Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h y s i q u e s V e r s i o n d e t r a v a i l 1 . 0 1 9 n o v e m b r e 2 0 1 2 P a g e 1/45 PREMIER MINISTRE Secrétariat Général de la Défense et la Sécurité Nationale Agence Nationale de Sécurité des Systèmes d’Information GUIDE SECURITE DES TECHNOLOGIES SANS-CONTACT POUR LE CONTROLE DES ACCES PHYSIQUES G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h y s i q u e s V e r s i o n d e t r a v a i l 1 . 0 1 9 n o v e m b r e 2 0 1 2 P a g e 2/45 Table des matières 1 INTRODUCTION ......................................................................................................................................... 4 1.1 CONTEXTE ............................................................................................................................................... 4 1.2 OBJECTIFS DU GUIDE ................................................................................................................................ 4 1.3 PUBLIC CIBLE ........................................................................................................................................... 4 2 FONDEMENTS DU CONTROLE D’ACCES ........................................................................................... 6 2.1 DEFINITION .............................................................................................................................................. 6 2.2 LA PHASE D’IDENTIFICATION ET D’AUTHENTIFICATION ........................................................................... 6 2.3 TRAITEMENT DES DONNEES ..................................................................................................................... 7 2.4 VERROUILLAGE ET DEVERROUILLAGE ..................................................................................................... 7 3 EXPRESSION DE BESOINS ...................................................................................................................... 8 3.1 IDENTIFICATION DES SITES ....................................................................................................................... 8 3.2 IDENTIFICATION DES BIENS ESSENTIELS ET BIENS SUPPORTS A PROTEGER ................................................ 8 3.3 IDENTIFICATION DE ZONES ....................................................................................................................... 8 3.4 NIVEAU DE SURETE ET TYPES DE MENACES ............................................................................................ 10 3.5 FLUX DE CIRCULATION DES INDIVIDUS................................................................................................... 10 3.6 IDENTIFICATION DES ACTEURS ............................................................................................................... 11 3.7 PROCESSUS ORGANISATIONNELS ............................................................................................................ 12 3.8 CONTINUITE DE SERVICE ........................................................................................................................ 12 3.9 INTERCONNEXIONS ................................................................................................................................ 12 3.10 BADGES MULTI-USAGES ......................................................................................................................... 12 3.11 CONTRAINTES REGLEMENTAIRES ........................................................................................................... 12 4 CHOIX DU SYSTEME .............................................................................................................................. 13 4.1 SECURITE DES ELEMENTS SUPPORTS ...................................................................................................... 13 4.1.1 Badges : niveaux de sûreté, résistance aux attaques logiques. ..................................................... 13 4.1.2 Têtes de lecture : protection des éléments chiffrés. ....................................................................... 14 4.1.3 Unités de traitement local : accès physique réservé, Secure Access Module et redondance. ....... 15 4.1.4 Liaisons filaires : dans le périmètre de sécurité. ........................................................................... 15 4.1.5 Réseau fédérateur : chiffrer les communications, protéger l’intégrité.......................................... 15 4.1.6 Serveur de gestion du système et postes de travail : un SI à part entière ...................................... 16 4.1.7 Logiciel de gestion du système : le point névralgique des systèmes de gestion d’accès physiques par technologie sans contact. ........................................................................................................................ 17 4.2 PRINCIPES CRYPTOGRAPHIQUES MIS EN CONTEXTE ................................................................................ 17 4.3 ARCHITECTURES .................................................................................................................................... 20 4.3.1 Architecture n°1, hautement recommandée .................................................................................. 20 4.3.2 Architecture n°2, acceptable ......................................................................................................... 21 4.3.3 Architecture n°3, déconseillée ....................................................................................................... 21 4.3.4 Architecture n°4, déconseillée ....................................................................................................... 22 5 SPECIFICATIONS ..................................................................................................................................... 23 6 INSTALLATION DU SYSTEME ............................................................................................................. 24 6.1 INTERCONNEXIONS AVEC D’AUTRES SYSTEMES ..................................................................................... 24 6.1.1 Interconnexion avec un système de gestion des ressources humaines .......................................... 24 6.1.2 Interconnexion avec le système de contrôle du temps de travail ................................................... 24 6.1.3 Interconnexion avec les systèmes d’alertes en cas de catastrophe ............................................... 24 6.1.4 Interconnexion avec les systèmes de surveillance vidéo ............................................................... 24 6.1.5 Contraintes règlementaires ........................................................................................................... 25 6.1.6 Certification des intervenants ....................................................................................................... 25 7 EXPLOITATION DU SYSTEME ............................................................................................................. 26 G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h y s i q u e s V e r s i o n d e t r a v a i l 1 . 0 1 9 n o v e m b r e 2 0 1 2 P a g e 3/45 7.1 GESTION DES DROITS ET DES BADGES D’ACCES ...................................................................................... 26 7.1.1 Accès génériques ........................................................................................................................... 26 7.1.2 Accès particuliers .......................................................................................................................... 26 7.1.3 Oubli, perte ou vol de badge ......................................................................................................... 