L’Humain au cœur de la haute sécurité
Trois discours introductifs ont parfaitement introduit les échanges du reste de la journée. Que ce soit pour Stéphane Garguilo, chef du département sûreté et sécurité publique de l’aéroport Marseille Provence, le très inspirant Colonel Christophe Torrisi, Conseiller aux affaires territoriales, ou Jérôme Perrin, directeur général du Pôle Safe, l’Humain est et restera le facteur clé de toute stratégie de protection.
- La formation et la sensibilisation
- La clarté du protocole (balisage, affichage, pédagogie)
- La simplicité d’utilisation
Le sentiment de sécurité est un préalable à la performance du contrôle des accès.
Pour atteindre et maintenir le niveau adapté à chaque criticité, l’intégration de l’innovation doit se faire de manière raisonnée et structurée
- Analyse de risque et maîtrise du cadre légal
- Echanges avec l’ensemble de l’écosystème sécurité
- Définition et déploiement des technologies nécessaires
- Suivi des performances, tests et cycle d’amélioration continue
Table ronde : la REC à l’honneur
Qui dit site sensible dit Directive sur la Resilience des Entités Critiques (la grande sœur de la NIS 2). Le panel présent autour de la table ronde, animée par Philippe Leclerc, illustrait la diversité des sites et événements les plus critiques de France :
- Base Militaire (Base aérienne 142 d’Istres – Lieutenant-Colonel Thomas)
- JO 2024 (Frédéric Jouhaud)
- Site Pétrochimique (Petroinos Ineos Lavéra – Walter Brugot)
- Site nucléaire (Orano – Stéphane Suarez)
Tibaud Estienne intervenait en tant qu’expert régulation et innovation SPAC Alliance afin de mettre en perspective ces niveaux de sécurité spécifiques avec le cadre règlementaire européen.Les défis multiples des entités critiques
Sécurité et fluidité
LCL Thomas
La base d’Istres est hors-norme : 2500 hectares, 500 bâtiments, 5000 personnes civiles et militaires et … 2 entrées où l’authentification visuelle est de rigueur. Comment procéder pour les véhicules avec plusieurs occupants et limiter l’encombrement aux heures de pointe ? Le contrôle visuel s’accélère grâce aux technologies de badge RFID, et des expérimentations en coordination avec les états-majors sont en cours.
Stéphane Suarez
Du côté des sites nucléaires, la méthodologie est basée sur une démonstration de performance. Il s’agit de montrer comment répondre aux problématiques signifiées par le régulateur. En matière de trafic à l’entrée, les travaux mènent au recours à la biométrie afin de simplifier et optimiser le travail des gardiens.
Le contrôle des droits est à l’entrée est déterminant, mais la menace la plus lourde provient des intrusions qui nécessitent des contre-mesures spécifiques pour la détection et l’alerte. Par exemple, on contrôle l’absence d’intrus dissimulés dans un camion par détection de signaux biologiques.
Frédéric Jouhaud
Avec environ 13 millions de spectateurs et 300 000 personnes accréditées (athlètes, staff, prestataires, médias …) la gestion des flux sur les sites olympiques, outre la cérémonie d’ouverture en ville qui n’avait pas de précédent, imposait une coordination parfaite. Plusieurs zones ont été définies : contrôle de la circulation, zone de sécurité intérieure et de lutte contre le terrorisme, périmètre JO 2024 et enfin le site des épreuves.
Une vision globale est nécessaire et les solutions ne peuvent en aucun cas se limiter à de la technologie.
Walter Brugot
Sur le site de Lavéra, il faut gérer chaque jour 2 à 4 trains, 200 poids-lourds et 4000 personnes. L’une des solutions a été de créer un entrepôt déporté pour réduire de 85 % le flux de petites livraisons (inférieures à 500 kilos).
Au niveau du contrôle périmétrique, la réponse est un mix de technologie et d’humain pour des raisons de coût et de fiabilité, particulièrement concernant la levée de doute. Cet aspect est primordial sur un site de 650 hectares où l’on peut s’égarer facilement, soulignant l’importance de la signalétique et du suivi en temps réel des camions une fois la zone de contrôle passée.
