Print Friendly, PDF & Email

Zoom

Accueil > Zoom

Nomadisme, de la nouvelle mobilité et de ses impacts sur la gestion des accès

Le nomadisme des cadres, qui pourrait sembler un lieu commun tant il a été évoqué en sociologie du travail et des organisations, est en réalité un fait social protéiforme à reconsidérer à l’aune de sa complexité actuelle. Ce changement de focale permet de mesurer les impacts réels d’un nomadisme désormais global sur la problématique de protection du patrimoine matériel et surtout immatériel de l’entreprise, notamment au travers de la gestion des accès physiques et de son premier vecteur technique, le contrôle d’accès au moyen de technologies avec et/ou sans contact.

Publié le 10 avril 2015 - Sébastien Mauqué, directeur stratégie, Groupe Partenaire Sécurité

S’il a longtemps été considéré sous l’angle du nomadisme opportuniste pour les uns, cadres à haut potentiel, ou du nomadisme forcé pour les autres, middle management « fusible », le nomadisme professionnel actuel est surtout influencé par le management de missions. Ce changement profond de culture vers l’intermittence s’explique notamment par la conversion des grandes entreprises à l’utilisation des cabinets de conseil en management et stratégie ainsi que des SSII, dans une optique de maîtrise de leur masse salariale.
Par ailleurs, cette problématique n’est plus uniquement une question de mobilité interentreprises (plan de carrière, plan social, CDD de mission) mais aussi de mobilité intra-entreprise ou intra-Groupe, selon les cas. Paradoxalement, il s’agit d’un phénomène qui existe depuis toujours dans les différentes fonctions publiques, particulièrement d’Etat et territoriale. Cependant, la mobilité « intra » trouve une illustration nouvelle dans le secteur privé avec le management par missions. Avec en point de mire le dynamisme et l’efficacité dans l’atteinte d’objectifs, certaines entreprises font par exemple de la mobilité interne une règle à laquelle il est difficile de déroger, voire impossible après une ou deux reconductions.
A ce nomadisme symbolique, viennent s’ajouter deux formes plus concrètes de mobilité qui sont de nature géographique. La plus évidente est l’itinérance multi-sites. Si ce phénomène est ancien, il a toutefois tendance à s’accélérer lors de périodes de concentration horizontale sur un marché. Les phases d’intégration lors des « fusacq » et la mutualisation de certaines fonctions génèrent inévitablement des mouvements. La seconde est consubstantielle de la première et concerne la mobilité du poste de travail dans son intégralité. Trois évolutions illustrent ce changement : le travail itinérant, le télétravail et le « flex office » ou bureau flexible. Le travail itinérant n’est pas un état permanent mais, du fait de l’évolution des technologies disruptives liées à la communication, il concerne une part grandissante des salariés amenés à se déplacer et à dématérialiser leur bureau. Hôtels, trains, avions, cafés sont autant d’espaces éphémères de travail pour les salariés, dont le temps de déplacement n’est plus considéré comme un temps nécessairement improductif. Les deux évolutions les plus récentes, le télétravail et le bureau flexible, constituent, après le quasi échec du concept du décloisonnement et de sa traduction architecturale via l’open space, l’alternative à la hausse permanente des coûts cumulés du mètre carré en entreprise. Ce changement s’opère sous nos yeux puisque le « flex office » constitue une réalité quotidienne pour de grandes entreprises comme AXA, Bouygues Telecom, Thales ou encore BNP Paribas. Le salarié n’est plus en espace personnel partagé, soit un bureau pour plusieurs personnes, mais son environnement se transforme pour évoluer vers le provisoire avec la mise à disposition d’un ensemble d’outils et de services. Il se voit attribuer une place assise, un accès réseau, un téléphone et des services annexes partagés.
Ces différentes illustrations de la mobilité caractérisent, par conséquent, un nomadisme global, tant symbolique que concret, et qui s’impose à un ensemble de catégories socioprofessionnelles plus large que les cadres. Le corollaire inévitable de cette globalisation est double. En premier lieu, il provoque une généralisation de vulnérabilités autrefois minoritaires auxquelles les entreprises doivent s’adapter et pas uniquement sous l’angle de la protection des systèmes d’information mais également au niveau de la sécurité physique du capital immatériel. En second lieu, le nomadisme global contribue à créer un besoin de nouveaux services en réponse aux besoins des collaborateurs.

