau radio. Outre le badge, le plus connu des IMT, le marché offre une multitude de couleurs et de formes. Avec Mobile Access, il existe donc désormais des solutions qui ne nécessitent plus obligatoirement une remise physique de l'IMT.
Alors, quand Mobile Access ?
Comme nous l'avons déjà mentionné, le choix du contrôle d'accès approprié dépend également des besoins en matière de sécurité et de protection. Les éventuels risques (cyber) doivent être pris en compte au même titre que les exigences de sécurité physique de la porte. Mais si l'on part du principe que les applications ne nécessitent pas une sécurité accrue, l'accès mobile présente des avantages indéniables. L'attribution rapide et flexible des autorisations, la traçabilité des accès et, surtout, l'acceptation croissante des utilisateurs sont autant de facteurs susceptibles de favoriser la diffusion de cette solution. Du point de vue de la gestion d'entreprise, cela devient particulièrement intéressant lorsque l'utilisateur s'enregistre lui-même et que la transmission de l'autorisation se fait automatiquement - si, dans l'exemple de la réservation d'hôtel, la chambre et les prestations supplémentaires réservées sont directement activées sur l'application lors du processus de paiement. Les hôteliers sont ainsi déchargés et peuvent utiliser la capacité libre autrement. Peut-être pour être tout simplement un bon hôte détendu dans le contact direct avec le client.