Recommandations ANSSI sur la sécurisation des systèmes de contrôle d'accès physique et de vidéoprotection

MATHIEU CARON • 24 novembre 2020

Synthèse des préconisations ANSSI pour le contrôle d'accès et la vidéosurveillance

Suite à de nombreux retours d’expérience, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a publié ce 04 mars 2020 une mise à jour de ses préconisations pour la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection. Ces mesures de sécurité et de contrôle, obligatoires pour les OIV (Opérateur d’Importance Vitale), peuvent servir de guide des bonnes pratiques pour tout site sensible. Nous vous proposons dans cet article une synthèse des recommandations selon trois catégories : 
nécessaires, hautement recommandées, conseillées. 
Cet article s’adresse à toute personne familière avec le contrôle d’accès et la vidéoprotection et qui souhaiterait approfondir ou partager ses connaissances (n’hésitez pas à laisser un commentaire) dans la sécurisation de ces systèmes contre des attaques sophistiquées. 
Nous conseillons bien sûr la lecture complète de ce guide accessible suivant ce lien.

Recommandations issues soit d’une exigence règlementaire, soit d’une exigence dont la mise en œuvre est impérative
Ces recommandations sont nécessaires pour garantir la protection et l’intégrité des données, parfois personnelles, qui sont contenues dans ces systèmes de gestion. 

R4 : Les zones où sont situées les serveurs et stations de travail doivent être au niveau de protection le plus élevé
R8 : Identifier les types de droits des usagers en fonction de leurs responsabilités
R18 : Désactiver les ports non utilisés des réseaux supports
R25 : Si les flux transitent sur un réseau non maîtrisé (Ex : multisite sur WAN), les flux doivent être chiffrés et authentifiés.
R37 : Les informations liées au second facteur d’authentification (code clavier, empreinte digitale, …) échangées entre le lecteur de badge et l’UTL doivent être protégées en intégrité et en confidentialité.
R39 : Disposer de la liste des personnes autorisées à accéder physiquement aux UTL et assurer la surveillance des opérations effectuées.
R43-R76Les flux émis et reçus par les caméras doivent être chiffrés et authentifiés par des protocoles tels que TLS ou IPsec. Tous les flux d’administration doivent être chiffrés et authentifiés :
• flux entre la station de gestion et les serveurs de gestion
• flux entre les serveurs de gestion et les dispositifs administrés
• flux entre les postes d’administration technique situés sur le réseau d’administration, et tous les équipements du centre de gestion.
R45 : Remplacer les mots de passe par défaut des caméras par des mots de passe spécifiques et robustes.
R62 : Anticiper la procédure de remplacement des clés cryptographiques en cas de compromission.
R65 : Chaque utilisateur doit avoir un numéro unique d’identification
R73 : En cas de perte ou de vol d’un badge, le personnel concerné doit le signaler sans délai. Le badge d’accès provisoire doit avoir une durée de validité limitée (maximum 24 heures)
R80 : Vérifier au moins une fois par an la batterie de l’alimentation de secours de l’UTL
R83 : Assurer un maintien en condition de sécurité pour les systèmes de contrôle d’accès et de vidéoprotection. Au minima, cela demande aux mainteneurs :
• la notification en cas de présence de vulnérabilités sur les produits
• la proposition d’un plan de déploiement de correctifs publiés par l’éditeur des logiciels
• le suivi des versions des logiciels et des correctifs déployés ainsi que l’écart entre les versions actuelles et les correctifs de sécurité qui ne sont pas installés.
R85 : le responsable du site doit déterminer et tester à l’avance le processus de retour dans les locaux à l’issue d’une alerte incendie
R88 : Dans le cas d’une administration à distance d’une solution de contrôle d’accès physique ou de vidéoprotection, les règles, décrites dans le chapitre 10 du guide Recommandations relatives à l’administration sécurisée des systèmes d’information, doivent être respectées
R90 : Surveiller les historiques des accès (badges non utilisés, accès visiteurs, utilisation des badges privilégiés) et les différents rapports d’anomalies (porte ouverte trop longtemps, porte forcée, accès refusés, coupures secteurs, déconnexions, …)