Enfin, 17 nationalités se côtoient. La situation géopolitique actuelle impose que certaines d’entre elles ne soient sur site au même moment afin d’éviter tout conflit, imposant une organisation spécifique des livraisons.
Un travail en profondeur est nécessaire, à commencer par l’enquête administrative qui permet de diminuer la proportion de personnes défavorables, permettant de fortement diminuer le nombre de vols et d’incivilités.
Faire un château-fort est illusoire. Sans fluidité, pas de business.
Un cadre règlementaire en mouvement
Tibaud Estienne
Au-delà de la NIS 2 et de la REC, le Cyber Resilience Act (CRA) va apporter un grand niveau de confiance dans les solutions Hardware et Software avec des objectifs de sécurité imposés sur le sol européen. Zero trust, interdiction des clés et mots de passe par défaut, origine des composants, maintenance pour toute la durée de vie du produit, déclaration obligatoire des failles … l’écosystème industriel et les éditeurs de logiciels ont jusqu’en 2027 pour apporter des solutions fiables et durables.
L’un des objectifs est d’éviter le déploiement de matériels infectés (exemple de certaines caméras chinoises) à des fins de malveillance ou d’intelligence.
Nous devons passer à l’heure de la souveraineté en matière de conception, d’innovation et de fabrication.
Pour la France, plus de 30 décrets sont attendus pour l’application du trio NIS 2 / REC / DORA. Concernant le CRA, on dépasse les 40 normes européennes dont une spécifique aux systèmes de contrôle d’accès et dans laquelle SPAC Alliance et ses membres devraient jouer un rôle central.
Sans aucun doute, l’écosystème (fabricants, intégrateurs et institutionnels) proposera des outils qui équilibreront besoins, innovations et obligations pour chaque niveau de criticité. Ceci est possible grâce à l’investissement de regroupements comme le Pôle Safe et SPAC Alliance.
Dernier exemple en date : l’évolution du schéma N°1 de l’ANSSI avec l’ajout d’un second facteur d’authentification au niveau du lecteur (PIN Code ou Bio) en mode transparent.
Malgré tout, les législations peuvent s’entrechoquer et être trop floues, surtout lorsque l’on ajoute des obligations spécifiques à des activités (sites SEVESO, ATEX, Nucléaires) ou stratégiques (Loi de Programmation Militaire).
L’innovation au service de l’humain
En matière de sécurité, il faut faire preuve de pédagogie. Cela permet de faire accepter les contraintes et d’éviter par exemple des mouvements sociaux, mais aussi d’impliquer tous les usagers dans le travail de détection et de surveillance.
Sur des sites sensibles, la gestion des externes (visiteurs, ouvriers durant des travaux) peut nécessiter des ressources lourdes (onboarding, accompagnement). Pour une base militaire, des ressources spécifiques peuvent intervenir en quelques minutes.
Pour les autres, il faut compter sur une capacité à détecter, alerter et communiquer avec les forces d’intervention le plus rapidement possible. Ici, la technologie doit soulager les équipes de contrôle qui pourront donc être formées à la détection de signaux faibles de menaces, ainsi qu’à leur identification (différencier un avion d’un drone, repérer un vol stationnaire, alerter les autorités, consigner…).
En cas d’alerte, il est nécessaire de verrouiller les zones vitales rapidement et ainsi limiter les conséquences potentielles d’une intrusion ou d’une attaque. Un fonctionnement en mode dégradé doit toujours être possible afin de préserver l’activité.
La biométrie permet de limiter les erreurs d’authentification et de fluidifier les accès. Le profil palmaire semble être une solution adaptée, aussi bien sur le plan de la sécurité que de l’hygiène (sans contact, à la différence de l’empreinte digitale).
Comment intégrer la cyber sur son modèle technologique ?
Les enjeux de la biométrie
Dès que l’on aborde la biométrie, il est nécessaire de prendre toutes les précautions. Si l’on perd un badge, on peut le révoquer et le remplacer en quelques secondes. La perte d’un gabarit biométrique est pour sa part définitive. Tous les professionnels de la sécurité portent une responsabilité lourde vis-à-vis des utilisateurs et doivent garantir le niveau de protection maximal.
