Une passerelle entre deux mondes
Avant, le monde physique et le monde virtuel ne pouvaient pas être plus éloignés l’un de l’autre sur les questions de sécurité. Vous entriez dans un bâtiment en utilisant un élément physique, comme une clé ou une carte d’accès, et vous vous connectiez sur votre ordinateur à l’aide de vos noms d’utilisateur et mot de passe – sans aucun lien entre les deux actions. Mais tout a commencé à changer.
Les lecteurs de carte d’ordinateurs sont devenus très abordables et de plus en plus de PC intègrent désormais des lecteurs de cartes à puce. Ainsi, le personnel d’une entreprise peut désormais accéder aux bureaux et se connecter aux PC avec une seule et même carte à puce, tandis qu’une base de données centrale vérifie les identités et droits d’accès.
Bien que l’adoption de la convergence de sécurité n’en soit qu’à ses prémisses, la tendance pourrait transformer la façon dont les entreprises gèrent leur sécurité, tout en offrant des niveaux accrus de protection et d’efficacité, ainsi que de nouvelles applications fascinantes. Comme le note Derek Brink, Directeur de Recherche Sécurité IT du Groupe Aberdeen : « La convergence peut aider les sociétés à avoir une vision plus globale des risques. Elles ne devraient pas considérer le risque logique et le risque physique dans des silos indépendants mais plutôt s’intéresser à la gestion globale des risques pour l’organisation. Selon moi, c’est là le véritable enjeu. »
La rencontre de plusieurs disciplines
Unifier deux secteurs traditionnellement distincts n’est pas une tâche aisée et cela ne s’est certainement pas fait en une seule nuit. La sécurité physique et la sécurité des informations étaient habituellement du ressort de différents types de fournisseurs et différents services au sein des entreprises clientes. En outre, les produits de sécurité physique étaient souvent basés sur des technologies propriétaire qui rendaient les mises à niveau difficiles. Selon M. Brink, chercheur chez Aberdeen : « Nous avons vu une forte opposition aux projets ‘rip and replace’ (annuler et remplacer) », souvent indispensables aux infrastructures plus anciennes pour atteindre la convergence.
Pourtant, quand les principaux composants de sécurité physique sont devenus numériques, des caméras aux contrôleurs en passant par les cartes d’accès, l’application des normes IP s’est imposée comme une étape naturelle. « Le point de départ de cette convergence a véritablement été l’entrée des cartes à puce sans contact dans le segment du contrôle d’accès, côté sécurité physique », explique Holly Sacks, Vice-Présidente Senior du Marketing et la Stratégie Mondiale chez HID Global, fournisseur de solutions d’identité sécurisées. Comme les données stockées sur ces cartes peuvent aussi être utilisées par les systèmes informatiques, facilement et pour une variété d’applications, elles ont permis des scénarios de transaction numérique et d’accès fascinants avec une seule et même carte pour les clients.
Le gouvernement américain a lui aussi joué un rôle important en encourageant le développement de la convergence de sécurité. En 2004, le Président George Bush émet la directive HSPD-12 relative à la sécurité intérieure, qui rend obligatoire la présence d’un seul et même système de sécurité unifié pour les bâtiments et les systèmes fédéraux. La première mesure, instaurée à l’automne dernier, a consisté à remettre aux employés fédéraux et au personnel sous-traitant des cartes à puce d’identification compatibles avec les systèmes de sécurité à la fois physique et virtuelle. Bien que ces cartes d’identification ne soient pas encore très largement utilisées, « La directive HSPD-12 a été fantastique car elle nous a donné un cadre », note Mme. Sacks. Elle a en effet offert aux fournisseurs un modèle facile à suivre pour créer de nouveaux produits.
Nouvelles applications, nouveaux avantages
Tandis que la confiance grandit, des solutions plus rentables et plus faciles à déployer émergent, incitant de plus en plus de sociétés à suivre cette voie. « Les choix sont devenus plus larges », confirme Mme Sacks. Par exemple, HID s’est associé avec Dell Computer pour concevoir des lecteurs compatibles avec les cartes à puce iCLASS d’HID dans certains ordinateurs portables Dell Latitude. Les utilisateurs peuvent ainsi utiliser une seule et même carte pour l’accès au bâtiment et au réseau et les entreprises peuvent déployer rapidement une solution presque prête à l’emploi. Comme le fait remarquer Mme Sacks : « C’est abordable, accessible et simple d’utilisation. »
Ces nouvelles solutions procurent un confort indéniable aux utilisateurs et ce n’est que le début. Selon Mme Sacks, d’autres applications potentielles comprennent des systèmes en mesure de contrôler si un employé est entré dans le bureau et de refuser un accès VPN (réseau privé virtuel) si l’employé se trouve sur site. Il est en outre possible de définir un accès sécurisé sur-mesure, basé sur les fonctions des employés. Ainsi un employé pourra seulement accéder à des parties spécifiques d’un bâtiment et à des applications spécifiques sur le réseau de la société, en fonction de son profil entré dans la base de données centrale. Sinon, des systèmes « verts » peuvent allumer l’éclairage et la climatisation aux étages auxquels les employés alors présents dans le bâtiment ont besoin d’accéder.
La convergence confère donc d’ores et déjà des avantages incroyables aux entreprises. Selon un récent rapport du Groupe Aberdeen, les sociétés exemplaires qui adoptent ce modèle enregistrent des améliorations tant de leur sécurité que de leur efficacité. 83 % des entreprises interrogées déclarent avoir réduit le nombre des incidents de sécurité physique, avec une baisse de 48 % des incidents de sécurité virtuelle. Dans le même temps, plus de 20 % de ces entreprises exemplaires ont déclaré qu’elles avaient pu régler ces incidents en moins de temps et à un coût plus bas. Tous ces résultats ont très largement surpassé les moyennes de l’industrie. « Les initiatives d’intégration de la sécurité logique et la sécurité physique aident déjà les entreprises exemplaires à atteindre des performances supérieures », conclut M. Brink.