Nous savons déjà qu'une bonne sécurité est essentielle pour la continuité des activités d'une entreprise, et qu'un système de contrôle d'accès est indispensable pour garantir un environnement de travail sécurisé. Après la pandémie de ces deux dernières années, beaucoup d'entre nous ont par ailleurs pu constater l'importance de gérer le flux de personnes entrant et sortant des sites professionnels.
Une bonne sécurité est primordiale... mais disposez-vous en parallèle d'une politique de contrôle d'accès physique détaillée ? A quelle fréquence est-elle mise à jour ?
1. Qu'est-ce qu'une politique de contrôle d'accès physique ?
Ce document définit qui est autorisé à accéder à quels endroits de votre organisation, et dans quelles circonstances. Il décrit également la façon dont ces droits d'accès doivent être gérés. Pour être efficace, la politique de contrôle d'accès physique doit être intégrée à votre système, de la même manière qu'une solution de contrôle d'accès physique avec un système de gestion des visiteurs par exemple.
Jeroen van Dormolen, responsable chez Nedap Security Management, explique :
"Avant de déployer notre solution, nous demandons aux organisations comment elles envisagent de gérer leur système contrôle d'accès. C'est un processus impératif pour s'assurer que leurs attentes et les cas d'utilisation réels sont alignés."
2. Pourquoi avez-vous besoin d'une politique de contrôle d'accès physique ?
Pour créer un environnement sûr et sécurisé, vous devez tenir compte de trois éléments : le système, les procédures et les utilisateurs. Avec un peu de chance, vous avez déjà choisi un bon système de contrôle d'accès comme AEOS, et vous êtes déjà entouré des bonnes personnes, avec le niveau adéquat de formation.
La politique de contrôle d'accès physique consigne les procédures à suivre lorsque vos employés utilisent votre ou vos systèmes, afin qu'ils puissent réagir en conséquence. En effet, la meilleure technologie de contrôle d'accès est inutile si ses utilisateurs ne savent pas comment s'en servir !
N'oubliez pas non plus que la sécurité physique ne consiste pas seulement à protéger les personnes, les lieux et les biens physiques, mais aussi les biens numériques. En effet, si des personnes mal intentionnées accèdent à vos locaux, il leur est plus facile de s'immiscer ensuite dans votre réseau, et de dérober vos fichiers et vos données.
Comme l'explique Linda Howson, Ingénieur Recherche et Développement chez Nedap Security Management :
"Une politique de contrôle d'accès n'est qu'un élément de la stratégie de sécurité globale d'une organisation. Cependant, on peut s'appuyer sur de nombreux aspects de cette stratégie pour créer ou modifier la politique de contrôle d'accès."
En effet, nous devrions considérer la politique de contrôle d'accès comme une pièce du grand puzzle de la stratégie de sécurité globale d'une organisation. Il s'agit toutefois d'une pièce clé qui nécessite la collaboration de nombreuses parties prenantes, ainsi que de la direction.
3. Que devez-vous inclure dans votre politique de contrôle d'accès ?
Si chaque politique de contrôle d'accès physique est différente, on y retrouve souvent les lignes directrices suivantes :
Objectifs
Comme son nom l'indique, cette section établit les objectifs de votre politique de contrôle d'accès physique. Bien que le but fondamental soit de gérer l'accès aux espaces physiques, les raisons pour lesquelles vous souhaitez contrôler l'accès vous seront spécifiques. Vous pouvez, par exemple, vouloir empêcher le vol de stocks, l'endommagement de vos équipements ou l'accès à des sites dangereux, autant d'éléments qui peuvent affecter la continuité de vos activités de diverses manières.
Quels que soient vos raisons, énoncez-les clairement, afin que les gens comprennent les conséquences potentielles du non-respect de votre politique de contrôle d'accès.
