[PDF] SECURITE DES TECHNOLOGIES SANS CONTACT POUR LE CONTROLE DES

SECURITE DES TECHNOLOGIES SANS CONTACT POUR LE CONTROLE DES

d’accès utilisant des technologies sans contact L’ANSSI s’est associée au CNPP2 - Centre national de prévention et de protection – pour mener une réflexion intégrant l’ensemble des éléments qui composent ces systèmes de contrôle

RECOMMANDATIONSSURLA SÉCURISATIONDESSYSTÈMESDE CONTRÔLED

2 4 Produitsqualifiésparl'ANSSI Laqualification[23]prononcéeparl’ANSSIpermetd’attesterd’uncertainniveaudesécuritéet deconfiancedanslesproduits 8 Ceprocessuspermetdes’assurernotammentquedesproduits

SÉCURITÉ DES SYSTÈMES DE CONTRÔLE D ACCÈS

Les architectures des systèmes de controle d’accès La mise en oeuvre des niveaux de sûreté II à IV nécessite l’utilisation d’une architecture en adéquation avec le niveau de protection requis En effet, de la même manière que les accès à des identifiants sont protégés par des clés, il faut sécuriser la diffusion et le stoc-

Formation ALWIN – Contrôle d’accès

LECTEUR TRANSPARENT CONFORME ANSSI DE CONTRÔLE D’ACCÈS

Guide de la CERTIFICATION ANSSI

L’ANSSI définit les règles applicables à ces mesures de protection renforcée et veille à leur strict respect Ces obligations s’appliquent en priorité aux Systèmes d’Information d’Importance Vitale (SIIV), dont un des volets porte sur les systèmes de contrôle d’accès Qu’est-ce que l’ANSSI Mission

PGSSI S Politique générale de sécurité des systèmes d

d’ensemble et vocabulaire [Réf n°8], définit l’imputabilité comme la « responsabilité d’une entité par rapport à ses actions et ses décisions » Au sein d’un système d’information, l’imputabilité vise : • à attribuer à chaque utilisateur ou à chaque machine l’intégralité des actions

A Critique of the ANSI Standard on Role Based Access Control

Abstract The American National Standard Institute (ANSI) Standard on Role-Based Access Control (RBAC) was approved in 2004 to fulfil “a need among government and industry purchasers of information

Rapport de certification ANSSI-CSPN-2018/19

Agence nationale de la sécurité des systèmes d’information Rapport de certification ANSSI-CSPN-2018/19 MICRO-SESAME Version V2018 1 2 25223 Paris, le 19 octobre 2018 Le directeur général de l’agence nationale de la sécurité des systèmes d’information Guillaume POUPARD [ORIGINAL SIGNE]

Access Control Standard Guidelines

USC Access Control Standard Guidelines Revised 05/04/09 -1- 1 PURPOSE 1 1 Document Intent Due to the complexity of access control systems and the variety of departments

[PDF] système de contrôle d'accès biométrique

[PDF] contrôle d'accès biométrique pdf

[PDF] référentiel apsad d83 pdf

[PDF] controle d'acces porte automatique

[PDF] système de contrôle d'accès par badge

[PDF] schema de cablage lecteur de badge

[PDF] epreuve commune 4eme histoire geographie

[PDF] devoir commun 4eme math

[PDF] brevet blanc 4eme histoire geo

[PDF] organisation manifestation sécurité 2017

[PDF] controle visuel des sacs

[PDF] manifestation publique reglementation

[PDF] organisation manifestation sécurité

[PDF] organisation d une manifestation par une association

[PDF] questionnaire sur christophe colomb

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s

V e r s i o n de

t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 1/45

PREMIER MINISTRE

Secrétariat Général de la Défense et la Sécurité Nationale GUIDE

SECURITE DES TECHNOLOGIES SANS-CONTACT POUR

LE CONTROLE DES ACCES PHYSIQUES

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s

V e r s i o n de

t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 2/45

Table des matières

1 INTRODUCTION ......................................................................................................................................... 4

1.1 CONTEXTE ............................................................................................................................................... 4

1.2 OBJECTIFS DU GUIDE ................................................................................................................................ 4

1.3 PUBLIC CIBLE ........................................................................................................................................... 4

2 FONDEMENTS DU CONTRO ........................................................................................... 6

2.1 DEFINITION .............................................................................................................................................. 6

2.2 LA PHASE DIDENTIFICATION ET DAUTHENTIFICATION ........................................................................... 6

2.3 TRAITEMENT DES DONNEES ..................................................................................................................... 7

2.4 VERROUILLAGE ET DEVERROUILLAGE ..................................................................................................... 7

3 EXPRESSION DE BESOINS ...................................................................................................................... 8

3.1 IDENTIFICATION DES SITES ....................................................................................................................... 8

