Projet de contrôle d’accès : anticiper l’administration du système
Pour choisir la solution correspondant aux besoins opérationnels de l’entreprise, il faut imaginer la vie du système. Voici, pour le responsable sécurité, une série de questions à se poser en amont et de pièges à éviter.
- Ne pas confondre administrateurs et usagers du système. Le responsable sécurité est un administrateur du système de contrôle d’accès. Les ressources humaines peuvent aussi l’être, tout comme l’agent de sécurité ou d’accueil. Il faut prévoir leur utilisation du système, leur action sur la base de données. À chaque administrateur correspond une session, des droits, la possibilité ou non de créer une fiche, de déléguer des droits… Certains privilèges peuvent être limités dans le temps ou obtenu uniquement après délégation (révocable, si besoin).
- Les prestataires extérieurs. Ils doivent avoir des droits limités sur le système. Si l’agent de sécurité appartient à une entreprise prestataire, il faut prévoir que les identifiants et les codes d’accès soient partagés. Est-ce acceptable avec le niveau de sécurité envisagé ?
- Le logiciel. Il faut se questionner sur le coût des licences, la limitation de création de badges ou d’utilisateurs… et vérifier la compatibilité des architectures et les ouvertures vers d’autres logiciels ou d’autres serveurs. Créer des liens vers d’autres bases de données ou vers d’autres serveurs peut créer une faille dans la sécurité du système. Il est conseillé de bien étudier l’implémentation avec le RSSI et le DSI.
- La base de données. Sur les gros systèmes à base de données centralisée, il est important de s’assurer que le contrôle d’accès local puisse être autonome en cas de coupure (réseau ou alimentation). Il faut aussi se demander qui saisit et donne les droits dans la base ? Combien de temps cela prendra-t-il ?
- Enrôlement (inscription dans la base). Lorsqu’un usager est entré pour la première fois dans la base, doit-il fournir une photo ? Doit-il être pris en photo ? Qui est en charge de l’enrôlement ? Qu’est-ce qui est recueilli (photo, empreinte, frappe de clavier) ? Que se passe-t-il si le salarié refuse l’enrôlement ? Comment vérifie-t-on que l’enrôlement est effectif ? À quel moment les différents lecteurs auront-ils pris en compte le nouvel usager dans la base de données ?
- Sortie définitive. Il faut connaître également les intervalles de réplication et de rafraîchissement des bases. La sortie définitive de la base de données doit être envisagée. Si un intérimaire termine sa mission à 12 h, peut-il accéder aux locaux à 14 h ? Le rythme de rafraîchissement doit correspondre aux contraintes d’exploitation. Un salarié quitte définitivement l’entreprise, son badge est désactivé et rendu. À qui ? Doit-on supprimer sa fiche de la base de données ? Une copie doit-elle être conservée ?
- Les régulateurs. Qu’il s’agisse de la Cnil, des pouvoirs publics, de l’Inspection du travail, des secours, le système doit être en conformité avec la réglementation et, au-delà, avec les bonnes pratiques.
- Perte et oubli. Que se passe-t-il si un salarié perd son badge ? S’il perd souvent son badge, faut-il prévoir une sanction ou bien le paiement du badge au bout d’un certain nombre d’oublis ? Des procédures doivent avoir été mises en place sur ce sujet.
- Sécurité incendie. Il faut s’assurer que les matériels retenus (portique, tourniquet, etc.) sont bien compatibles et certifiés pour l’utilisation prévue dans l’établissement (s’agit-il de DAS – dispositif actionné de sécurité ?). Il serait dommage de mettre un portique sécurisé et d’ajouter sur le côté une simple porte avec une barre anti-panique pour respecter le règlement ERP.
- Sécurité mécanique. Le matériel doit être adapté au nombre de passages et l’entretien et la maintenance prévus en conséquence.
- Performance. Mettre en place des indicateurs de suivi (critères de temps d’accès, volume de passages, défaillances, taux de faux rejet, taux de fausses erreurs…) permettra, en lien avec l’installateur et le constructeur, d’améliorer l’efficacité du système. Ces statistiques pourront également être présentées à la direction comme preuve d’efficacité et servir de comparatif, si par exemple une nouvelle installation est nécessaire. L’objectif aussi est d’être vigilant à la fréquence des tâches répétitives et des dysfonctionnements. Il faut par exemple pouvoir gérer les pics, l’accueil des nouveaux arrivants, sans retarder la prise de poste.
- Maintenance. Il est conseillé de faire mentionner au contrat de maintenance la fréquence des visites de vérification périodique, la nature des opérations effectuées et le délai maximal d’intervention en cas de panne ou de dérangement. Certaines opérations de vérifications et d’entretien doivent être prises en charge directement par les services d’entretien de l’exploitant. Il s’agit, par exemple, de prévoir la possibilité de remplacer quotidiennement les éléments du système de contrôle d’accès qui ont un fort taux d’usure (réserve de pièces détachées, notamment pour les mécanismes de verrouillage, les ferme-portes automatiques, les badges, etc.).
Article extrait du n° 590 de Face au Risque : « Contrôle d’accès, mener son projet » (mars 2023).
Gaëlle Carcaly – Journaliste
Les plus lus…
L’arrêté du 12 novembre 2025 modifie l’arrêté du 4 octobre 2010 relatif à la prévention des risques accidentels au sein…
-
La cause d’un sinistre incendie ou d’une explosion se situe au cœur des échanges entre les experts d’assurance représentant les…
-
C’est une première à l’échelle européenne : la directive (UE) 2025/2360 sur la surveillance des sols fixe un cadre pour…
-
Association loi 1901 depuis 1979, Gesip est composé d’industriels français et étrangers qui œuvrent à la promotion et progression…
-
Le 3 décembre 1990 à 23 h 50, à Chavanay, un petit village de 2 000 habitants dans la Loire,…
-
Les tours du « 38 La Viste », bâties dans les années 60 et situées dans les quartiers nord…
