Nous suivre Les Cahiers Techniques du bâtiment

Dossier

Contrôle d’accès : un réseau supplémentaire pour la GTB

Sujets relatifs :

Contrôle d’accès : un réseau supplémentaire pour la GTB

Les systèmes de biométrie n’étant pas isolés dans l’entreprise, leur installation offre des gains de productivité tout en introduisant des risques multiples, tant informatiques que physiques. (Doc. Kieback & Peter.)

Le réseau entre la borne d’accès biométrique et les systèmes de gestion du site doit impérativement préserver l’intégrité physique des données transportées.

Un système d’identification biométrique peut fonctionner selon deux architectures. La première permet l’authentification grâce aux informations stockées sur une carte à puce que la personne transporte. Lors du contrôle, le système vérifie l’adéquation entre les données et le porteur de l’information avant de commander une action. La seconde méthode consiste à centraliser les informations biométriques dans une base de données. Lors du contrôle, le système y vérifie si la personne est enregistrée et autorisée à faire de ce qu’elle demande. Dans ces deux configurations, la borne d’accès biométrique est raccordée à un réseau. Dans tous les cas, ce terminal transmet une information plus ou moins confidentielle sur le réseau. Il ne s’agit jamais d’un réseau point-à-point, dans lequel la borne commande directement un contrôleur de porte. L’information envoyée par la borne est destinée à plusieurs automates.

D’autres fonctions de gestion

Les bornes biométriques sont intégrées aux réseaux d’entreprise car les informations qu’elles émettent sont utilisées par la GTB (1) de l’immeuble, les applications de gestion de l’entreprise et les superviseurs de sécurité. La fiabilité d’un système peut être compromise de trois façons :par la possibilité d’interception de l’information quelque soit le réseau et le protocole sur lequel circule l’information ; par les risques inhérents à l’univers Internet (virus, attaques diverses, prises de contrôle à distance…) liés à l’utilisation croissante de systèmes ouverts fondées sur ces technologies ; par l’endommagement physique du réseau, soit à dessein, soit par inadvertance en raison de sa complexité croissante.

Une borne biométrique n’est pas uniquement une serrure sophistiquée qui commande l’ouverture d’une porte à partir d’une comparaison entre des données numérisées par elle et des informations stockées dans une base de données. L’information qu’elle acquiert est utilisable par l’entreprise. Dans les bâtiments de bureaux récents, soucieux du confort de leurs occupants et de la gestion optimale de l’énergie, lorsqu’une personne franchit la porte d’entrée, la GTB déclenche le chauffage, la ventilation ou la climatisation de son bureau, et lève (ou baisse) le store pare-soleil. S’il fait nuit et en dehors des heures normales de travail, la GTB éclaire le parcours entre la porte d’entrée et le bureau de la personne identifiée. L’information de passage enregistrée par la borne assure le pointage des personnels et, envoyée au service de gestion de l’entreprise, sert à établir les payes, le calcul des congés payés, etc. De plus en plus, dans les entreprises pour lesquelles la sécurité revêt une importance particulière, il existe des « superviseurs de sécurité », ou système expert comme il en existe en chauffage et climatisation. Il reçoit l’information selon laquelle telle personne se présente à l’accès ou vient de pénétrer dans les locaux. Aussitôt, il compare cette présence à l’agenda de la personne en question. S’il apparaît une incohérence et selon le niveau d’autorisation d’accès de l’individu en cause, l’accès peut lui être refusé tant que quelqu’un d’autre, doté des niveaux d’autorisation requis, n’a pas vérifié la situation et manuellement accordé l’autorisation d’accès. Ainsi, les bornes biométriques deviennent des nœuds de communication dans la GTB de l’immeuble et il est probable que leur intégration progresse.

Authentification ou cryptage des données

Pour que toutes ces applications fonctionnent correctement et permettent des gains de productivité, il faut que les différents terminaux communiquent (au moins pour partie) le même langage et se trouvent sur un réseau commun ou reliés au réseau de l’entreprise par une passerelle. De plus en plus, ces terminaux utilisent le réseau Ethernet en TCP/IP pour communiquer leurs informations.