Bonnes pratiques hautement recommandées 
R9 : Les processus organisationnels décrivant les acteurs des systèmes doivent être définis et normalisés
R10 : Séparation physique du réseau de contrôle d’accès et celui de vidéoprotection. Si cloisonnement logique, il est recommandé de mettre du filtrage, chiffrement et authentification du réseau sur le protocole IPsec
R15 : privilégier les liaisons filaires aux liaisons sans fil. Si liaison sans fil, utiliser une technologie avec double chiffrement. Le chiffrement et déchiffrement doit se faire en zone protégée
Les bornes WIFI doivent obligatoirement être à l’intérieur de la zone à protéger.
R16 : Cloisonnement logique au sein du réseau support
R30 : Cartographier les systèmes de contrôle d’accès physique et de vidéoprotection :
• schéma représentant les zones à protéger/contrôler et leur niveau de protection attendu ;
• schéma représentant les flux de circulation des individus ;
• document décrivant la liste des acteurs ;
• document détaillant les processus organisationnels ;
• schéma représentant le positionnement des dispositifs (têtes de lecture, UTL, caméras, centres de gestion, etc.) ;
• schéma représentant le cloisonnement physique et logique des réseaux, les plages d’adresses IP, les fonctions de routage et de filtrage ;
• document décrivant la liste complète des équipements physiques utilisés ;
• document décrivant les composants logiciels ainsi que les flux de données entre ces composants ;
• document répertoriant les périmètres et niveaux de privilèges des utilisateurs et des administrateurs.
R35 : Il est fortement déconseillé de recourir aux technologies de badges virtuels sur ordiphone.
R37 : Placer les UTL à l’intérieur de la zone contrôlée et non accessibles facilement. 
R40 : Chiffrage et authentification des flux entre UTL et le centre de gestion 
R41Implémenter la configuration suivante : Tête de lecture transparente, authentification de bout en bout 
R44 : Désactiver les interfaces locales d’administration des caméras
R46 : Remplacer les certificats installés par défaut dans les équipements
R49 : Placer les boitiers de conversion analogiques-IP à l’intérieur de la zone contrôlée, à l’abri de tout accès frauduleux.
R42-R50 : Les centres de gestion de contrôle d’accès et de vidéoprotection doivent être considérés comme des SI à part entière. 
R51-R89 : Synchroniser les horloges des équipements sur une même source de temps fiable.
S’assurer que les évènements sont bien collectés et remontés vers le centre de gestion correspondant.
R52 : Mener une étude sur le niveau de continuité de service (tolérance aux pannes, autonomie en cas de coupure secteur, délais de remplacement du matériel, …)
R56 : Eviter les solutions reposant sur l’utilisation d’une clé symétrique unique, sinon utiliser des clés différentes en fonction du type d’utilisateur
R57 : Dans le cas d’une utilisation de clés symétriques dérivées d’une clé maîtresse, recourir à l’utilisation d’un module SAM
R61 : Tout changement de clés d’authentification doit générer une alerte dans le GAC et cet évènement doit être enregistré.
R63 : Utiliser prioritairement des protocoles d’authentification et de chiffrement non propriétaires.
R64 : Privilégier les solutions de vidéoprotection proposant des protocoles standards pour le chiffrement des vidéos sauvegardées sur disque. La solution doit aussi pouvoir s’intégrer dans une infrastructure de gestion de clés propre à l’entité.
R68-R70 : programmer une date de fin de validité dès la délivrance d’un badge
R69 : Intégrer la gestion des badges dans le processus de gestion des ressources humaines 
R71 : Mettre en place une procédure d’obtention d’un badge par un visiteur. 
R72 : Limiter le nombre et l’accès aux badges ayant des droits importants (accès complet, reprogrammation des lecteurs, …)
R79 : Appliquer les mesures de sécurité, décrites dans La défense en profondeur appliquée aux systèmes d’information, aux systèmes et stations de gestion 
R82 : Mettre en place des sauvegardes des systèmes de gestion hebdomadairement et journalièrement en cas d’usage intensif.
Effectuer des tests de restauration associés au moins une fois par an.
R87 : Eviter de mettre en place une solution de télémaintenance sur les ressources locales d’un système de contrôle d’accès ou de vidéoprotection.

