Actualités

Tester la vulnérabilité des accès à un site et visite mystère

Contrôle des accès

Tester la vulnérabilité des accès à un site et visite mystère. Quelques pistes …

Vous pensez peut-être sécurisés les accès de votre entreprise. Quoi de plus naturel puisque vos salariés disposent tous d’un badge ou d’un smartphone pour valider leur entrée sur un lecteur installé sur chaque ouvrant. Mais êtes-vous certain au fond que cela suffise pour qualifier de fiable votre dispositif ?

Failles techniques ou humaines ?

Pour vous assurer de la fiabilité de votre dispositif, il ne suffit malheureusement pas de ne prendre en compte que l’installation technique.

Les moyens techniques pour sécuriser les accès sont nombreux et de plus en plus connectés aux réseaux de données des entreprises. Ils sont aussi de plus en plus accessibles par Internet, dit-on de manière sécurisée, pour les piloter. Les failles techniques sont très probablement minimes, pour ne pas dire impossibles car cela serait faux, aussi ce n’est pas prioritairement là que votre dispositif sera le plus vulnérable.

Comme dit le vieil adage dans le métier : « L’homme est le maillon fort et le maillon faible des dispositifs de sûreté ». C’est bien l’homme qui, par son intelligence, sa perspicacité et son instinct, sera le plus à même de détecter la malveillance, mais c’est lui aussi qui, par mauvaise intention, désir de vengeance, ou simple négligence, sera celui par qui passera la malveillance.

Faites jouer un rôle

Rien ne vaut l’épreuve réelle pour tester le contrôle de vos accès. C’est en effet grâce à la mise à l’épreuve par des tentatives de pénétrabilité (et non d’intrusion) que vous serez en mesure d’évaluer l’efficacité de votre dispositif. Car ce sont bien les négligences de vos salariés, ou les limites de votre organisation de la sûreté, qui peuvent être à l’origine de la vulnérabilité du contrôle des accès.

Tout d’abord, c’est évident, celui ou celle qui effectuera les tests ne peut être un salarié connu du site. Préférez donc un prestataire externe à qui vous aurez préalablement demandé de signer un engagement de discrétion.

Détermination du périmètre des tests

Vous devrez ensuite définir le périmètre des tests.

Quel créneau horaire par exemple ? Le choix d’un créneau horaire à forte affluence sera privilégié.

Quels objectifs ? Vous devrez définir la ou les cibles à atteindre sur le site. Entrer sur un site est une chose, atteindre une cible stratégique à l’intérieur d’un site en est une autre. Vous pouvez par exemple définir comme cible un bureau, une salle, un atelier, une photocopieuse, une machine, etc. …

Vous devrez ensuite définir les limites du test. Quand l’arrêter et comment ? Vous devrez en effet prévoir les actions à mener en cas de détection de la tentative, voire même prévoir le cas où celle-ci serait mal vécue par les salariés.

Une personne dans la confidence sera désignée pour intervenir en cas de besoin. Le test de pénétrabilité n’est pas une visite mystère au sens des visites mises en œuvre pour tester la qualité d’un accueil ou d’un service. Son impact sur les salariés peut être fort. Aussi il sera souhaitable pour le testeur de désigner le jour J la personne dans la confidence pour dégonfler une situation de stress.

Quelques pistes de scénarios

Le scénario est l’élément le plus important d’un test. Par quel scénario le test va pouvoir être effectué ?

Je vous propose quelques pistes de scénarios parmi un certain nombre qu’il m’est arrivé d’utiliser pour des clients.

L’entrée escortée

Le 1er scénario que je trouve intéressant est celui de l’entrée dite escortée. En fait votre visiteur profitera d’une entrée groupée pour se glisser parmi les personnes entrantes. En général, sur les sites importants où les effectifs sont nombreux, règne une certaine individualité. Celle-ci entraîne souvent une certaine indifférence vis-à-vis de l’autre. Il est difficile par ailleurs, ne nous le cachons pas, d’inciter tout le monde à se méfier de tout le monde. A moins d’une entrée individualisée de type tourniquet ou de visu par un personnel de sécurité, il faudra beaucoup de perspicacité et un sens aiguisé des risques à un salarié pour que celui-ci adopte la bonne attitude.

La 1ère entrée

Cette fois le visiteur se fait passer pour un stagiaire, par exemple. Il doit effectuer sa 1ère journée de stage, et doit se rendre pour cela auprès d’un collaborateur de votre entreprise. Vous aurez pris la peine que ce collaborateur dans la confidence ne soit pas joignable ce jour-là. Ainsi toute tentative de rapprocher le stagiaire à ce collaborateur ne pourra se concrétiser.

En général le résultat est assez immédiat. On laisse entrer le stagiaire.

Le badge qui ne marche pas

Un autre scénario consiste à fournir un badge vierge (non fonctionnel) à votre testeur.

Celui-ci, feignant de ne pas pouvoir entrer à cause de son badge, se fait très souvent et courtoisement ouvrir la porte par un salarié croyant bien faire.

La personne que je connais

Même si ce scénario est celui parmi tous qui semblerait marcher le moins bien, il peut être utilisé comme ultime recours par votre prestataire réalisant le test.

Encore une fois, bien s’assurer que le collaborateur désigné par le visiteur ne soit pas joignable le jour J. Vous aurez bien entendu averti ce collaborateur.

En conclusion pour les tests.

Les moyens pour entrer sur des sites même protégés sont relativement nombreux. Cela provient surtout du décalage encore trop grand entre les moyens techniques et le niveau de sensibilisation des salariés.

Quant aux moyens pour tester la sécurité des accès ils ne sont pas légions. Une première action pour renforcer le niveau d’efficacité du contrôle des accès est de consacrer du temps à la formation et la sensibilisation des salariés.

Il y en a d’autres, bien évidemment.

Qu’en est-il pour 2S RISK ?

Pour répondre à cette problématique, 2S RISK a élaboré une méthode et des schémas d’actions clés en main, capables d’être mis en oeuvre très rapidement. Les tests sous forme de visite mystère permettent au client, avant tout audit ou toute analyse des risques, d’évaluer le niveau réel de fiabilité des accès à ses bâtiments.