27 7.2 SURVEILLANCE DES ACCES .................................................................................................................... 27 7.2.1 Analyse des journaux d’événements .............................................................................................. 27 7.2.2 Définition d’alertes spécifiques ..................................................................................................... 27 7.3 PROCEDURES D’EXPLOITATION PARTICULIERES ..................................................................................... 28 7.3.1 En cas de fonctionnement dégradé ................................................................................................ 28 7.3.2 En cas de crise ou d’incident grave .............................................................................................. 28 7.3.3 En cas d’alerte incendie ................................................................................................................ 29 7.4 MAINTENANCE ....................................................................................................................................... 29 7.4.1 Certification des intervenants ....................................................................................................... 29 7.4.2 Maintien en condition de sécurité ................................................................................................. 29 7.4.3 Télémaintenance............................................................................................................................ 30 ANNEXE 1 PROCESSUS D’AUTHENTIFICATION D’UNE CARTE ET DE TRANSMISSION SECURISEE DE L’IDENTIFIANT .................................................................................................................. 31 ANNEXE 2 SCHEMA GENERAL DE L’ARCHITECTURE D’UN SYSTEME DE CONTROLE DES ACCES PHYSIQUES MULTI-SITES .............................................................................................................. 32 ANNEXE 3 EXEMPLE DE PROCESSUS ORGANISATIONNEL ....................................................... 33 ANNEXE 4 SPECIFICATIONS DETAILLEES EN VUE D’UNE PASSATION DE MARCHE ........ 34 A4.1 TECHNOLOGIE UTILISEE ..................................................................................................................... 34 A4.2 BADGES ............................................................................................................................................. 34 A4.3 TETES DE LECTURE ............................................................................................................................ 35 A4.4 UTL ................................................................................................................................................... 35 A4.5 RESEAUX ET COMMUNICATIONS ........................................................................................................ 37 A4.6 PERFORMANCES ................................................................................................................................. 38 A4.7 RESILIENCE ........................................................................................................................................ 38 A4.8 HORODATAGE ET CONTROLE DES ACCES ............................................................................................ 39 A4.9 GESTION DES ALARMES ET EVENEMENTS ........................................................................................... 40 A4.10 STOCKAGE ET ARCHIVAGE ................................................................................................................. 41 A4.11 BIOMETRIE ......................................................................................................................................... 41 A4.12 INSTALLATION ................................................................................................................................... 41 A4.13 MAINTENANCE ................................................................................................................................... 42 ANNEXE 5 CONTRAINTES REGLEMENTAIRES ............................................................................... 43 A5.1 PROTECTION DES PERSONNES ............................................................................................................. 43 A5.2 NORME SIMPLIFIEE N°42 DE LA CNIL ................................................................................................ 43 A5.3 UTILISATION DE LA BIOMETRIE .......................................................................................................... 44 A5.4 IMPLICATION DES INSTANCES REPRESENTATIVES DU PERSONNEL ...................................................... 44 A5.5 PERSONNES A MOBILITE REDUITE ....................................................................................................... 44 A5.6 AUTRES .............................................................................................................................................. 44 G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h y s i q u e s V e r s i o n d e t r a v a i l 1 . 0 1 9 n o v e m b r e 2 0 1 2 P a g e 4/45 1 Introduction 1.1 Contexte Plusieurs failles de sécurité affectant les technologies sans contact sont avérées. Un groupe de travail interministériel, animé par l’Agence nationale de sécurité des systèmes d’information (ANSSI1) a évalué que les conséquences de ces failles étaient particulièrement préoccupantes lorsque les technologies sans contact étaient utilisées dans les systèmes de contrôle des accès physiques. Face à ce constat, l’Agence a estimé utile de publier un guide sur la sécurité des technologies sans- contact pour le contrôle des accès physiques. Ce guide explique en quoi les systèmes de contrôle d’accès doivent être considérés comme des systèmes d’information à part entière, relevant du périmètre de la Direction des Systèmes d’Information (DSI), où doivent s’appliquer les règles élémentaires de l’hygiène informatique. Ce guide se limite aux aspects d’architecture et de sécurité logique propres aux systèmes de contrôle d’accès utilisant des technologies sans contact. L’ANSSI s’est associée au CNPP2 - Centre national de prévention et de protection – pour mener une réflexion intégrant l’ensemble des éléments qui composent ces systèmes de contrôle. Ce guide est ainsi complémentaire du référentiel CNPP intitulé « APSAD D83 - Contrôle d’accès - Document technique pour la conception et l’installation », qui traite plus particulièrement des aspects physiques pour les différentes technologies de systèmes de contrôle des accès, tels que la résistance à l’effraction ou encore le contournement de l’obstacle. Les deux documents présentent en commun le Tableau 1 : Les quatre niveaux de sûreté, qui a été conçu en concertation. 1.2 Objectifs du guide Ce guide se veut une aide à la décision quant au choix d’un système de contrôle d’accès sans contact, et propose les bonnes pratiques à déployer pour sa mise en œuvre. Il fournit des recommandations permettant d’assurer la mise en place d’un système de contrôle d’accès reposant sur les technologies sans contact en conformité avec un niveau de sécurité satisfaisant. Ces recommandations s’appliquent aussi bien à des systèmes de contrôle d’accès « mono-sites », ou des systèmes « multi-sites », dont la gestion est centralisée. Pour les sites où des technologies sans contact sont déjà déployées, ce guide donne aux gestionnaires des éléments pour effectuer une vérification de leur niveau de sécurité et pour s’assurer que les bonnes pratiques sont appliquées. De plus, ce guide accompagne les choix d’évolution technologique en détaillant les recommandations à suivre pour que le niveau de sécurité global du uploads/Management/ securite-des-technologies-sans-contact-pour-le-controle-des-acces-physiques.pdf