En matière de sécurité des entreprises, la convergence prend aujourd’hui la forme d’un badge unique, une carte plastique qui rassemble sur un même support les moyens d’accès aux ressources à la fois physiques et logiques. Les déploiements récents de la « carte agent » ou encore de la carte « professionnel de santé » dans l’administration, ont montré à quel point un badge unique multi-services était un réel apport dans la mise en cohérence des politiques de sécurité dans les organisations.
Véritable concentré de technologies, cet équipement peut héberger une ou plusieurs puces RFID, une puce à contact à micro-processeur capable de calculs cryptographiques complexes, ainsi que – le plus souvent – des éléments graphiques dignes de nos pièces d’identité.
Ainsi, en plus de sécuriser les accès aux bâtiments et aux données sensibles, le badge unique permet également un nombre toujours plus importants d’usages, depuis le chiffrement et la signature électronique jusqu’à la sécurisation et la gestion des impressions de documents, en passant par le paiement. Devenant un outil incontournable pour la sécurisation des organisations, le badge unique doit maintenant être considéré sous l’angle de la sécurisation des systèmes d’information.
En effet, si ce nouveau support unique améliore la sécurisation des organisations, pourquoi cet outil disponible depuis longtemps déjà, commence-t-il seulement à être déployé à grande échelle ?
Plusieurs raisons peuvent être évoquées, toutefois, parmi les plus importantes nous pouvons citer :
Les référentiels et les politiques de sécurité mises en place par les gouvernements : les Etats et gouvernements jouent un rôle de premier plan dans la standardisation et le déploiement des offres technologiques. Notons par exemple les cas des normes PIV aux Etats-Unis ou encore de GOST R en Russie. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) conduit le déploiement des cartes agents sécurisées au sein de l’administration en s’appuyant sur la norme IAS, le processus est donc enclenché pour les agents administratifs français.
L’augmentation de l’ampleur des attaques sur les données sensibles des entreprises : le vol de 70 millions de données bancaires personnelles dont a été victime le distributeur Target aux Etats-Unis en est un exemple récent. Ces attaques, bien que souvent focalisées sur des environnements dont les faiblesses technologiques sont connues, mettent en lumière la nécessité de protéger les données sensibles hébergées par les entreprises. Les organisations ont impérativement besoin de repenser la sécurisation pour accéder à l’ensemble de leurs ressources, qu’elles soient physiques ou virtuelles.
Le développement de la mobilité des travailleurs et du cloud : plus que jamais, les travailleurs ont la possibilité d’accéder aux systèmes d’information depuis l’extérieur des locaux de l’entreprise, que ce soit à partir de leur ordinateur, de leur smartphone ou de leur tablette. Si les services IT prennent souvent le temps d’étudier les solutions de sécurisation pour les accès mobiles, notamment en raison des innombrables contraintes associées, ils doivent toutefois prendre en compte le fait que les ressources sont de plus en plus souvent accessibles par internet. Ainsi, les outils tels que les badges uniques peuvent jouer un rôle primordial pour contrôler la façon dont les employés accèdent aux données de l’entreprise.
L’évolution récente dans la conception des équipements pour le contrôle d’accès physique : historiquement conçus de façon figée, ceux-ci sont aujourd’hui évolutifs, sécurisés et s’intègrent mieux au système d’information global de l’entreprise. Ceci permet d’aligner les politiques de sécurité physique et logique, et d’éviter que la sécurisation des systèmes d’information ne soit mise à mal par la faiblesse du contrôle des accès aux bâtiments. Ces évolutions reposent sur une conception moderne aussi bien des équipements de lecture que des modèles de données.
La convergence apporte donc une réponse concrète aux besoins des entreprises et des administrations qui souhaitent se protéger contre les risques de sécurité accrus par la mobilité, les accès via internet et l’évolution des technologies du contrôle d’accès physique. L’industrie doit elle aussi relever le défi de proposer des solutions qui correspondent non seulement aux attentes des organisations, mais aussi à ses besoins actuels et à venir.
Selon les régions et les contraintes locales, les raisons expliquant la lenteur de déploiement de solutions convergentes n’auront pas toutes le même poids ; il n’en reste pas moins que celles-ci influencent fortement la façon dont l’industrie conçoit ses produits et construit ses plans d’actions. Les organisations qui sont en mesure d’appréhender ces évolutions, mais aussi de s’adapter aux contraintes qu’elles imposent, seront celles qui proposeront les offres de convergence les plus pertinentes.