Dispositifs de protection conseillés
R5 : Définir sur le site à sécuriser les niveaux de protection nécessaire
R6 : Analyse de risque pour les niveaux de sûreté de chaque site
R7 : Définir les flux de circulation
R12 : Liaisons filaires non apparentes ni situées dans une zone non contrôlée. Pour les caméras extérieures, prévoir une protection pour les câbles qui seraient apparents.
R13 : Etablir une connexion sans intermédiaire entre UTL et tête de lecture
R14 : Homogénéité des niveaux de protection des zones d’un même UTL
R16 : Configuration des commutateurs réseau pour que les dispositifs ne puissent discuter qu’avec un serveur de gestion.
R17 : Les points d’accès réseaux ne doivent pas être apparents et non accessibles facilement
R19 : Authentification des équipements cryptographiques (Ex : Protocole 802.1x, … ), sinon mettre en place un système de filtrage MAC
R20 : Si mutualisation de dispositifs de contrôle d’accès associés à des zones de niveaux de protection distincts, mettre en place un filtrage logique entre les UTL.
R21 : Ne pas mutualiser contrôle d’accès et vidéoprotection sur un même réseau support.
R22 : Deux réseaux supports distincts pour les caméras dans une zone contrôlée et celles dans une zone non contrôlée, mettre en place un cloisonnement logique sinon.
R23 : Bloquer tous les flux entre les réseaux supports et n’autoriser que les flux nécessaires au fonctionnement des systèmes.
R24 : Placer un firewall en amont du centre de gestion pour filtrer les flux entre le centre de gestion et le réseau support. Le firewall doit s’assurer de deux choses :
• Les flux n’utilisent que les protocoles autorisés
• Les flux ne sont qu’entre équipements autorisés
R26 : Eviter de recourir à l’externalisation des services de gestion de contrôle d’accès ou de vidéoprotection chez un prestataire de services, sinon choisir un prestataire qualifié par l’ANSSI.
R27 : Eviter une interconnexion du système de contrôle d’accès physique avec le SI de l’entité, sinon mettre en place un filtrage logique
R28 : Protection en intégrité, authenticité et en confidentialité à l’aide de protocoles cryptographiques des flux échangés entre le contrôle d’accès et le SI de l’entité
R29 : Dans le cas d’échange entre le système de contrôle d’accès et le système de vidéoprotection, privilégier une solution avec deux centres de gestion. 
R31 : Ne pas stocker dans le badge les données relatives aux droits d’accès, aux périodes de validité et aux informations d’authentification autres que le numéro d’identification
R32 : Les badges ne doivent visuellement pas indiquer d’information sur l’entreprise, sur le porteur (en dehors de sa photo) et sur les accès autorisés. Un numéro de traçabilité peut être indiqué mais doit être différent du numéro d’identification
R33-R74 : Privilégier les cartes d’accès avec une résistance aux attaques de niveau AVA_VAN.3
Dans le cas où le badge est utilisé pour d’autres applications que celle de contrôle d’accès, privilégier l’utilisation de fonctionnalité de cloisonnement, certifiée Critères Communs avec une résistance aux attaques de niveau AVA_WAN.5
R34 : Aucun doublon d’un même badge ne doit pas être possible et le badge doit pouvoir être réaffecté sans perte de traçabilité.
R36 : Anonymiser les éléments apparents des têtes de lecture et contrôler la liste des personnes habilitées à intervenir sur ces dispositifs.
R47 : Désactiver les fonctions d’administration non utilisées pour tous les dispositifs
R48 : Privilégier l’usage de technologies analogiques pour les caméras situées à l’extérieur de la zone contrôlée
R53 : Mise en place d’une infrastructure de gestion de clés cryptographiques
R54 : Les autorités de certification de l’infrastructure de gestion de clés doivent être accessibles par tous les dispositifs utilisant des certificats délivrés par ces autorités.
R55 : Conformité des mécanismes cryptographiques appliqués aux mécanismes d’identification et d’authentification des badges aux règles décrites dans l’annexe B1 du RGS
R59 : Privilégier les solutions proposant un mécanisme d’authentification des badges reposant sur des bi-clés asymétriques
R60 : Protéger les clés cryptographiques employées dans le système de contrôle d’accès physique 
R66 : Privilégier les solutions de contrôle d’accès physique proposant à la fois l’authentification du badge et l’authentification du porteur.
R67 : Privilégier l’utilisation d’un mot de passe plutôt que l’utilisation de la biométrie pour l’authentification du porteur.
R75-R77 : Sécuriser les comptes d’administration technique et métier, (Cf Recommandations relatives à l’administration sécurisée des systèmes d’information).
R78 : Mettre en place un réseau d’administration dédié à l’administration des équipements du centre de gestion
R81 : Effacer ou supprimer tous les éléments cryptographiques avant mise en rebut ou réparation d’un matériel. Si cela n’est pas possible, détruire physiquement le dispositif.
R84 : Privilégier les UTL disposant d’une copie de la base des droits afin d’accroître la résistance du système notamment en cas de panne sur le serveur
R86 : En cas d’externalisation de l’administration d’un système de contrôle d’accès ou de vidéoprotection, il est recommandé de se conformer à la démarche décrite dans le guide Externalisation et sécurité des systèmes d’information - Un guide pour maîtriser les risques.
R91 : Configurer des alertes en temps réel pour tous les évènements d’un niveau de criticité important

Nous espérons que cet article vous aura permis de découvrir des axes d'amélioration pour la sûreté de votre site et que nous n'avons pas dénaturé le contenu initial.