Champ d'application
Si les gens ne comprennent pas l'intérêt de votre politique, ils auront des difficultés pour la suivre. Cette section doit préciser à qui s'applique votre politique de contrôle d'accès physique - par exemple, les employés, les visiteurs, les fournisseurs et les clients - et à quels sites elle se rapporte (siège social, usines, entrepôts, points de vente au détail...)
Responsabilités
Déterminez ici qui est responsable de quoi. Une équipe peut être chargée de rédiger et de mettre à jour votre politique de sécurité, tandis qu'une autre est chargée de la faire appliquer. Une personne peut assurer la maintenance de votre système de contrôle d'accès, pendant qu'une autre gère l'équipe de sécurité qui l'utilise.
Ne donnez jamais à une seule personne l'entière responsabilité de votre politique de contrôle d'accès : elle ne sera alors pas en mesure d'enfreindre les règles, que ce soit intentionnellement ou non.
Politiques et procédures
C'est ici qu'il faut expliquer en détail les procédures individuelles qui se combinent pour créer votre politique globale de contrôle d'accès physique.
Vous pouvez, par exemple, décrire :
Comment les autorisations pour les employés, les visiteurs et les fournisseurs doivent être instaurées et gérées.
Qui est et n'est pas autorisé à entrer dans certains endroits.
Quels types de modes d'identification sont nécessaires pour accéder à chaque zone.
"Une politique de contrôle d'accès forte doit exprimer clairement qui a accès à quoi, sous un modèle de zonage. Ce dernier permet d'établir comment passer d'une zone à une autre."
Jeroen van Dormolen, Nedap Security Management.
Contrôles et gestion des audits
Pour vérifier que votre politique de contrôle d'accès est respectée, vous devrez effectuer des audits réguliers. Cette rubrique doit définir quand et comment ces audits auront lieu.
Votre politique de contrôle d'accès devra également être gérée et mise à jour en permanence pour garantir son efficacité. Vous devez donc décrire en détail comment vous allez vous y prendre.
Mise en application
Cette section explique les sanctions qui seront infligées aux personnes qui ne respectent pas votre politique de contrôle d'accès. Certaines personnes ont besoin d'un élément dissuasif pour éviter de prendre des raccourcis ou d'outrepasser les politiques, alors soyez clair sur les conséquences encourues s'ils enfreignent les règles.
Et, pour éviter que les gens n'oublient ces règles, assurez une formation régulière sur les détails inclus dans votre politique de contrôle d'accès.
Historique des versions de la politique
Votre politique de contrôle d'accès doit être un document vivant, revu après chaque évaluation des risques (idéalement deux fois par an). C'est d'autant plus vrai si des changements importants interviennent dans votre entreprise !
Incluez une trace de la date à laquelle votre politique a été vérifiée et mise à jour. Vous pouvez, par exemple, inclure un tableau tel que celui-ci :
Cela vous aide non seulement à garder une trace, mais aussi à montrer qu'il s'agit d'un document important auquel les gens peuvent se fier et qu'ils doivent suivre.
4. Meilleures pratiques pour élaborer votre politique de contrôle d'accès
Impliquez les bonnes personnes lors du travail de fond
Au moment d'élaborer votre politique de contrôle d'accès physique, faites appel à des personnes qui comprennent réellement vos besoins et vos risques en matière de contrôle d'accès. Il peut s'agir, par exemple, de membres de vos équipes de gestion de la sécurité, de gestion des installations et d'informatique, ainsi que d'autres parties prenantes telles que les directeurs généraux.
N'oubliez pas qu'il y a beaucoup de travail à faire avant de commencer à rédiger votre politique de contrôle d'accès physique !
Commencez par le commencement
Il est recommandé de se concentrer sur quatre éléments clés avant d'élaborer votre politique de contrôle d'accès : groupes d'accès, conformité, formation et déploiement.
Faites la vivre !
Une fois votre politique de contrôle d'accès mise en place, veillez à ce qu'elle reste un document vivant, à jour, fonctionnel et facile à mettre en œuvre.
Vous voulez en savoir plus sur les politiques de contrôle d'accès physique ? Contactez-nous !