Le point de vue de Clara Bardou, Directrice de
Marché, France, HID.
Il existe une catégorie
de vulnérabilités particulièrement dangereuses pour les organisations : celles
qui ne déclenchent aucune alerte. Pas de panne, pas d'incident visible, pas de
signal d'alarme. Le système fonctionne. Les portes s'ouvrent. Et pendant ce
temps, le risque s'accumule silencieusement dans l'infrastructure.
Le contrôle d'accès
physique est aujourd'hui l'angle mort le plus sous-estimé de la cybersécurité
des entreprises françaises. Non pas parce que les dirigeants
l'ignorent mais parce qu'un système qui fonctionne ne génère aucune pression
pour évoluer. C'est précisément ce mécanisme d'inertie qui transforme un
problème gérable en vulnérabilité structurelle.
Le paradoxe du système
qui fonctionne
La plupart
des entreprises françaises opèrent des systèmes de contrôle d'accès
installés il y a dix à quinze ans. Ces systèmes lisent des badges CSN des
identifiants basés sur le numéro de série de la carte, sans chiffrement, sans
authentification mutuelle. Ils sont clonables en quelques secondes avec du
matériel disponible pour moins de cinquante euros sur internet. Ce
fait est connu. Il est documenté. Il ne provoque pourtant aucune action dans la
majorité des organisations concernées. Pourquoi ?
Parce que la sécurité
physique obéit à une logique inverse de la sécurité informatique. En
cybersécurité, une vulnérabilité non patchée génère des alertes, des rapports,
une pression à agir. En sécurité physique, une porte qui s'ouvre avec un badge
clonable ne génère rien aucun log d'anomalie, aucune notification, aucun
incident visible. L'absence d'incident est interprétée comme l'absence de
risque. C'est une erreur de raisonnement que les organisations paient rarement
immédiatement et souvent très cher quand elles le paient.
Quand la réglementation
change la nature du risque
Pendant longtemps, le
risque associé à un système de contrôle d'accès obsolète était principalement
opérationnel : une intrusion physique, un accès non autorisé, un incident de
sécurité interne. Ces scénarios, bien que réels, restaient abstraits pour des entreprises n'ayant
jamais subi d'incident majeur.
La directive NIS2, dont
la transposition française est attendue pour 2026, va modifier cette
équation. Non pas en ciblant directement la majorité
des entreprises son périmètre formel concerne les Entités
Importantes dans des secteurs définis mais par un effet de ruissellement
contractuel que peu d'organisations avaient
anticipé. Une entreprise sous-traitante d'un grand groupe soumis
à NIS2 peut se voir imposer des exigences de conformité en matière de contrôle
d'accès sans être elle-même dans le périmètre réglementaire direct.
Ce glissement
transforme la nature du risque. L'absence de conformité ne se traduit plus
seulement par une exposition à une sanction réglementaire hypothétique. Elle
peut se traduire par la perte d'un contrat un argument que les directions
générales comprennent mieux que n'importe quel rapport de RSSI, et qui mérite
d'être posé explicitement dans les comités de direction.
La réglementation ne
frappe pas toujours directement les entreprises. Elle les atteint par
leurs donneurs d'ordre. Et ce canal est souvent plus rapide et plus
contraignant que le canal réglementaire lui-même.
La dette technique
invisible
Ce que révèlent
systématiquement les audits de sécurité dans les entreprises n'ayant
pas modernisé leur contrôle d'accès, c'est moins un système défaillant qu'un
système opaque. Configurations locales non documentées, droits d'accès jamais
révisés, comptes orphelins accumulés après chaque départ, incapacité à produire
un log d'accès fiable en cas d'incident ou d'audit de conformité.
Cette
opacité a une conséquence directe sur la posture de sécurité globale
de l'organisation. Selon le rapport State of Security and Identity publié par
HID en février 2026,une étude menée auprès de plus de 1 500 professionnels IT
et sécurité, 73 % des répondants placent désormais la gestion des
identités en tête de leurs priorités stratégiques.. Ce chiffre reflète une
réalité que les entreprises commencent à intégrer : les
environnements physiques font désormais partie intégrante de leur surface
d'attaque. Lorsqu'un badge est compromis, c'est l'ensemble de la chaîne
d'identité numérique qui est potentiellement exposée. La frontière entre
sécurité physique et cybersécurité n'existe plus opérationnellement.
