SECURITE DES TECHNOLOGIES SANS CONTACT POUR LE CONTROLE DES
d’accès utilisant des technologies sans contact L’ANSSI s’est associée au CNPP2 - Centre national de prévention et de protection – pour mener une réflexion intégrant l’ensemble des éléments qui composent ces systèmes de contrôle
RECOMMANDATIONSSURLA SÉCURISATIONDESSYSTÈMESDE CONTRÔLED
2 4 Produitsqualifiésparl'ANSSI Laqualification[23]prononcéeparl’ANSSIpermetd’attesterd’uncertainniveaudesécuritéet deconfiancedanslesproduits 8 Ceprocessuspermetdes’assurernotammentquedesproduits
SÉCURITÉ DES SYSTÈMES DE CONTRÔLE D ACCÈS
Les architectures des systèmes de controle d’accès La mise en oeuvre des niveaux de sûreté II à IV nécessite l’utilisation d’une architecture en adéquation avec le niveau de protection requis En effet, de la même manière que les accès à des identifiants sont protégés par des clés, il faut sécuriser la diffusion et le stoc-
Guide de la CERTIFICATION ANSSI
L’ANSSI définit les règles applicables à ces mesures de protection renforcée et veille à leur strict respect Ces obligations s’appliquent en priorité aux Systèmes d’Information d’Importance Vitale (SIIV), dont un des volets porte sur les systèmes de contrôle d’accès Qu’est-ce que l’ANSSI Mission
PGSSI S Politique générale de sécurité des systèmes d
d’ensemble et vocabulaire [Réf n°8], définit l’imputabilité comme la « responsabilité d’une entité par rapport à ses actions et ses décisions » Au sein d’un système d’information, l’imputabilité vise : • à attribuer à chaque utilisateur ou à chaque machine l’intégralité des actions
A Critique of the ANSI Standard on Role Based Access Control
Abstract The American National Standard Institute (ANSI) Standard on Role-Based Access Control (RBAC) was approved in 2004 to fulfil “a need among government and industry purchasers of information
Rapport de certification ANSSI-CSPN-2018/19
Agence nationale de la sécurité des systèmes d’information Rapport de certification ANSSI-CSPN-2018/19 MICRO-SESAME Version V2018 1 2 25223 Paris, le 19 octobre 2018 Le directeur général de l’agence nationale de la sécurité des systèmes d’information Guillaume POUPARD [ORIGINAL SIGNE]
Access Control Standard Guidelines
USC Access Control Standard Guidelines Revised 05/04/09 -1- 1 PURPOSE 1 1 Document Intent Due to the complexity of access control systems and the variety of departments
[PDF] contrôle d'accès biométrique pdf
[PDF] référentiel apsad d83 pdf
[PDF] controle d'acces porte automatique
[PDF] système de contrôle d'accès par badge
[PDF] schema de cablage lecteur de badge
[PDF] epreuve commune 4eme histoire geographie
[PDF] devoir commun 4eme math
[PDF] brevet blanc 4eme histoire geo
[PDF] organisation manifestation sécurité 2017
[PDF] controle visuel des sacs
[PDF] manifestation publique reglementation
[PDF] organisation manifestation sécurité
[PDF] organisation d une manifestation par une association
[PDF] questionnaire sur christophe colomb
G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s
V e r s i o n de
t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 1/45PREMIER MINISTRE
Secrétariat Général de la Défense et la Sécurité Nationale GUIDESECURITE DES TECHNOLOGIES SANS-CONTACT POUR
LE CONTROLE DES ACCES PHYSIQUES
G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s
V e r s i o n de
t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 2/45Table des matières
1 INTRODUCTION ......................................................................................................................................... 4
1.1 CONTEXTE ............................................................................................................................................... 4
1.2 OBJECTIFS DU GUIDE ................................................................................................................................ 4
1.3 PUBLIC CIBLE ........................................................................................................................................... 4
2 FONDEMENTS DU CONTRO ........................................................................................... 6
2.1 DEFINITION .............................................................................................................................................. 6
2.2 LA PHASE DIDENTIFICATION ET DAUTHENTIFICATION ........................................................................... 6
2.3 TRAITEMENT DES DONNEES ..................................................................................................................... 7
2.4 VERROUILLAGE ET DEVERROUILLAGE ..................................................................................................... 7
3 EXPRESSION DE BESOINS ...................................................................................................................... 8
3.1 IDENTIFICATION DES SITES ....................................................................................................................... 8
3.2 IDENTIFICATION DES BIENS ESSENTIELS ET BIENS SUPPORTS A PROTEGER ................................................ 8
3.3 IDENTIFICATION DE ZONES ....................................................................................................................... 8
3.4 NIVEAU DE SURETE ET TYPES DE MENACES ............................................................................................ 10
3.5 FLUX DE CIRCULATION DES INDIVIDUS................................................................................................... 10
3.6 IDENTIFICATION DES ACTEURS ............................................................................................................... 11
3.7 PROCESSUS ORGANISATIONNELS ............................................................................................................ 12
3.8 CONTINUITE DE SERVICE ........................................................................................................................ 12
3.9 INTERCONNEXIONS ................................................................................................................................ 12
3.10 BADGES MULTI-USAGES ......................................................................................................................... 12
