Briser les mythes de la cybersécurité des systèmes de contrôle d’accès

Les dispositifs d’accès mobiles, de cartes à puces ou autres serrures électroniques sont souvent perçus comme étant plus vulnérables aux attaques que les anciens systèmes… Alors qu’avec les bonnes technologies et les bonnes procédures, ils sont en réalité incroyablement plus fiables. Certains mythes du contrôle d’accès méritent d’être brisés.

Mythe n°1 : les identifiants mobiles ne sont pas sécurisés

Les identifiants mobiles permettent aux titulaires de carte d’accéder à des portes ou des zones restreintes grâce à leur téléphone portable, qui communique alors les identifiants d’accès au système via Bluetooth ou NFC. Le Bluetooth n’est pas réputé pour être sécurisé, la principale croyance étant qu’il rend l’entreprise plus vulnérable aux attaques par skimming.

Bien sûr, il est important de s’intéresser aux communications lorsque l’on déploie un système d’identification mobile. Mais toutes les inquiétudes ne doivent pas se concentrer sur le Bluetooth, qui n’est que le canal par lequel les informations sont transmises. Dire que le Bluetooth n’est pas sécurisé revient à suggérer que l’Internet n’est pas sécurisé. Dans les deux cas, la sécurité de vos communications dépend avant tout des technologies, protocoles et protections mis en place.

Les utilisateurs devraient plutôt s’interroger sur la sécurité des dispositifs utilisés. Avant de déployer des identifiants mobiles, demandez à votre fournisseur comment l’identifiant est généré, stocké et sécurisé sur le terminal, comment ce dernier communique avec le lecteur, et comment le lecteur accède en toute sécurité aux informations d’identification.

---

Mythe n°2 : toutes les cartes à puce se valent en termes de sécurité

La question de la sécurité des cartes à puce est très sérieuse. Et la réponse peut résider dans la façon dont elles sont conçues. Par exemple, si des cartes à puce plus anciennes comme « Mifare Classic » et « Hid iclass classic » offrent un meilleur cryptage que les badges de proximité et les cartes magnétiques, elles ont aussi déjà été compromises. L’utilisation de ces anciennes technologies peut rendre votre entreprise vulnérable.

Lorsque vous déployez une technologie de cartes à puce à des fins de contrôle d’accès, vous devez choisir la dernière génération, comme « Mifare Desfire ev1 » – ou ev2 – et « Hid iclass seos ». De cette manière, vous protégerez votre système ainsi que vos bâtiments ou installations.

Certains lecteurs et contrôleurs traditionnels peuvent également présenter un risque pour votre entreprise s’ils utilisent le protocole Wiegand, qui n’offre aucune sécurité. Vous pourriez passer à un protocole plus sécurisé comme Osdp v2, mais gardez en tête que les serrures électroniques sont aussi une alternative très sécurisée qui mérite d’être envisagée.

Il est également important de comprendre que tous les lecteurs ne sont pas compatibles avec tous les types de cartes à puce. Votre système pourrait alors ne pas être sécurisé, car votre lecteur ne serait pas en mesure de lire les informations d’identification. Il se contenterait de lire la partie non sécurisée de la carte à puce – son numéro de série –, accessible à tous. Si certains fabricants suggèrent que c’est un avantage car leurs lecteurs peuvent fonctionner avec n’importe quelle carte à puce, ils mettront en réalité votre système et vos locaux en danger.

---

Mythe n°3 : les serrures électroniques sont plus vulnérables

De nos jours, nombreux sont ceux qui pensent encore que les serrures électroniques, en particulier les serrures sans fil, sont plus vulnérables aux activités cybercriminelles que les lecteurs et contrôleurs traditionnels. Notamment parce que les serrures électroniques peuvent permettre aux cybercriminels de se frayer un chemin jusqu’à votre réseau et vos données, et d’intercepter des commandes qui leur permettraient d’accéder à vos bâtiments ou installations.

En réalité, l’utilisation de serrures électroniques peut contribuer à protéger les installations et les réseaux grâce à divers protocoles de sécurité. Notamment le cryptage et l’authentification. En outre, comme bon nombre de ces serrures restent opérationnelles quel que soit l’état du réseau, elles permettent de surveiller les portes en temps réel et de tenir également les opérateurs informés de leur état à tout moment. Cela même si un réseau tombe en panne.

Lorsqu’il s’agit de déployer des serrures électroniques, il est important de se rappeler que, comme tout dispositif de votre réseau, elles doivent être dotées de dispositifs de sécurité intégrés qui vous permettront de protéger :

• vos informations ;

• vos salariés et visiteurs ;

• et vos installations.

En fin de compte, les informations contenues dans votre système de contrôle d’accès ne présentent pas plus de risques que toute autre information transmise sur le réseau. Il suffit d’être intelligent dans la manière de connecter, transmettre et stocker les données.

Conserver d’anciennes technologies n’est pas une solution. Les technologies dépassées et les vieux systèmes analogiques sont plus vulnérables aux attaques. Les nouvelles technologies, acquises auprès de fournisseurs de confiance et basées sur les meilleures pratiques du secteur, permettent quant à elles de tirer pleinement parti de tout ce que l’interconnexion des dispositifs et des systèmes peut offrir… En toute sécurité.