Quand on parle de l’ANSSI — l’Agence Nationale de la Sécurité des Systèmes d’Information —, on pense immédiatement à la cybersécurité : pare-feu, chiffrement, authentification multifacteur. C’est son cœur de métier. Mais depuis plusieurs années, l’agence insiste sur un angle souvent négligé : la sécurité physique des locaux est une condition préalable à la cybersécurité. Un intrus qui accède physiquement à une salle serveur, à un poste de travail non verrouillé ou à un local technique contourne d’emblée toutes les protections numériques mises en place.
Voici ce que les entreprises doivent retenir des recommandations de l’ANSSI concernant le contrôle d’accès physique, et comment les mettre en pratique.
Pourquoi l’ANSSI s’intéresse-t-elle à la sécurité physique ?
Dans son guide des bonnes pratiques de l’informatique et dans ses recommandations à destination des Opérateurs d’Importance Vitale (OIV) et des Opérateurs de Services Essentiels (OSE), l’ANSSI rappelle un principe fondamental : la sécurité du système d’information commence par la maîtrise de l’accès physique aux équipements.
Une menace physique peut prendre plusieurs formes : un employé malveillant qui copie des données sur une clé USB, un prestataire externe qui accède à des zones non autorisées, ou encore un intrus qui branche un équipement de capture sur le réseau local. Ces scénarios ne nécessitent aucune compétence en hacking — ils exploitent simplement une défaillance dans le contrôle des accès physiques.
L’ANSSI identifie ainsi plusieurs risques directs liés à une mauvaise gestion des accès physiques : la compromission d’équipements réseau accessibles, le vol de supports de stockage, l’installation de dispositifs d’écoute et l’accès à des informations confidentielles sur des postes non verrouillés.
Les recommandations clés de l’ANSSI pour le contrôle d’accès
1. Cloisonner les zones par niveau de sensibilité
L’ANSSI recommande de distinguer plusieurs niveaux de zones au sein des locaux professionnels : les zones publiques (accueil, salle d’attente), les zones à accès restreint (bureaux, open spaces) et les zones hautement sécurisées (salles serveurs, locaux techniques, archives).
Chaque niveau doit disposer de son propre mécanisme de contrôle d’accès — un badge seul ne suffit pas pour accéder à une salle serveur, qui devrait idéalement nécessiter une double authentification (badge + code PIN, ou badge + biométrie).
2. Appliquer le principe du moindre privilège
Comme en cybersécurité, le principe du moindre privilège s’applique au contrôle d’accès physique : chaque collaborateur ne doit avoir accès qu’aux zones strictement nécessaires à l’exercice de ses fonctions. Cela implique une gestion fine des droits par profil (direction, IT, RH, prestataires externes) et une révision régulière de ces droits — notamment lors d’un changement de poste ou d’un départ.
3. Tracer et auditer tous les accès
Un système de contrôle d’accès professionnel enregistre chaque passage : qui a accédé à quelle zone, à quelle heure, combien de fois. Ces journaux d’accès sont précieux en cas d’incident — ils permettent de reconstituer une chronologie et d’identifier d’éventuelles anomalies. L’ANSSI recommande de conserver ces logs pendant une durée suffisante et de les analyser régulièrement.
4. Gérer rigoureusement les accès des tiers
Les prestataires, techniciens de maintenance et visiteurs représentent un vecteur de risque souvent sous-estimé. L’ANSSI recommande de ne jamais laisser un tiers sans escorte dans des zones sensibles, de lui attribuer des droits d’accès temporaires et limités, et de révoquer immédiatement ces droits à l’issue de son intervention.
5. Sécuriser les équipements réseau accessibles physiquement
OIV et OSE : des obligations renforcées
Pour les Opérateurs d’Importance Vitale et les Opérateurs de Services Essentiels, les recommandations de l’ANSSI deviennent des obligations réglementaires. La directive NIS2, transposée en droit français, impose à ces opérateurs de mettre en œuvre des mesures de sécurité physique proportionnées aux risques — incluant le contrôle d’accès aux locaux hébergeant des systèmes d’information critiques.
Quelles solutions concrètes pour répondre à ces recommandations ?
Les préconisations de l’ANSSI se traduisent en pratique par la mise en place de solutions de contrôle d’accès adaptées au niveau de sensibilité de vos locaux.
Pour les zones standard (bureaux, open spaces), un système de contrôle d’accès par badge sans contact — technologie Mifare ou DESFire — offre un bon niveau de sécurité avec une gestion centralisée des droits. Les badges peuvent être programmés par plage horaire, désactivés instantanément en cas de perte ou de départ, et consultés dans un journal d’événements.
Pour les zones sensibles (salles serveurs, locaux techniques), une double authentification est recommandée : badge associé à un code PIN, ou biométrie (empreinte digitale, reconnaissance veineuse). Certaines solutions permettent également de conditionner l’accès à la présence simultanée de deux personnes habilitées — mécanisme dit des « quatre yeux ».
Pour la gestion des visiteurs et prestataires, des solutions de badges visiteurs temporaires à durée de validité limitée, couplées à un registre numérique des accès, répondent aux exigences de traçabilité de l’ANSSI.
Pour les bâtiments multi-sites, des plateformes de gestion centralisée permettent d’administrer l’ensemble des droits d’accès depuis une interface unique, avec des rapports d’activité consolidés — une nécessité pour les entreprises qui gèrent plusieurs établissements ou qui s’appuient sur des prestataires intervenant sur différents sites.
L’approche d’Agelec Protection
Depuis 1986, nous concevons et installons des systèmes de contrôle d’accès pour des entreprises de toutes tailles en Auvergne-Rhône-Alpes : PME, collectivités locales, sites industriels, copropriétés et établissements de santé. Nos installations sont certifiées APSAD et conçues pour s’intégrer dans une démarche de sécurité globale, physique et numérique.
Notre démarche suit systématiquement les étapes suivantes :
Audit préalable — nous analysons vos locaux, vos flux de personnes et vos zones sensibles pour identifier les points de vulnérabilité.
Préconisation sur mesure — nous définissons le niveau de contrôle approprié à chaque zone, en tenant compte de vos obligations réglementaires éventuelles (NIS2, assurance, certification ISO 27001).
Installation et intégration — nous déployons des solutions compatibles avec vos systèmes existants (alarme, vidéosurveillance, SIRH) et formons vos équipes à leur utilisation.
Maintenance et évolution — nous assurons la maintenance préventive et corrective de votre installation, et vous accompagnons dans l’adaptation de vos droits d’accès à l’évolution de votre organisation.
Nos partenaires technologiques incluent Ajax Systems, Vauban Systems, Aiphone et HID Global — des marques dont les équipements répondent aux exigences des référentiels de sécurité les plus exigeants.
En résumé
La sécurité physique n’est plus un sujet annexe à la cybersécurité — elle en est le fondement. Les recommandations de l’ANSSI le rappellent clairement : contrôler qui entre dans vos locaux, tracer ces accès et cloisonner vos zones sensibles sont des mesures aussi essentielles que de mettre à jour vos logiciels ou de sensibiliser vos équipes aux tentatives de phishing.
Si vous souhaitez évaluer le niveau de votre contrôle d’accès physique au regard des recommandations de l’ANSSI, nos experts sont disponibles pour un audit gratuit de votre site.