3.11 CONTRAINTES REGLEMENTAIRES ........................................................................................................... 12
4 CHOIX DU SYSTEME .............................................................................................................................. 13
4.1 SECURITE DES ELEMENTS SUPPORTS ...................................................................................................... 13
4.1.1 Badges : niveaux de sûreté, résistance aux attaques logiques. ..................................................... 13
4.1.2 Têtes de lecture : protection des éléments chiffrés. ....................................................................... 14
4.1.3 Unités de traitement local : accès physique réservé, Secure Access Module et redondance. ....... 15
4.1.4 Liaisons filaires : dans le périmètre de sécurité. ........................................................................... 15
4.1.5 Réseau fédérateur .......................................... 15
4.1.6 Serveur de gestion du système et postes de travail : un SI à part entière ...................................... 16
4.1.7 Logiciel de gestion du système : l
par technologie sans contact. ........................................................................................................................ 17
4.2 PRINCIPES CRYPTOGRAPHIQUES MIS EN CONTEXTE ................................................................................ 17
4.3 ARCHITECTURES .................................................................................................................................... 20
4.3.1 Architecture n°1, hautement recommandée .................................................................................. 20
4.3.2 Architecture n°2, acceptable ......................................................................................................... 21
4.3.3 Architecture n°3, déconseillée ....................................................................................................... 21
4.3.4 Architecture n°4, déconseillée ....................................................................................................... 22
5 SPECIFICATIONS ..................................................................................................................................... 23
6 INSTALLATION DU SYSTEME ............................................................................................................. 24
6.1 INTERCONNEXIONS AVEC DAUTRES SYSTEMES ..................................................................................... 24
6.1.1 Interconnexion avec un système de gestion des ressources humaines .......................................... 24
6.1.2 Interconnexion avec le système de contrôle du temps de travail ................................................... 24
6.1.3 ............................................... 24
6.1.4 Interconnexion avec les systèmes de surveillance vidéo ............................................................... 24
6.1.5 Contraintes règlementaires ........................................................................................................... 25
6.1.6 Certification des intervenants ....................................................................................................... 25
7 EXPLOITATION DU SYSTEME ............................................................................................................. 26
G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s
V e r s i o n de
t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 3/457.1 GESTION DES DROITS ET DES BADGES DACCES ...................................................................................... 26
7.1.1 Accès génériques ........................................................................................................................... 26
7.1.2 Accès particuliers .......................................................................................................................... 26
7.1.3 Oubli, perte ou vol de badge ......................................................................................................... 27
7.2 SURVEILLANCE DES ACCES .................................................................................................................... 27
7.2.1 .............................................................................................. 27
7.2.2 ..................................................................................................... 27
7.3 PROCEDURES DEXPLOITATION PARTICULIERES ..................................................................................... 28
7.3.1 En cas de fonctionnement dégradé ................................................................................................ 28
7.3.2 .............................................................................................. 28
7.3.3 ................................................................................................................ 29
7.4 MAINTENANCE ....................................................................................................................................... 29
7.4.1 Certification des intervenants ....................................................................................................... 29
7.4.2 Maintien en condition de sécurité ................................................................................................. 29
7.4.3 Télémaintenance............................................................................................................................ 30
IFIANT .................................................................................................................. 31
ACCES PHYSIQUES MULTI-SITES .............................................................................................................. 32
ANNEXE 3 EXEMPLE DE PROCESSUS ORGANISATIONNEL ....................................................... 33
ANNEXE 4 SPECIFICATIONS DETAIASSATION DE MARCHE ........ 34A4.1 TECHNOLOGIE UTILISEE ..................................................................................................................... 34
A4.2 BADGES ............................................................................................................................................. 34