La généralisation des vulnérabilités liées aux nouvelles formes de travail

En termes de sûreté, nonobstant les questions de confidentialité, le management de missions, générant une mobilité inter et intra-entreprise, pose le problème de la diligence et de la souplesse dans la gestion de droits d’accès tant sur le plan physique qu’informatique. L’arrivée et le départ d’un collaborateur, voire d’un prestataire extérieur, dans une fonction sont-ils synchronisés avec ses autorisations d’accès ? Rien n’est moins sûr, surtout lorsque la question devient récurrente, car le coût humain pour y répondre est important : mise en œuvre de procédures, administration des bases de données, démultiplication et complexification des profils, encodage, distribution, prêts…
Une autre vulnérabilité provient du fait que nombre d’entreprises, constituées sous leur forme actuelle par le biais d’une stratégie de croissance externe, font face à un problème d’hétérogénéité des systèmes de contrôle d’accès. Il n’est pas rare d’observer la coexistence de cinq technologies de badges différentes au sein d’un même Groupe, voire d’une même entreprise. Outre la complexité de gestion des droits, que nous évoquions auparavant, il en résulte des niveaux de sûreté hétérogènes et une vulnérabilité plus importante de certains bâtiments qui n’ont pas été migrés vers des technologies et architectures ne présentant pas de faille de sécurité avérée. Qui plus est, cette absence d’harmonie accroit la vulnérabilité liée aux salariés itinérants, du fait d’une gestion de badges démultipliée entrainant des risques classiques de perte ou de clonage plus importants.
Au-delà des risques traditionnels, on note également une évolution des risques liés à l’exportation de données en dehors de la sphère physique du lieu de travail. Il ne s’agit pas d’une problématique nouvelle mais l’ampleur croissante du travail itinérant et du télétravail génèrent de facto une augmentation de ces risques : vol de données sensibles par simple écoute de conversations, observation de salariés en situation de travail ou au moyen de dispositifs de piégeage électronique, brouillage des frontières entre vie numérique privée et vie professionnelle créant des failles (la dangerosité de l’utilisation des réseaux sociaux par des salariés est, par exemple, manifeste dans le cas du piratage de Gemalto récemment dévoilé).
La responsabilisation des salariés face à la protection de l’information et le contrôle permanent qui en découle sont donc prégnants dans le nouveau paradigme sécuritaire qui se dessine (voir le guide BP Z90-001 publié par l’AFNOR fin 2014). Néanmoins, la mutation organisationnelle, au travers d’un politique formalisée de protection globale des données sensibles, doit s’accompagner d’une évolution des outils pour un retour à des formes de sécurité plus dures.
La montée en puissance des services informatiques et des RSSI dans les projets de sécurité ont consacré un retour à une sécurisation plus importante dans le domaine des télécommunications et du contrôle d’accès sans-contact, pour éviter les clonages de cartes ou le piratage d’organes de commande (voir le guide de l’ANSSI sur la « sécurité des technologies sans-contact pour le contrôle des accès physiques »), mais également dans le domaine des technologies de contrôle d’accès par carte à puce ou biométriques pour sécuriser l’accès aux terminaux informatiques, mobiles ou non. Encore une fois, il ne s’agit pas d’un bouleversement technologique mais de l’utilisation plus large d’une bonne pratique réservée par le passé à certains domaines d’activités sensibles et fondée sur le concept d’authentification forte (identifiant/authentifiant/certificat et/ou empreinte biométrique). La NFC, Near Field Communication, lorsqu’elle est employée dans les règles de l’art sur le plan cryptographique, est une évolution sérieuse des technologies sans-contact dans le domaine de l’authentification forte, surtout dans la projection de son couplage imminent avec la biométrie, qu’elle soit appliquée à du contrôle d’accès physique ou sur des terminaux informatiques.
Cette nécessité d’intégrer le contrôle d’accès au niveau des postes informatiques illustre le passage du bureau traditionnel, une pièce contenant des outils de travail dont un ordinateur, au bureau virtuel dont la frontière est une connexion réseau. Là où traditionnellement on aurait réalisé du filtrage d’accès uniquement sur une porte, le terminal lui-même est considéré comme une voie d’accès et doit demeurer inaccessible sans un certain nombre de sésames. Cela n’obère pas l’importance du contrôle d’accès au sein d’un bâtiment mais vient créer une couche de filtrage supplémentaire. L’importance prise par le « flex office », s’il rencontre un développement viral, comme l’open space en son temps, nécessitera d’ailleurs d’augmenter la sécurité physique des postes mobiles car contrairement à ce qui survit au sein d’un espace partagé, le contrôle social ne naîtra pas sur des espaces dépersonnalisés. Le risque est fort que l’individu ne se préoccupe que de ce qui le concerne directement et de ce sur quoi sa responsabilité porte.

