Les deux protocoles de communication ouverts ont été conçus pour protéger la chaîne du contrôle d'accès contre les attaques. Leur historique respectif influence leurs caractéristiques en termes de sécurité et de déploiement.
Le gouvernement français a inclus les risques liés à la cyber-sécurité parmi les cinq risques majeurs qu'il souhaite aborder par une "information pédagogique". Les autres risques de la liste incluent les risques naturels, technologiques, sanitaires et les menaces terroristes. Les cyber-attaques ciblent une longue liste de victimes, y compris les collectivités locales, les entreprises et les établissements de santé. Selon Denis Castanet et Nicolas Boisson, respectivement directeur général et responsable de la communication chez TIL Technologies, leur médiatisation a conduit à une sensibilisation accrue au cours des cinq dernières années. Il est important de souligner que personne n'est à l'abri des hackers, y compris les petites structures, qui peuvent être encore plus vulnérables car leur survie peut dépendre du paiement d'une rançon. Le contrôle d’accès physique, parce qu’il est lié au système informatique, est de fait une porte ouverte à la cyber malveillance.
En France,
Le contrôle d'accès physique est un système d'information critique qui fait partie intégrante de l'infrastructure d'une entreprise. Selon Stéfane Mouille, expert en identité numérique et cybersécurité au Cabinet Louis Reynaud, ce système est souvent mal connu et est connecté au système d'information de l'entreprise, en particulier au service des ressources humaines qui gère des informations personnelles ou sensibles sur les employés.
Il est crucial de comprendre les protocoles de communication, les technologies et les schémas de certification de sécurité informatique pour évaluer la capacité d'un système à résister aux attaques potentielles et rejeter les transactions non autorisées qui concernent la gestion des droits d'accès entre les badges, les lecteurs et les portes qui doivent être protégées.
En France, nous avons la chance de disposer de l'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui possède une expertise actualisée en matière de sécurité des systèmes d'information. Depuis 2008, les industriels peuvent faire évaluer leurs produits de sécurité par l'ANSSI pour obtenir la Certification de sécurité de premier niveau (CSPN), qui valide la conformité du produit par rapport aux recommandations de l'agence.
STID
En 2013, STid, une entreprise française fondée en 1996 et spécialisée dans l'identification sécurisée, est devenue le premier fabricant RFID à obtenir la Certification de sécurité de premier niveau (CSPN). Elle a développé un protocole de communication sécurisé appelé SSCP, qui répondait à toutes les exigences de l'ANSSI et du référentiel général de sécurité (RGS). À l'époque, ce protocole était de nature propriétaire.
En 2020, l'alliance européenne Spac (Smart Physical Access Control) a été créée à l'initiative d'acteurs reconnus du secteur de la sécurité, notamment dans le contrôle d'accès, dont STid. Cette nouvelle entité avait pour mission de promouvoir le protocole de communication renommé Smart & Secure Communication Protocol, un standard devenu ouvert qui permet de garantir une connexion sécurisée entre les objets tels que les lecteurs RFID et autres équipements de sécurité, et les systèmes de gestion tels que les contrôleurs, automates, etc.
Précisons que STid a obtenu la certification OSDP Verified et SSCP Certified pour sa gamme de lecteurs sécurisés Architect Blue.
SSCP, un protocole spécialement créé pour la sécurité
Bienvenue dans l'univers du Smart & Secure Communication Protocol (SSCP®), un protocole de communication ouvert conçu pour standardiser et sécuriser la communication des équipements de sécurité physiques et logiques. Ce protocole a été le premier à recevoir la certification CSPN de l'ANSSI sur une cible d'évaluation composée d'un lecteur STid. Conçu sans concession en matière de sécurité, il est le protocole ouvert le plus intégré dans les solutions certifiées CSPN®. Il est préconisé par les agences de sécurité internationales comme l’ANSSI ou le NIST (National Institute of Standards and Technology). Son objectif principal est de pouvoir fournir une sécurité de bout en bout homogène. Dans cette optique, Spac a lancé les certifications SSCP Certified, facilitant le processus d’évaluation et d’acquisition du visa de sécurité CSPN de l’Anssi, et permettant ainsi aux industriels de se positionner sur les marchés sensibles comme les OIV (opérateurs d’importance vitale).
Aujourd'hui, le choix du SSCP® est le plus pertinent pour les entreprises qui recherchent une solution de contrôle d'accès certifiée et dotée des plus hauts niveaux de sécurité. Selon Mickaël Wajnglas, secrétaire général de l’alliance SPAC : “La mission de SSCP est de permettre aux organisations de sécuriser de manière cohérente leur écosystème matériel de sûreté, du contrôle d’accès à l’évacuation d’urgence, via la vidéosurveillance et les capteurs IoT. Ainsi, a été lancée il y a peu, Primacy SSCP, première imprimante encodeuse de badge RFID pilotée par le premier protocole certifié par l’ANSSI. En effet, l’alliance Spac prône le rapprochement entre les sécurités physique et logique, indissociables. De fait, le principe des cyberattaques est d’introduire physiquement le bâtiment d’une organisation pour s’attaquer plus facilement aux systèmes d’information. Signe que l’Europe a pris conscience de cette menace: la publication en décembre 2022 de la NIS 2. Cette directive européenne vise à harmoniser et à renforcer la cybersécurité du marché européen et intègre le lien entre sécurité physique et cyber. Les États membres doivent donc se doter de technologies souveraines et adaptées au cadre réglementaire européen. Et le rôle du protocole SSCP est de déployer au sein de l’Union européenne un standard de communication souverain aux plus hauts niveaux de sécurité.”
OSDP, une sécurisation bidirectionnelle ouverte et internationale
Le protocole OSDP a récemment été reconnu comme une norme par l’organisme indépendant suisse International Electrotechnical Commission (IEC) sous l’intitulé précis IEC 60839-11-5. « L’intégration à ce standard, qui par ailleurs adresse le contrôle d’accès en général, est un atout objectif pour OSDP», se félicite Steven Commander. « Renforcé du Secure Channel Protocol (SPC), OSPD prend en charge le cryptage AES-128 exigé notamment pour les installations du gouvernement fédéral des États-Unis », poursuit le directeur de la prescription chez HID Global avant d’ajouter : “Avec le protocole Wiegand, il est nécessaire d’intervenir devant chaque lecteur pour le configurer. En revanche, le protocole OSDP, avec sa communication bidirectionnelle entre le lecteur et l’UTL, apporte un véritable confort d’exploitation. En effet, la gestion s’opère directement depuis le système quel que soit le nombre de lecteurs, avec, à la clé, un gain de temps, donc une source de gain. Le protocole permet la surveillance et l’interrogation en continu de l’état du lecteur, mais également la détection et l’indication d’altération et de dysfonctionnement sans avoir à inspecter physiquement le lecteur. De plus, celui-ci peut afficher des interfaces utilisateur avancées, y compris des messages de bienvenue”
A la lecture de ces éléments et en sachant que les cyberattaques mondiales ont augmenté de 38% entre 2022 et 2021 (Le secteur de la santé détient le record le plus inquiétant avec une hausse de 74 %), il est donc devenu primordial d' intégrer ces options dans nos considérations lors du déploiement de solutions de contrôle d’accès quelles que soient les tailles des projets.