N'hésitez pas à vous faire accompagner par des bureaux d'études spécialisés pour vos projets de sûreté.

Glossaire :
SAM : Secure Access Module 
UTL : Unité de Traitement Local assure la gestion de plusieurs têtes de lecture, commande et contrôle l’état de plusieurs ouvrants
GAC : Centre de gestion des contrôles d’accès est une infrastructure centralisée qui est composée d’un ou plusieurs serveurs permettant la centralisation des évènements, l’affichage et la notification des évènements à l’opérateur, l’hébergement de la base de donnée, le pilotage de l’ensemble des UTL
Réseau support : Le réseau support désigne un commutateur ou switch.
Réseau fédérateur : Le réseau fédérateur désigne l’ensemble des équipements réseau intervenant dans la mise en relation entre les réseaux support et le réseau du GAC
VMS : Video Management System ou centre de gestion vidéo est l’infrastructure qui assure la centralisation des images et la gestion des caméras.

Sources :
• Recommandations sur la sécurisation des systèmes de contrôle d’accès physique et de vidéoprotection version 2.0 du 04 mars 2020, téléchargeable sur www.ssi.gouv.fr/uploads/2020/03/anssi-guide-recommandations_securisation_systemes_controle_acces_physique_et_videoprotection-v2.0.pdf

Sources complémentaires :
• Référentiel APSAD D83 – Contrôle d’accès – Document technique pour la conception et l’installation » ; 
https://www.cnpp.com/
• Référentiel APSAD R82 – Vidéosurveillance – Règle d’installation » ; https://www.cnpp.com/
• Référentiel APSAD D32 – Cybersécurité – Document technique pour l’installation de systèmes de sécurité ou de sûreté sur un réseau informatique » 
 https://www.cnpp.com/
• RGS : Annexe B1 Mécanismes cryptographiques.
Référentiel Version 1.0, ANSSI, février 2014.
https://www.ssi.gouv.fr/rgs.
• Recommandations relatives à l’administration sécurisée des systèmes d’information.
Guide ANSSI-PA-022 v2.0, ANSSI, avril 2018.
https://www.ssi.gouv.fr/securisation-admin-si
• La défense en profondeur appliquée aux systèmes d’information.
Guide Version 1.1, ANSSI, juillet 2004.
https://www.ssi.gouv.fr/defense-profondeur.
• Externalisation et sécurité des systèmes d’information - Un guide pour maîtriser les risques.
Guide Version 1.0, ANSSI, décembre 2010.
https://www.ssi.gouv.fr/infogerance.

Vidéoprotection et voie publique

par MATHIEU CARON 24 avril 2019
La CNIL (Commission Nationale de l'informatique et des libertés de France) nous répond en plusieurs points : but : prévenir des actes de terrorisme , des atteintes à la sécurité des personnes et des biens champ de vision : seules les autorités publiques peuvent filmer la voie publique. Pour les entreprises privées et les établissements publiques, seuls les abords immédiats de leur bâtiment susceptibles d’être exposés à des actes de terrorisme peuvent être visionnés. protection de la vie privée : interdiction de filmer l' intérieur ou toute entrée (porte, fenêtres, ...) d'une habitation. Un masquage irréversible doit être mis en place dans le cas où ce principe n'est pas respecté. relecture des enregistrements : Les enregistrements peuvent être conservés au maximum 1 mois et ne peuvent être visionnés que par les personnes habilitées par l'autorisation préfectorale. signalétique : Toute personne susceptible d'être filmée doit être prévenue avec une signalétique compréhensible. Cette signalétique doit contenir au minimum les éléments suivants : information de l' existence du système, autorité responsable , modalités d'exercices du droit d'accès aux images. autorisation préfectorale : L'installation doit être autorisé par la préfecture. Cette autorisation renouvelable n'est valable que 5 ans. Il est conseillé de se faire accompagner dans cette procédure par votre prestataire technique. Sources : https://www.cnil.fr/sites/default/files/atoms/files/videosurveillance_voie_publique.pdf Articles L223-1 et suivants (lutte contre le terrorisme) Articles L251-1 et suivant Code civil : Article 9 (protection de la vie privée)
Plus de posts
Share by: