La sécurité physique continue de résoudre des problèmes que l'informatique a résolus il y a des années

La cybersécurité a résolu bon nombre des problèmes sur lesquels la sécurité physique bute encore. L'identité en est l'exemple le plus clair.

En informatique, la question « qui est cette personne et à quoi doit-elle avoir accès » a trouvé sa réponse il y a des années. Des plateformes comme Okta ou Microsoft Entra ID relient les systèmes RH à l'accès aux applications. Quand une personne arrive, elle obtient les droits qui lui reviennent. Quand elle part, ses accès sont supprimés. Quand son poste change, les droits suivent. Le processus est automatique, traçable, et relié à la source de vérité : le système RH.

La sécurité physique n'a pas suivi.

Un monde parallèle

Plutôt que de se brancher sur ce qui existe déjà, le secteur de l'accès physique a construit sa propre couche d'identité. Des bases de données dédiées aux porteurs de badges. Des processus d'enrôlement à part. Une gestion du cycle de vie qui ne dialogue que rarement, et sans cadre structuré, avec les systèmes RH ou IT.

Le résultat est prévisible. Une personne quitte l'entreprise. L'informatique désactive son compte en quelques heures. Son accès aux bâtiments, lui, reste actif pendant des semaines, parfois des mois. Non pas par décision explicite, mais parce que les systèmes ne sont pas reliés et que personne n'a déclenché le retrait.

Les clés mécaniques aggravent la situation. Une clé n'expire pas. Elle reste dans une poche. Elle survit aux contrats, aux réorganisations et à la fin de l'emploi. Sans processus de restitution encadré, l'accès persiste sans limite.

Pourquoi l'écart existe

Une partie de l'explication est technique. Les systèmes de contrôle d'accès physique ont été conçus comme des environnements fermés, sur site, avec des protocoles propriétaires. Les connecter à quoi que ce soit demandait un travail d'intégration sur mesure, que la plupart des organisations n'avaient ni le budget ni l'envie d'engager.

Une autre partie est structurelle. Le secteur de la sécurité physique a historiquement évolué dans son propre couloir. Les équipes qui gèrent les serrures et les badges sont rarement celles qui gèrent l'identité informatique. Elles dépendent de responsables différents, utilisent d'autres outils, suivent d'autres processus. Le problème n'est pas que l'identité reste à résoudre. Le problème est que la solution se trouve dans un service avec lequel la sécurité physique n'a que peu de contacts.

Une dernière partie est commerciale. Les éditeurs ont intérêt à vendre leur propre gestion d'identité comme fonctionnalité. Si le client se rend compte que son système RH ou sa plateforme d'identité pourrait piloter les décisions d'accès physique, une part importante de la valeur du produit s'efface.

Ce qui change quand on cesse de réinventer

Lorsque l'accès physique se connecte aux sources d'identité qui existent déjà, trois choses se produisent.

D'abord, l'accès suit les changements organisationnels sans intervention manuelle. Quelqu'un change de service, son accès physique est mis à jour. Un contrat se termine, ses badges et ses clés sont signalés pour retrait. C'est le système RH qui déclenche l'action, et non un facility manager qui parcourt un tableur.

Ensuite, les enregistrements deviennent complets sans effort supplémentaire. Chaque décision d'accès remonte à un événement organisationnel. Les auditeurs voient non seulement qui a accès, mais aussi pourquoi, et à quel moment ce motif a changé. La trace se construit d'elle-même, au fil du processus, au lieu d'être reconstituée après coup.

Enfin, les accès qui ne devraient pas exister deviennent détectables. Quand la source de vérité est connectée, on peut comparer les accès réels aux accès attendus. L'écart devient visible. Et un écart visible se corrige avant de devenir un incident.

Le schéma, pas la prédiction

Il ne s'agit pas de spéculer sur l'avenir du secteur. Il s'agit d'un schéma qui s'est déjà déroulé dans l'informatique, les RH et la finance. Chacune de ces fonctions est passée par une phase où les données vivaient en silos, où les processus étaient manuels et où l'intégration semblait facultative. Puis la pression réglementaire et le passage à l'échelle ont imposé la convergence.

L'accès physique arrive à ce point de bascule. NIS2, DORA et les exigences de plus en plus strictes de l'ISO 27001 rendent de moins en moins défendables les systèmes cloisonnés et les processus manuels. Les organisations qui rattacheront leur accès physique à leur infrastructure d'identité existante seront celles qui pourront démontrer leur conformité sans reconstruire leurs registres à chaque cycle d'audit.

La technologie n'est pas le frein. Les interfaces existent. Les API REST sont la norme. Le frein, c'est de reconnaître que le problème a déjà été résolu, et de construire la connexion plutôt que la copie.