Tester la vulnérabilité des accès à un site et visite mystère. Quelques pistes…
Vous pensez que avoir peut-être sécurisés les accès de votre entreprise. Quoi de plus naturel puisque vos salariés disposent tous d'un badge ou d'un smartphone pour valider leur entrée sur un lecteur installé sur chaque ouvrant. (wikipedia)
Mais êtes-vous certain au fond que cela suffit pour qualifier de fiable votre dispositif ?
Failles techniques ou humaines ?
Pour vous assurer de la fiabilité de votre dispositif, il ne suffit malheureusement pas de ne prendre en compte que l'installation technique.
Les moyens techniques pour sécuriser les accès sont nombreux et de plus en plus connectés aux réseaux de données des entreprises. Ils sont également de plus en plus accessibles par Internet, dit-on de manière sécurisée, pour les piloter.
Les failles techniques sont très probablement minimes, pour ne pas dire impossibles car cela serait faux, aussi ce n'est pas prioritairement là que votre dispositif sera le plus vulnérable.
Comme dit le vieil adage dans le métier : « L'homme est le maillon fort et le maillon faible des dispositifs de sûreté ».
C'est bien l'homme qui, par son intelligence, sa perspicacité et son instinct, sera le plus à même de détecter la malveillance, mais c'est lui aussi qui, par mauvaise intention, désir de vengeance, ou simple négligence, sera celui par qui passera la malveillance.
Faites jouer un rôle
Rien ne vaut l'épreuve réelle pour tester le contrôle de vos accès.
C'est en effet grâce à la mise à l'épreuve par des tentatives de pénétration (et non d'intrusion) que vous serez en mesure d'évaluer l'efficacité de votre dispositif. Car ce sont bien les négligences de vos salariés, ou les limites de votre organisation de la sûreté, qui peuvent être à l'origine de la vulnérabilité du contrôle des accès.
Tout d'abord, c'est évident, celui ou celle qui effectuera les tests ne peut être un salarié connu du site. Préférez donc un prestataire externe à qui vous aurez préalablement demandé de signer un engagement de discrétion.
Détermination du périmètre des tests
Vous devrez ensuite définir le périmètre des tests. Quel créneau horaire par exemple ?
Le choix d'un créneau horaire à forte affluence sera privilégié.
Quels objectifs ? Vous devrez définir la ou les cibles à atteindre sur le site. Entrer sur un site est une chose, atteindre une cible à l'intérieur d'un site en est une autre. Vous pouvez par exemple définir comme cible un bureau, une salle, un atelier, une photocopieuse, une machine, etc. … Vous devrez ensuite définir les limites du test.
Quand l'arrêter et commenter ?
Vous devrez en effet prévoir les actions à mener en cas de détection de la tentative, voire même prévoir le cas où celle-ci serait mal vécue par les salariés. Une personne dans la confiance sera désignée pour intervenir en cas de besoin.
Le test de pénétrabilité n'est pas une visite mystère au sens des visites mises en œuvre pour tester la qualité d'un accueil ou d'un service.
Son impact sur les salariés peut être fort. Aussi il sera souhaitable pour le testeur de désigner le jour J la personne dans la confiance pour dégonfler une situation de stress.
Quelques pistes de scénarios
Le scénario est l'élément le plus important d'un test. Par quel scénario le test va pouvoir être effectué ?
Je vous propose quelques pistes de scénarios parmi un certain nombre qu'il m'est arrivé d'utiliser pour des clients.
L'entrée escortée
Le 1er scénario que je trouve intéressant est celui de l'entrée dite escortée. En fait votre visiteur profitera d'une entrée groupée pour se glisser parmi les personnes entrantes. En général, sur les sites importants où les effectifs sont nombreux, règne une certaine individualité. Celle-ci entraîne souvent une certaine indifférence vis-à-vis de l'autre. Il est difficile par ailleurs, ne nous le cachons pas, d'inciter tout le monde à se méfier de tout le monde. A moins d'une entrée individualisée de type garrot ou de visu par un personnel de sécurité, il faudra beaucoup de perspicacité et un sens aiguisé des risques à un salarié pour que celui-ci adopte la bonne attitude.
La 1ère entrée
Cette fois le visiteur se fait passer pour un stagiaire, par exemple. Il doit effectuer sa 1ère journée de scène, et doit se rendre pour cela auprès d'un collaborateur de votre entreprise. Vous aurez pris la peine que ce collaborateur dans la confiance ne soit pas joignable ce jour-là. Ainsi toute tentative de rapprocher le stagiaire à ce collaborateur ne pourra se concrétiser.
En général, le résultat est assez immédiat.
On laisse entrer le stagiaire.
Le badge qui ne marche pas
Un autre scénario consiste à fournir un badge vierge (non fonctionnel) à votre testeur. Celui-ci, feignant de ne pas pouvoir entrer à cause de son badge, se fait très souvent et courtoisement ouvrir la porte par un salarié croyant bien faire.
La personne que je connais
Même si ce scénario est celui parmi tous qui semblerait marcher le moins bien, il peut être utilisé comme ultime recours par votre prestataire réalisant le test.
Encore une fois, bien s'assurer que le collaborateur désigné par le visiteur ne soit pas joignable le jour J. Vous aurez bien entendu averti ce collaborateur.
En conclusion pour les tests.
Les moyens pour entrer sur des sites même protégés sont relativement nombreux. Cela résulte surtout du décalage encore trop grand entre les moyens techniques et le niveau de sensibilisation des salariés.
Quant aux moyens pour tester la sécurité des accès ils ne sont pas légion.
Une première action pour renforcer le niveau d'efficacité du contrôle des accès est de consacrer du temps à la formation et à la sensibilisation des salariés. Il y en a d'autres, bien évidemment.
Qu'en est-il pour ARKANE RISK ?
Pour répondre à cette problématique, ARKANE RISK a élaboré une méthode et des schémas d'actions clés en main, capables d'être mis en œuvre très rapidement.
Les tests sous forme de visite mystère permettent au client, avant tout audit ou toute analyse des risques, d'évaluer le niveau réel de fiabilité des accès à ses bâtiments. Il y en a d'autres, bien évidemment.
Comments