La dette technique d'un
système de contrôle d'accès obsolète ne s'accumule pas en pannes visibles. Elle
s'accumule en angles morts jusqu'au jour où l'un d'eux devient un incident
documenté, souvent lors d'un audit de conformité ou d'une procédure assurantielle.
Sortir du faux dilemme
Face à ce constat, deux
postures dominent encore dans les entreprises. La première est le maintien
de l'existant, justifié par l'absence d'incident et la contrainte budgétaire.
La seconde est l'envisagement d'un remplacement complet, immédiatement perçu
comme trop coûteux et trop disruptif pour être engagé. Ces deux postures
partagent le même défaut structurel : elles traitent la modernisation comme un
choix binaire entre l'inaction et la refonte totale.
Ce faux dilemme a un
coût réel. Il immobilise des organisations dans une posture d'attente qui
aggrave mécaniquement leur exposition, pendant que leurs donneurs d'ordre,
leurs assureurs et leurs partenaires font évoluer leurs exigences.
La modernisation par
couches successives : renforcer la sécurité progressivement sans remettre
en cause l'infrastructure existante, constitue une troisième voie
techniquement viable et économiquement justifiable. Elle repose sur un principe
simple : dissocier le calendrier de migration des identifiants du calendrier de
remplacement des équipements. Les deux peuvent avancer à des rythmes
différents, ce qui permet d'étaler l'investissement et de limiter la disruption
opérationnelle.
Le rapport HID 2026 indique que 50 % des organisations considèrent désormais l'adoption des identifiants mobiles non plus comme un choix de confort, mais comme un impératif de sécurité.
Et 75 % déploient ou évaluent des solutions d'identité
unifiée couvrant simultanément bâtiments, réseaux et applications. La
convergence physique-logique n'est plus un horizon technologique. Elle est en
cours de déploiement dans la majorité des organisations structurées.
Le principe de sécurité
proportionnée
Une erreur stratégique
fréquente consiste à appliquer le même niveau d'exigence à l'ensemble des
points d'accès d'une organisation, indépendamment de leur criticité réelle.
Traiter l'accès à une zone administrative avec les mêmes contraintes qu'une
salle serveur ou une zone de production sensible génère trois problèmes
simultanés : un surcoût injustifié, une complexité opérationnelle excessive, et
une résistance utilisateur qui compromet l'adoption.
La sécurité
proportionnée, adapter le niveau de protection à la criticité réelle de
chaque zone, est un principe que les grandes organisations appliquent
depuis longtemps dans leurs politiques de classification de l'information. Son
application au contrôle d'accès physique reste insuffisante dans
les entreprises, où la tentation est souvent de déployer une solution
uniforme par souci de simplicité.
La bonne sécurité n'est
pas la plus élevée. C'est celle qui correspond précisément au niveau de risque
qu'elle est censée couvrir.
La vraie question à
poser en comité de direction
Le débat sur la modernisation du contrôle d'accès est souvent mal posé dans les organisations.
La question dominante est : "Quel est le coût de la modernisation ?"
C'est la mauvaise question. La bonne est : "Quel est le coût de l'inaction
?"
Ces coûts sont réels
mais diffus : failles non détectées exploitées lors d'un incident, audits de
conformité échoués, incompatibilité contractuelle croissante avec les exigences
des donneurs d'ordre, prime d'assurance révisée à la hausse après un sinistre.
Ils n'apparaissent dans aucun budget sécurité et c'est précisément pour cette
raison qu'ils sont systématiquement sous-estimés jusqu'au moment où ils se
matérialisent.
Les entreprises qui retardent leur modernisation ne gagnent pas du temps. Elles creusent l'écart avec les environnements dont elles dépendent commercialement et qui ont déjà évolué. Avec NIS2 la conformité devient une condition d'accès au marché autant qu'une obligation réglementaire. Chaque trimestre d'inaction n'est pas neutre. C'est un trimestre pendant lequel les donneurs d'ordre durcissent leurs exigences, les assureurs révisent leurs conditions, et l'écart se creuse avec des environnements qui, eux, ont déjà migré. Le contrôle d'accès physique n'est plus qu’un sujet de facility management mais devient un enjeu de croissance pour les entreprises.


