L'identité n'est pas la brique manquante dans le contrôle d'accès

La cybersécurité a déjà résolu la plupart des problèmes auxquels l’accès physique se débat encore. L’un d’eux portait sur la propriété de l’identité. La réponse a été tranchée en informatique il y a dix ans. Okta, Azure AD, Workday et une génération de systèmes RH ont pris ce terrain et ne l’ont jamais rendu. La plupart des opérateurs qui lisent ces lignes le savent déjà. Au travail, ils se connectent à tous les autres systèmes avec des identifiants qui ne sont pas nés dans la pile de sécurité.

Le secteur de l’accès se demande aujourd’hui s’il faut rouvrir cette question. Non. Et le fait même qu’on en débatte est révélateur.

Sous le débat se cache un schéma réel, et il mérite d’être nommé. Sur les dix-huit derniers mois, le centre de gravité de l’accès physique s’est déplacé de la porte vers la personne. Les fabricants qui vendaient des contrôleurs parlent aujourd’hui des personnes. Les intégrateurs qui vendaient des lecteurs parlent aujourd’hui de cycles de vie. La gestion des visiteurs, qui relevait de la sécurité il y a dix ans, a migré vers le rayon de l’expérience collaborateur et n’en revient pas. À chaque salon récent, le même déplacement s’observe. Celui qui détient la fiche de la personne, dit l’argument, détient la relation client. Le secteur de l’accès, poursuit l’argument, doit donc détenir cette fiche, sous peine d’être réduit à l’équipe qui ouvre ou n’ouvre pas les portes.

Le schéma est juste. La conclusion ne l’est pas.

Le schéma est juste parce que le centre de gravité s’est effectivement déplacé. Qui vend des cylindres, des contrôleurs ou des lecteurs en 2026 sait déjà que la première question du client porte sur les personnes, pas sur les composants. La conclusion est fausse parce que la fiche de la personne a été conquise par d’autres il y a des années, dans une bataille que notre secteur n’a jamais menée. Conseiller aujourd’hui au secteur de l’accès de s’emparer de l’identité revient à conseiller à une quincaillerie en 2026 de devenir Amazon. Le conseil est logiquement défendable et opérationnellement sans issue.

La question plus utile est celle que les opérateurs posent vraiment. Lorsque le système RH indique qu’Anna est une prestataire dont le contrat se termine vendredi à 17h00 : que se passe-t-il à la porte à 17h01 ? Dans le bâtiment 3, sur le quai de chargement, avec trois clés mécaniques encore dans son tiroir et un badge électronique délivré il y a quatre mois que personne n’a désactivé ? Lorsque sa remplaçante commence lundi et hérite du même profil d’accès sous une autre fiche de personne : qui le voit ? Et qui le prouvera plus tard ?

L’identité ne répond pas à ces questions. Elle ne le peut pas. L’identité dit qui est Anna. Elle ne dit pas où elle peut aller, quand, ni sous quelles règles. Elle ne dit pas non plus quelles preuves subsistent lorsqu’un auditeur interrogera dans dix-huit mois. Le centre de gravité s’est déplacé plus loin que le débat dominant ne le reconnaît. Il est passé de la porte à la personne. Puis de la personne à la politique qui régit la personne dans l’espace physique. C’est ce second déplacement qui mérite que le secteur en parle.

Cette couche a un nom et une forme. Elle abrite les plannings, les zones, les bornes de temps, les politiques de rôle et les règles d’exception. Elle gère l’inventaire mécanique et électronique d’un bâtiment et sait quelle clé ouvre quelle porte, quel badge appartient à quelle personne, et lequel de ces badges aurait dû être récupéré la semaine dernière. Elle couvre l’étendue de l’intégration entre PACS, organigrammes de fermeture mécanique, serrures électroniques, systèmes de visiteurs et pointage. Elle est la piste d’audit qui survit à un procès, pas seulement à un trimestre. Rien de cela ne figure dans la feuille de route de Workday. Rien n’y figurera jamais. Workday ne planifiera jamais un cylindre.

C’est cette couche qu’il vaut la peine de revendiquer. Et c’est dans cette couche que notre secteur a accumulé silencieusement pendant quarante ans une expertise qu’il n’avait jamais nommée. Le nom compte maintenant, parce que le marché pose enfin la bonne question. Les entreprises qui défendent l’idée que la sécurité physique devrait s’emparer de l’identité mènent une guerre tranchée il y a dix ans. Celles qui défendent la couche située sous l’identité, la couche faite de politiques et de réalité physique, décrivent le travail qui existe réellement.

C’est précisément la position que portier construit. Une couche d’accès centrée sur la personne et pilotée par les politiques, qui prend l’identité là où elle vit, applique les règles d’un bâtiment réel et prouve ensuite ce qui s’est passé. Nous n’avons pas à définir qui est Anna. Nous devons définir ce qui doit se passer quand elle se dirige vers le quai de chargement à 17h01 un vendredi, avec trois clés dans son tiroir.

Le passage de la porte à la personne a été le premier déplacement. Le passage de la personne à la politique est le suivant. La majeure partie du bruit dans le secteur tourne encore autour du premier. Les entreprises qui gagneront la prochaine décennie sont celles qui travaillent déjà sur le second.