La nécessité de faire converger technologies de sûreté et services aux salariés

Si le nomadisme global génère des risques nouveaux ou, à tout le moins, d’ampleur nouvelle au sein des entreprises, il importe pour ces dernières d’endiguer les vulnérabilités induites. La résolution de ce problème ne se fera pas sans désamorcer les désagréments pour les utilisateurs, qui sont eux-mêmes sources de biais potentiels.
L’hétérogénéité des systèmes de contrôle d’accès, au sein d’une entreprise dont certains salariés ont à se partager entre plusieurs sites, ne crée pas seulement un phénomène de nivellement par le bas du niveau de sécurité général de l’organisation. Il produit aussi des effets pervers entravant l’exploitation, la solution ne passe pas forcément par la politique de la table rase. Il s’agit bien évidemment d’une solution simple mais la médaille a souvent un revers. La refonte globale sauvage risque d’entraîner le client final vers une propriétarisation des systèmes, au profit du moins disant, sans garantie de pérennité ni de maîtrise des coûts à moyen et long terme, ni même d’amélioration du niveau de sécurité. De plus, il n’est pas certain que la solution proposée garantisse d’englober une autre problématique de taille liée au nomadisme : la question de la gestion des services. Les itinérants, mais aussi les sédentaires, connaissent de multiples problèmes de multiplication de porte-monnaie électroniques pour les RIE et distributeurs de boissons, des problèmes d’interopérabilité sur des services tels que l’impression en réseau, l’auto-partage, la réservation de salles ou la gestion du temps. Les entreprises font face à un problème global qui ne peut être résolu en regardant par le petit bout de la lorgnette. La solution est une vision panoramique.

Vers un support unique multi-technologies et multi-applications

Par conséquent, si une solution raisonnable se dessine, que ce soit en termes de reconquête de leur liberté par les entreprises, en termes de niveau de sécurité basé sur le couple cryptographie/puissance de calcul ou encore en matière de gestion des services qui vont recréer de l’attractivité au sein d’espaces dépersonnalisés, il s’agit avant tout d’une harmonisation vers un support unique multi-technologies et multi-applications, véritable carte d’entreprise, qu’il passe par un badge ou par une application encapsulée dans une carte SIM, comme c’est le cas pour la NFC par exemple. En outre, située au carrefour du monde des technologies d’identification sans contact et des réseaux, la NFC permet d’introduire la notion d’action distante, qu’elle concerne une évolution de droits ou un changement de service, sans passage sur un terminal. Elle a l’avantage de l’immédiateté et de la massification.
Le badge unique n’est en aucun cas un fantasme ou une projection de science-fiction. Il s’agit d’une réalité qui existe déjà au sein d’entreprises ayant pris à bras le corps ce problème d’harmonisation. Souhaitant répondre concomitamment aux vulnérabilités créées par la transformation de leurs organisations, sur le plan de la sécurité et sur le plan social, et maîtriser leurs coûts d’exploitation, elles se sont orientées vers une solution intégrée et souple.

À propos du guide « Sécurité des technologies sans-contact pour le contrôle des accès physiques » réalisé par l’ANSSI

Ce guide se veut une aide à la décision quant au choix d’un système de contrôle d’accès sans contact, et propose les bonnes pratiques à déployer pour sa mise en œuvre.
Il fournit des recommandations permettant d’assurer la mise en place d’un système de contrôle d’accès reposant sur les technologies sans contact en conformité avec un niveau de sécurité satisfaisant. Ces recommandations s’appliquent aussi bien à des systèmes de contrôle d’accès « mono-sites », ou des systèmes « multi-sites », dont la gestion est centralisée.
Pour les sites où des technologies sans contact sont déjà déployées, ce guide donne aux gestionnaires des éléments pour effectuer une vérification de leur niveau de sécurité et pour s’assurer que les bonnes pratiques sont appliquées.
De plus, ce guide accompagne les choix d’évolution technologique en détaillant les recommandations à suivre pour que le niveau de sécurité global du site soit cohérent avec le niveau de sécurité de la technologie utilisée.
L’objectif de ce guide n’est cependant pas d’imposer une architecture ou une solution technique. Il n’a pas non plus vocation à servir de cible de sécurité pour les produits de contrôle d’accès sans contact.

Un guide INCONTOURNABLE pour tout responsable sécurité qui souhaite installer un contrôle d’accès sans contact. Un guide à télécharger gratuitement sur le site de l’ANSSI, sur le site du magazine Sécurité Privée ou en flashant le QR code ci-après.

Téléchargez le guide

Sans parti pris et sans concession, Sécurité Privée est un magazine professionnel destiné aux acteurs de la sécurité, qu’ils soient clients ou prestataires, conseils ou conseillés, qu’ils exercent leur activité dans le secteur public ou le secteur privé.

Tous les magazines