3.2 IDENTIFICATION DES BIENS ESSENTIELS ET BIENS SUPPORTS A PROTEGER ................................................ 8

3.3 IDENTIFICATION DE ZONES ....................................................................................................................... 8

3.4 NIVEAU DE SURETE ET TYPES DE MENACES ............................................................................................ 10

3.5 FLUX DE CIRCULATION DES INDIVIDUS................................................................................................... 10

3.6 IDENTIFICATION DES ACTEURS ............................................................................................................... 11

3.7 PROCESSUS ORGANISATIONNELS ............................................................................................................ 12

3.8 CONTINUITE DE SERVICE ........................................................................................................................ 12

3.9 INTERCONNEXIONS ................................................................................................................................ 12

3.10 BADGES MULTI-USAGES ......................................................................................................................... 12

3.11 CONTRAINTES REGLEMENTAIRES ........................................................................................................... 12

4 CHOIX DU SYSTEME .............................................................................................................................. 13

4.1 SECURITE DES ELEMENTS SUPPORTS ...................................................................................................... 13

4.1.1 Badges : niveaux de sûreté, résistance aux attaques logiques. ..................................................... 13

4.1.2 Têtes de lecture : protection des éléments chiffrés. ....................................................................... 14

4.1.3 Unités de traitement local : accès physique réservé, Secure Access Module et redondance. ....... 15

4.1.4 Liaisons filaires : dans le périmètre de sécurité. ........................................................................... 15

4.1.5 Réseau fédérateur .......................................... 15

4.1.6 Serveur de gestion du système et postes de travail : un SI à part entière ...................................... 16

4.1.7 Logiciel de gestion du système : l

par technologie sans contact. ........................................................................................................................ 17

4.2 PRINCIPES CRYPTOGRAPHIQUES MIS EN CONTEXTE ................................................................................ 17

4.3 ARCHITECTURES .................................................................................................................................... 20

4.3.1 Architecture n°1, hautement recommandée .................................................................................. 20

4.3.2 Architecture n°2, acceptable ......................................................................................................... 21

4.3.3 Architecture n°3, déconseillée ....................................................................................................... 21

4.3.4 Architecture n°4, déconseillée ....................................................................................................... 22

5 SPECIFICATIONS ..................................................................................................................................... 23

6 INSTALLATION DU SYSTEME ............................................................................................................. 24

6.1 INTERCONNEXIONS AVEC DAUTRES SYSTEMES ..................................................................................... 24

6.1.1 Interconnexion avec un système de gestion des ressources humaines .......................................... 24

6.1.2 Interconnexion avec le système de contrôle du temps de travail ................................................... 24

6.1.3 ............................................... 24

6.1.4 Interconnexion avec les systèmes de surveillance vidéo ............................................................... 24

6.1.5 Contraintes règlementaires ........................................................................................................... 25

6.1.6 Certification des intervenants ....................................................................................................... 25

7 EXPLOITATION DU SYSTEME ............................................................................................................. 26

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s

V e r s i o n de

t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 3/45

7.1 GESTION DES DROITS ET DES BADGES DACCES ...................................................................................... 26

7.1.1 Accès génériques ........................................................................................................................... 26

7.1.2 Accès particuliers .......................................................................................................................... 26

7.1.3 Oubli, perte ou vol de badge ......................................................................................................... 27

7.2 SURVEILLANCE DES ACCES .................................................................................................................... 27

7.2.1 .............................................................................................. 27

7.2.2 ..................................................................................................... 27

7.3 PROCEDURES DEXPLOITATION PARTICULIERES ..................................................................................... 28

7.3.1 En cas de fonctionnement dégradé ................................................................................................ 28

7.3.2 .............................................................................................. 28

7.3.3 ................................................................................................................ 29

7.4 MAINTENANCE ....................................................................................................................................... 29

7.4.1 Certification des intervenants ....................................................................................................... 29

7.4.2 Maintien en condition de sécurité ................................................................................................. 29

7.4.3 Télémaintenance............................................................................................................................ 30

IFIANT .................................................................................................................. 31

ACCES PHYSIQUES MULTI-SITES .............................................................................................................. 32

ANNEXE 3 EXEMPLE DE PROCESSUS ORGANISATIONNEL ....................................................... 33

ANNEXE 4 SPECIFICATIONS DETAIASSATION DE MARCHE ........ 34

A4.1 TECHNOLOGIE UTILISEE ..................................................................................................................... 34

A4.2 BADGES ............................................................................................................................................. 34

A4.3 TETES DE LECTURE ............................................................................................................................ 35

A4.4 UTL ................................................................................................................................................... 35

A4.5 RESEAUX ET COMMUNICATIONS ........................................................................................................ 37

A4.6 PERFORMANCES ................................................................................................................................. 38

A4.7 RESILIENCE ........................................................................................................................................ 38

A4.8 HORODATAGE ET CONTROLE DES ACCES ............................................................................................ 39

