Par Steven
Commander, Directeur Consultants et Régulations HID - ASSA ABLOY.
La fin du « sneaker net
» : quand la tradition devient vulnérabilité
Pendant des années, la
gestion des lecteurs de contrôle d’accès reposait sur des cartes de
configuration physiques. Distribuées de service en service, elles voyageaient
de bureau en bureau et finissaient parfois oubliées dans un tiroir. Cette
méthode, surnommée sneaker net, consistait à transporter manuellement les
supports nécessaires pour installer ou mettre à jour un système de sécurité.
Un modèle adapté… hier
À une époque où les
réseaux n’étaient pas interconnectés et où les infrastructures IT restaient
limitées, cette approche avait ses avantages : elle garantissait une certaine
autonomie et permettait d’assurer la continuité des opérations, même sans
connexion réseau.
… devenu vulnérabilité
aujourd’hui
En 2025, dans un
contexte où cybersécurité et sécurité physique convergent, cette pratique
apparaît comme une vulnérabilité majeure :
• Perte de contrôle : une carte oubliée ou
copiée peut être utilisée en dehors de tout cadre autorisé.
• Absence de traçabilité : il est difficile de
savoir qui a utilisé la carte et quand.
• Non-conformité réglementaire : à l’heure où les
obligations de transparence et de cybersécurité se renforcent, cette approche
n’est plus défendable.
La comparaison est
simple : Personne ne met plus à jour ses systèmes avec
un CD-ROM ou une clé USB. Pourquoi continuer à gérer le contrôle d’accès de
cette manière ? Les organisations doivent désormais privilégier des solutions
connectées, centralisées et sécurisées, qui garantissent à la fois rapidité,
conformité et résilience.
Vers une gestion
numérique et tracée
Le secteur s’oriente
désormais vers des modèles numériques où les droits sont délivrés, modifiés ou
supprimés à distance. Cette gestion centralisée permet d’attribuer une
autorisation limitée dans le temps, de la révoquer instantanément, et de tracer
chaque action. L’installateur ou le technicien reçoit ses droits directement
sur son smartphone, ce qui réduit la dépendance à des supports matériels.
Au-delà de l’aspect
technique, cette évolution traduit un changement d’usage. Le smartphone, déjà adopté comme moyen de
paiement, devient aussi une clé numérique pour sécuriser les entrées. Le
déploiement du premier site français utilisant la solution d’accès Mobile dans
l’Apple Wallet au sein d’une grande compagnie d’assurance, constitue un signal
fort.
Les 4 piliers d’une
gestion sécurisée des clés
L’abandon du sneaker
net ne suffit pas : il doit s’accompagner d’une gestion rigoureuse des clés.
Les bonnes pratiques reposent sur quatre principes :
1. Key Generation : générer les clés dans
des Hardware Security Modules (HSM) certifiés, sans intervention humaine.
2. Key Data Storage : stocker toutes les
clés de manière chiffrée et redondante.
3. Key End-Point Storage : intégrer un élément
sécurisé (secure element) dans chaque lecteur, badge ou encodeur pour protéger
les opérations cryptographiques.
4. Key Transfer : fragmenter les clés et
les transférer via des cérémonies de clés, selon des procédures strictes de
conformité et de gouvernance.
Ces standards,
largement adoptés dans l’industrie, garantissent un meilleur niveau de sécurité
de bout en bout.
Conclusion
L’ère du sneaker net touche à sa fin. Dans un contexte où la sécurité physique et la cybersécurité convergent, il est indispensable de s’appuyer sur des solutions connectées, traçables et conformes aux standards les plus récents. Le contrôle d’accès n’est pas uniquement une question de portes et de badges. Il n’y a plus de frontière entre le physique ou numérique : la gestion des accès doit être pensé comme un tout, avec les mêmes exigences de sécurité et de traçabilité.