avril 2019

Le rôle croissant de l’IT dans les projets de sûreté-sécurité physique

Peut-on aujourd’hui mener un projet de contrôle d’accès sans l’implication de sa DSI ? Une étude menée par The 05 group en 2018 a montré que le service IT était impliqué dans 85% des décisions concernant la sécurité physique. La vision de Vivian Pelletier, Directeur Produit Sûreté-Sécurité chez Horoquartz.

 

Vivian, il y a eu une époque pas si lointaine où les directions sûreté-sécurité ne voyaient pas forcément d’un très bon œil l’intégration d’un système de contrôle d’accès dans le réseau global de l’entreprise. Et les DSI de leur côté pouvaient être méfiants. Cette époque est-elle révolue ?

Oui, j’ai connu cette époque où on nous demandait des systèmes de contrôle d’accès totalement autonomes, avec une solution fonctionnant sur un PC ou un serveur dédié non supervisé par l’IT de l’entreprise et avec un câblage indépendant dédié aux périphériques de contrôle d’accès. L’idée de cette approche en « silo » était que plus le système de sécurité était « étanche » et moins il risquait d’être attaqué ou parasité au travers d’autres applications. Mais je vous le confirme : sauf à de très rares exceptions justifiées par des niveaux de sécurité tout à fait hors normes, ce temps est révolu.  Aujourd’hui, les projets qui nous sont confiés sont traités dans une logique collaborative service sécurité / service IT.

 

Quel a été le moteur de cette évolution ?

Il faut revenir au besoin pour comprendre cette évolution. Tout d’abord, les projets sont devenus plus globaux, avec fréquemment une approche multi-sociétés / multi-sites. Pour les responsables sécurité, il est devenu évident que le déploiement d’une solution de contrôle d’accès physique ne pouvait se faire qu’au travers du réseau IT de l’entreprise, tout autre alternative entraînant des coûts rédhibitoires. Ensuite, ils ont compris que l’évolution des technologies de cryptage permettait de sécuriser efficacement les échanges relatifs au contrôle d’accès sur des réseaux mutualisés, ceci limitant fortement le risque qu’ils pouvaient voir dans des réseaux non dédiés. Enfin, ils sont bien placés pour savoir que le serveur qui gère la solution de contrôle d’accès est aussi une cible potentielle pour des hackers et qu’il vaut mieux l’intégrer dans une infrastructure sécurisée et pilotée par la DSI plutôt que de disposer d’un système indépendant et peut-être plus vulnérable.

 

Et côté DSI, cette évolution a-t-elle été partagée ?

Côté IT, les responsables ont également compris que les solutions de contrôle d’accès, d’intrusion et même de vidéosurveillance n’avaient plus le côté ‘ésotérique’ qu’elles pouvaient avoir autrefois. Elles sont basées sur des standards de communication réseau, optimisent les flux, et utilisent des composants bien connus des DSI, qu’il s’agisse des systèmes d’exploitation ou des bases de données et autres serveurs web. De ce fait, il n’y a plus de réelle objection à intégrer l’exploitation technique de ces solutions dans l’infrastructure IT. Bien évidemment, la configuration, le monitoring et l’exploitation des composants du système de contrôle d’accès physique doivent être pris en compte par la DSI mais ce n’est pas très différent des autres applications de l’entreprise, à plus forte raison si elles s’appuient sur de l’IoT ou sur des solutions mobiles. En fait, sur pas mal de points, la cyber-sécurité et le contrôle d’accès physiques convergent, un élément supplémentaire qui va dans le sens d’une meilleure collaboration entre utilisateurs et services IT.

 

Une collaboration implicite finalement….

Non, il s’agit bien d’une collaboration explicite. Dans les organisations où on trouve un service sûreté-sécurité et un service IT, on peut dire qu’il n’existe pas ou très peu de projets lancés sans une collaboration des deux entités. Par contre, on trouve assez souvent des projets de contrôle d’accès physique pilotés entièrement par la DSI dans des petites entreprises qui ne disposent pas de service sûreté-sécurité.

 

Y a-t-il d’autres aspects à cette collaboration ?

On ne pourra pas tous les citer, mais oui, il y a de nombreux points qui font que les responsables de la sécurité physique collaborent de plus en plus avec ceux de l’IT. Le RGPD est un de ces sujets car il impose une vision transverse des processus et des données, et il nécessite donc une collaboration étroite entre services.  L’autre sujet est celui de l’intégration fonctionnelle de la solution de contrôle d’accès. Il n’est pas rare aujourd’hui qu’elle soit amenée à échanger des données avec d’autres applications : avec la solution de gestion des temps (une situation assez fréquente pour ce qui nous concerne), avec la gestion de parking, la gestion des badges, l’annuaire d’entreprise, etc… Difficile d’imaginer ce type d’intégration sans le concours de l’IT. De notre côté, pour nous qui sommes amenés à intégrer tous les jours des systèmes de sécurité physique, nous ne pouvons que nous féliciter de cette évolution, c’est un vrai facilitateur dans les projets.

 

Thierry Bobineau, Directeur Marketing chez Horoquartz, d’après un entretien réalisé avec Vivian Pelletier, Directeur Produit Sûreté chez Horoquartz.

Thierry Bobineau                    Vivian Pelletier