A4.9 GESTION DES ALARMES ET EVENEMENTS ........................................................................................... 40

A4.10 STOCKAGE ET ARCHIVAGE ................................................................................................................. 41

A4.11 BIOMETRIE ......................................................................................................................................... 41

A4.12 INSTALLATION ................................................................................................................................... 41

A4.13 MAINTENANCE ................................................................................................................................... 42

ANNEXE 5 CONTRAINTES REGLEMENTAIRES ............................................................................... 43

A5.1 PROTECTION DES PERSONNES ............................................................................................................. 43

A5.2 NORME SIMPLIFIEE N°42 DE LA CNIL ................................................................................................ 43

A5.3 UTILISATION DE LA BIOMETRIE .......................................................................................................... 44

A5.4 IMPLICATION DES INSTANCES REPRESENTATIVES DU PERSONNEL ...................................................... 44

A5.5 PERSONNES A MOBILITE REDUITE ....................................................................................................... 44

A5.6 AUTRES .............................................................................................................................................. 44

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s

V e r s i o n de

t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 4/45

1 Introduction

1.1 Contexte

Plusieurs failles de sécurité affectant les technologies sans contact sont avérées. Un groupe de travail

1) a

évalué que les conséquences de ces failles étaient particulièrement préoccupantes lorsque les

technologies sans contact étaient utilisées dans les systèmes de contrôle des accès physiques.

Face à ce Agence a estimé utile de publier un guide sur la sécurité des technologies sans-

contact pour le contrôle des accès physiques. Ce guide explique en quoi les systèmes de contrôle

doivent relevant du

éléiène informatique.

propres aux systèmes de contrôle de prévention et de protection pou des éléments qui composent ces systèmes de contrôle. Ce guide est ainsi complémentaire du référentiel CNPP intitulé " APSAD D83 - - », qui traite plus particulièrement des aspects

physiques pour les différentes technologies de systèmes de contrôle des accès, tels que la résistance

Les deux documents présentent en commun le

Tableau 1 : Les quatre niveaux de sûreté, qui a été conçu en concertation.

1.2 Objectifs du guide

Ce guide se veut une aide à la décision quant au contact, et propose les bonnes pratiques à déployer

Il fournit des

appliquent aussi bien " mono-sites », ou des systèmes " multi-sites », dont la gestion est centralisée.

Pour les sites où des technologies sans contact sont déjà déployées, ce guide donne aux

gestionnaires des éléments pour effectuer une vérification de leur niveau de sécurité et pour

que les bonnes pratiques sont appliquées.

De plus, les recommandations

à suivre pour que le niveau de sécurité global du site soit cohérent avec le niveau de sécurité de la

technologie utilisée. cependant pas non plus vocation à servir de cible de sécurité pour les produit

1.3 Public cible

sans contact, que ce soit dans une entreprise privée ou un organisme public ; ƒ aux acheteurs, qui pourront imposer les exigences détaillées en chapitre 5 afin de les rendre contraignantes pour le fournisseur ;

ƒ aux installateurs ou intégrateurs, qui pourront tenir compte du contenu de ce guide afin de

proposer des services adaptés ; -dessous permet

1 : http://www.ssi.gouv.fr 2 Centre national de prévention et de protection http://www.cnpp.com

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s

V e r s i o n de

t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 5/45

Acteurs Chapitres recommandés

Chef de projet

Personnes en charge de

système de contrôle

Chapitre 2 : Fondements du contrôle

Chapitre 3 : Expression de besoins

Chapitre 4 : Choix du système

Acheteurs

Chapitre 5 : Spécifications

Installateurs

Intégrateurs

Chapitre 2 : Fondements du contrôle

Chapitre 4 : Choix du système

Chapitre 5 : Spécifications

Chapitre 6 : Installation du système

Exploitants

Chapitre 7 : Exploitation du système

G u i d e s u r l a s é c u r i t é d e s t e c h n o l o g i e s s a n s c o n t a c t p o u r l e c o n t r ô l e d e s a c c è s p h ys i q u e s

V e r s i o n de

t r a v a i l 1.0 1 9 n o v e m b r e 2 012 P a g e 6/45 2

2.1 Définition

Un système de contrôle des accès physiques est un dispositif ayant pour objectif de filtrer les flux

Un système de contrôlure trois fonctions primaires :

ƒ le traitement des données3 ;

ƒ le déverrouillage.

t des technologies sans contact, quatre éléments support principaux interviennent :

ƒ le badge (ou support similaire)4 ;

ƒ le lecteur (tête de lecture) ;

traitement et de contrôle) ; ƒ le serveur de gestion du système présenté en 4.1.6.

En outre, il convient de prendre en considération la sécurité des liaisons filaires entre les éléments,

ainsi que la sécurité du serveur de gestion du système de quotesdbs_dbs15.pdfusesText_21