Si l’entreprise est soucieuse de sécurité, elle décide de contrôler ses réseaux. Comme le réseau d’entreprise en TCP/IP peut transporter aussi bien des informations en BACnet, qu’en LonWorks ou la comptabilité de l’entreprise, sans compter le trafic quotidien de sa messagerie interne, il faut choisir entre l’authentification et le cryptage des données. Le codage des informations n’est pas toujours nécessaire. Il le devient lorsque les informations contenues sont de l’ordre du privé (légalement protégées) et concernent des numéros sensibles (carte de crédit, compte bancaire, etc. Autant d’informations qui peuvent être comprises et donc utilisées hors de leurs contextes respectifs. À savoir, le cryptage impose une puissance de calcul suffisante et coûteuse, dans tous les contrôleurs de process concernés. Il alourdit considérablement les tâches d’administration du réseau. De plus, pour être efficace, une clef de cryptage doit être régulièrement modifiée : tous les contrôleurs doivent être remis à jour à chaque changement, sans oubli, ni erreur.

L’authentification suffit dans la plupart des cas. Elle sert à définir l’origine d’une information ou le requérant d’une action. Le plus souvent, les informations d’authentification sont sans valeur hors du contexte du réseau sur lequel elles transitent. De ce fait, l’ordre donné par le système est un message en clair et peut donc être lu par tous les autres contrôleurs concernés. L’authentification est un service de cryptographie simplifié qui permet de s’assurer que le correspondant est bien celui qu’il prétend être, ou bien que le signataire d’un message est bien reconnu. Il peut y avoir authentification des partenaires au cours d’un échange de données ou authentification de l’origine des informations émises. Elle peut se faire à l’aide de ce que l’on sait (mot de passe, code confidentiel), de ce que l’on possède (carte à puce, clef physique, token) ou de ce que l’on est (reconnaissance biométrique, empreinte digitale ou rétinienne).

L’interopérabilité accroît les risques de piratage

Dans un échange de machine à machine, l’authentification repose sur deux calculs ou transformations, effectués indépendamment sur le message initial. La procédure d’authentification est différente selon les protocoles. Il faut donc que les différents contrôleurs partagent le même protocole pour s’entendre.

Lorsque l’adoption des standards ouverts issus d’Internet est préconisé, la supervision des bâtiments est assurée pour trois catégories différentes d’instruments : pour le transport des données, l’acceptation des protocoles Ethernet et TCP/IP ; pour les interfaces de contrôle, les langages de programmation Html, Java, les contrôles ActiveX de Microsoft et JavaScript ; pour les échanges M2M (de machine à machine), le XML, Soap, SNMP et SMTP. Pénétrer dans l’univers Internet, cela signifie aussi être prêt à faire face à tous les risques inhérents à cet environnement : virus, piratage, prise de contrôle à distance, etc. Les risques de parasitage physique du réseau et de piratage informatique peuvent survenir. Le risque réseau – souvent involontaire – est le plus important. Le réseau de transfert de données est sensible à de nombreuses influences physiques : courants vagabonds, parasitages électromagnétiques, défauts d’alimentation électrique, rongeurs, humidité, moisissures, etc.

La première prescription à observer est l’accessibilité au réseau la plus large possible. Celui-ci doit être disposé bien en vue dans un faux plafond, un faux-plancher ou dans des gaines réservées à cet effet. D’autre part, un réseau vit par le raccordement de nouveaux automates ou la suppression d’autres. Il s’étend en longueur et se ramifie au fur et à mesure de l’évolution des besoins de l’entreprise. Chaque modification peut imposer une reconfiguration. C’est aussi l’occasion pour des acteurs indélicats ou ignorants de ménager des accès vers l’extérieur.

vous lisez un article des Cahiers Techniques du Bâtiment N°250

Découvrir les articles de ce numéro Consultez les archives 2005 des Cahiers Techniques du Bâtiment

Nous vous recommandons

Reconvertir des bâtiments patrimoniaux

Dossier

Reconvertir des bâtiments patrimoniaux

La reconversion des bâtiments induit de nécessaires adaptations. S’agissant d’édifices patrimoniaux, protégés ou non, l’intervention doit pouvoir faire dialoguer histoire du lieu et nouveaux[…]

Changement de cap pour l'Hôtel de la Marine

Dossier

Changement de cap pour l'Hôtel de la Marine

La Bourse de Commerce entame une autre vie

Dossier

La Bourse de Commerce entame une autre vie

La Samaritaine fait peau neuve

Dossier

La Samaritaine fait peau neuve

Plus d'articles