A4.3 TETES DE LECTURE ............................................................................................................................ 35
A4.4 UTL ................................................................................................................................................... 35
A4.5 RESEAUX ET COMMUNICATIONS ........................................................................................................ 37
A4.6 PERFORMANCES ................................................................................................................................. 38
A4.7 RESILIENCE ........................................................................................................................................ 38
A4.8 HORODATAGE ET CONTROLE DES ACCES ............................................................................................ 39
A4.9 GESTION DES ALARMES ET EVENEMENTS ........................................................................................... 40
A4.10 STOCKAGE ET ARCHIVAGE ................................................................................................................. 41
A4.11 BIOMETRIE ......................................................................................................................................... 41
A4.12 INSTALLATION ................................................................................................................................... 41
A4.13 MAINTENANCE ................................................................................................................................... 42
ANNEXE 5 CONTRAINTES REGLEMENTAIRES ............................................................................... 43
A5.1 PROTECTION DES PERSONNES ............................................................................................................. 43
A5.2 NORME SIMPLIFIEE N°42 DE LA CNIL ................................................................................................ 43
A5.3 UTILISATION DE LA BIOMETRIE .......................................................................................................... 44
A5.4 IMPLICATION DES INSTANCES REPRESENTATIVES DU PERSONNEL ...................................................... 44
A5.5 PERSONNES A MOBILITE REDUITE ....................................................................................................... 44
A5.6 AUTRES .............................................................................................................................................. 44
G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s
V e r s i o n de
t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 4/451 Introduction
1.1 Contexte
Plusieurs failles de sécurité affectant les technologies sans contact sont avérées. Un groupe de travail
1) aévalué que les conséquences de ces failles étaient particulièrement préoccupantes lorsque les
technologies sans contact étaient utilisées dans les systèmes de contrôle des accès physiques.
Face à ce Agence a estimé utile de publier un guide sur la sécurité des technologies sans-
contact pour le contrôle des accès physiques. Ce guide explique en quoi les systèmes de contrôle
doivent relevant duéléiène informatique.
propres aux systèmes de contrôle de prévention et de protection pou des éléments qui composent ces systèmes de contrôle. Ce guide est ainsi complémentaire du référentiel CNPP intitulé " APSAD D83 - - », qui traite plus particulièrement des aspectsphysiques pour les différentes technologies de systèmes de contrôle des accès, tels que la résistance
Les deux documents présentent en commun le
Tableau 1 : Les quatre niveaux de sûreté, qui a été conçu en concertation.1.2 Objectifs du guide
Ce guide se veut une aide à la décision quant au contact, et propose les bonnes pratiques à déployerIl fournit des
appliquent aussi bien " mono-sites », ou des systèmes " multi-sites », dont la gestion est centralisée.Pour les sites où des technologies sans contact sont déjà déployées, ce guide donne aux
gestionnaires des éléments pour effectuer une vérification de leur niveau de sécurité et pour
que les bonnes pratiques sont appliquées.De plus, les recommandations
à suivre pour que le niveau de sécurité global du site soit cohérent avec le niveau de sécurité de la
technologie utilisée. cependant pas non plus vocation à servir de cible de sécurité pour les produit1.3 Public cible
sans contact, que ce soit dans une entreprise privée ou un organisme public ; aux acheteurs, qui pourront imposer les exigences détaillées en chapitre 5 afin de les rendre contraignantes pour le fournisseur ; aux installateurs ou intégrateurs, qui pourront tenir compte du contenu de ce guide afin de
proposer des services adaptés ; -dessous permet1 : http://www.ssi.gouv.fr 2 Centre national de prévention et de protection http://www.cnpp.com
G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s
V e r s i o n de
t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 5/45Acteurs Chapitres recommandés
Chef de projet
Personnes en charge de
système de contrôleChapitre 2 : Fondements du contrôle
Chapitre 3 : Expression de besoins
Chapitre 4 : Choix du système
Acheteurs
Chapitre 5 : Spécifications
Installateurs
Intégrateurs
Chapitre 2 : Fondements du contrôle
Chapitre 4 : Choix du système
Chapitre 5 : Spécifications
Chapitre 6 : Installation du système
Exploitants
Chapitre 7 : Exploitation du système
G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s
V e r s i o n de
t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 6/45 22.1 Définition
Un système de contrôle des accès physiques est un dispositif ayant pour objectif de filtrer les flux
Un système de contrôlure trois fonctions primaires : le traitement des données3 ;
le déverrouillage.
t des technologies sans contact, quatre éléments support principaux interviennent : le badge (ou support similaire)4 ;
le lecteur (tête de lecture) ;
traitement et de contrôle) ; le serveur de gestion du système présenté en 4.1.6.En outre, il convient de prendre en considération la sécurité des liaisons filaires entre les éléments,
ainsi que la sécurité du serveur de gestion du système de quotesdbs_dbs15.pdfusesText_21