octobre 2019

Contrôle d‘accès : ces autres aspects informatiques à étudier avant de choisir

Après un précédent article consacré à l’importance de la portabilité informatique des solutions de contrôle d’accès physique, Patrick Paranthoen, Responsable R&D Sûreté-Sécurité d’Horoquartz, revient sur 2 autres aspects IT qu’il est important de prendre en compte pour le choix d’une solution de sûreté-sécurité : la synchronisation avec les annuaires d’entreprise et l’étanchéité des données.

Patrick, vous nous avez parlé récemment du problème de la gestion des identités et des accès informatiques. Est-ce un sujet qui concerne encore plus les applications de contrôle d’accès aux locaux ?

« Nous voyons tous les jours les efforts faits par nos clients pour automatiser au mieux la gestion des identités et des comptes de leurs applications informatique pour en assurer la traçabilité. Si les ‘vrais’ logiciels d’IAM(1) sont encore assez peu répandus, les annuaires d’entreprise sont eux largement utilisés par nos clients. Et connecter une application de contrôle des accès physiques à l’annuaire LDAP présente en effet de très nombreux avantages. Nous proposons par exemple avec notre solution des connecteurs disponibles avec OpenLDAP, Oracle Directory ou encore Active Directory de Microsoft. Ces web services nous permettent d’alimenter automatiquement notre application Protecsys 2 Suite avec des données gérées par l’annuaire comme par exemple l’identification du salarié, sa population d’appartenance, son site géographique, sa photo ou d’autres informations qui peuvent avoir une incidence sur les droits d’accès des salariés. Ces données peuvent être utilisées pour administrer des profils ou droits d’accès mais aussi pour produire le badge des collaborateurs. L’avantage est de ne pas avoir à ressaisir ces données dans l’application de contrôle des accès physiques mais aussi de s’assurer de la bonne qualité et de la synchronisation des informations. L’annuaire reste le système maître mais cela n’empêche pas d’avoir des données mises à jour localement dans l’application de sûreté-sécurité, l’important étant de n’avoir qu’une source d’alimentation suivant l’information traitée».

Mais cette intégration n’est-elle pas assez standard finalement ?

« Certes, des connecteurs avec l’annuaire d’entreprise peuvent être proposés par les éditeurs, mais on peut mentionner précisément ce besoin dans le cahier des charges de la solution de sûreté-sécurité. Il est prudent d’indiquer les versions utilisées par l’entreprise et encore mieux d’indiquer les flux imaginés entre l’annuaire et l’application de contrôle des accès. Nous le voyons tous les jours à l’usage, l’existence d’un connecteur ne garantit pas un fonctionnement nominal à l’arrivée. Il y a assez souvent des questions à se poser sur les informations existantes dans l’annuaire, sur leurs modalités de mise à jour, sur les informations éventuelles à ajouter et sur celles qui resteront gérées directement dans la solution de sécurité. Il faut s’intéresser aussi au fonctionnement en mode dégradé car on ne peut évidemment pas bloquer les accès à l’entreprise en cas de problème ou de maintenance de l’annuaire LDAP. Au final, il s’agit de s’assurer de la synchronisation complète de la chaîne et c’est toujours mieux de le faire en amont. Cela permet aussi de vérifier l’adéquation de la réponse logicielle du fournisseur et sa capacité à fournir une expertise IT à ce sujet. »

Qu’entendez-vous par « l’étanchéité des données » que vous avez évoquée en début d’entretien ? Est-ce lié au sujet du LDAP que vous venez de décrire ?

« Il peut y avoir lien mais pas nécessairement. Par ce terme, on entend surtout le fait que chaque administrateur ne puisse voir et gérer que les informations qui le concernent. Nous proposons une application totalement multi-sociétés et multi-sites ce qui déjà peut induire des droits d’accès très différents pour les administrateurs. Mais même à l’intérieur d’un site, nous pouvons avoir des découpages assez fins. Par exemple : un administrateur de l’application ne pourra voir et gérer que les collaborateurs d’une population donnée sur un critère géographique, hiérarchique et/ou sur des critères transverses. On peut imaginer par exemple qu’un administrateur soit en charge du bâtiment administratif du siège, un autre des bâtiments logistiques des sites de Nantes, Marseille, et Strasbourg. Et qu’un dernier soit en charge de tous les agents de sécurité et secouristes du travail, quels que soient leur site ou rattachement dans le site. Il faut donc pouvoir créer des profils utilisateurs avec des vues suffisamment personnalisables. Ceci permet à l’exploitant de retrouver facilement les données dans son champ de responsabilité (bâtiments, zones, personnes…). Et cela permet également de définir ‘qui fait quoi’ de façon sécurisée. »

Mais est-ce vraiment nouveau ?

« Non, et certains de nos clients utilisent déjà largement ces possibilités. La vraie difficulté est d’avoir un système performant et adapté à chaque contexte. Je pense par exemple au groupe Alstom qui a déployé notre solution sur 60 sites dans le monde entier et qui sécurise les accès à plus de 1700 portes. Il est impératif dans ce genre de déploiement d’avoir une solution souple et puissante pour ne pas tomber dans une administration trop coûteuse. Mais même pour des déploiements limités à un seul site, nous avons parfois besoin de créer des vues ‘atypiques’ pour tel ou tel besoin client. C’est pourquoi nous préconisons de décrire précisément ces aspects dans le cahier des charges en amont du projet.  Il faut également noter que le RGPD est venu renforcer ce besoin d’avoir une vraie étanchéité des données car on ne peut imaginer une solution de sûreté-sécurité dont les accès seraient ouverts à tous les administrateurs sans limites. »

(1) IAM : Identity and Access Management

Lire le témoignage d’Alstom

Voir les solutions Horoquartz

 

Thierry Bobineau, Directeur Marketing chez Horoquartz, d’après un entretien réalisé avec Patrick Paranthoen, Directeur R&D Sûreté chez Horoquartz

Thierry Bobineau    Patrick Paranthoen