La biométrie peut aider à sécuriser, à fluidifier, mais elle ne peut se suffire à elle-même. Par exemple, il est possible de tromper des caméras avec du deep fake en temps réel en se basant sur une photo de profil trouvée sur un réseau social (grâce à des IA).
Il faut avoir une vision panoramique de la sécurité. Si combler une faille en ouvre une autre, cela n’améliore en rien la protection.
Ainsi, la question du stockage des gabarits se pose. Ell est règlementée strictement et n’est possible qu’à l’initiative et sous le contrôle de l’utilisateur (dans un badge physique par exemple). Les capacités biométriques d’un smartphone pourraient être employées, mais certaines règlementations les interdisent. Cependant, le règlement eIDAS V2 impose à chaque membre de l’Union Européenne de développer son propre wallet digital disposant de nombreuses capacités, notamment en matière d’authentification. Une réflexion commune est nécessaire pour exploiter ce potentiel afin de répondre à certaines des problématiques abordées durant cette table ronde.
Contrer les attaques hybrides
Le nouveau paradigme porté par la NIS 2 et la REC est parfaitement résumé par cette phrase de l’ENISA : il ne faut plus faire de distinction entre sécurité physique et logique.
8 % des vols de données depuis 2020 (Etude IBM) ont pour origine une faille de sécurité physique. Si la protection cyber est trop forte, s’introduire pour corrompre le système d’information sera plus simple, plus rentable. L’inverse est vrai, on peut attaquer au niveau logique afin de s’octroyer un accès sur un site sensible. Ces attaques hybrides impliquent des stratégies de sécurité homogènes notamment organisées autour de protocoles de communication sécurisés et favorisant l’interopérabilité.
Par exemple, SPAC Alliance porte le protocole de communication SSCP, standard industriel souverain évoluant à l’initiative des membres. Hautement sécurisé (authentification obligatoire des composants, haut niveau de chiffrement), capable de répondre aux plus fortes exigences (protocole le plus utilisé dans les solutions certifiées), et avec un écosystème en pleine croissance, le protocole SSCP illustre la pertinence de comprendre, innover et convaincre ensemble.
Une intégration performante des technologies passe par ce travail collectif et doit se concrétiser en participant aux travaux de normalisation et de certification en France et en Europe. C’est l’un des piliers de SPAC Alliance.
L’Europe nous accompagne
A l’issue de cette table ronde, Jean-Florian Bacquey Roullet (PCN Cluster 3 – Sécurité pour la société civile) a indiqué comment être financé et accompagné en matière de recherche et d’innovation, un sujet déterminant pour les entités critiques comme pour l’ensemble de l’écosystème. Vous pourrez retrouver ce programme en suivant le lien ci-dessous :
Présentation de solutions haute sécurité
Plusieurs exposants (Exokare, Move2Digital, Primavap, Rohde & Schwarz, Technis), ainsi certains membres SPAC Alliance (Nedap France, Onet Sécurité, Coppernic et Secure Systems & Services), ont présenté des solutions innovantes et reconnues en matière de haute sécurité et à même de répondre aux exigences évoquées plus tôt dans la matinée.
D’autres membres étaient de passage (Omnitech avec Sylvain Bosquet et FDI avec Didier Poiraud), l’occasion de discuter sécurité dans le cadre privilégié du Salon Panoramique.
Le Bilan
Être invité à échanger sur des problématiques concrètes avec des responsables d’entités critiques de premier plan est un honneur. Lorsque l’on partage la même vision de la sécurité, le même engagement, cela devient un plaisir.
SPAC Alliance remercie chaleureusement le Pôle Safe pour cette confiance, ainsi que les différents intervenants qui ont tous joué la carte de la transparence. C’est pour nous une journée très structurante apportant des inputs concrets qui nous permettront d’améliorer nos contenus et d’orienter nos travaux de groupe pour être toujours plus pertinent.
Un dernier double merci pour l’aéroport Marseille Provence. Un accueil parfait et convivial au sein du salon panoramique, et les mots si justes de Stéphane Garguilo pour lancer la journée.
