Contrôle d'accès ANSSI type 1 : guide complet sur la certification et les exigences

Pourquoi l'ANSSI encadre le contrôle d'accès physique

Le contrôle d'accès physique constitue la première ligne de défense d'un site sensible. Longtemps considéré comme un domaine purement mécanique ou électronique, il est devenu un enjeu majeur de cybersécurité depuis que les systèmes modernes reposent sur des technologies numériques : badges sans contact, réseaux IP, bases de données centralisées et protocoles de communication. Une faille dans un système de contrôle d'accès peut compromettre l'intégrité physique d'une installation classifiée, permettre l'accès non autorisé à des zones protégées ou faciliter l'exfiltration de données sensibles.

C'est dans ce contexte que l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a publié en 2023 son guide de recommandations sur la sécurisation des systèmes de contrôle d'accès physique. Ce référentiel s'adresse en priorité aux sites de la Défense nationale, aux Opérateurs d'Importance Vitale (OIV), aux installations nucléaires, aux Zones à Régime Restrictif (ZRR) et à l'ensemble des sites classifiés relevant de l'IGI 1300. La menace est réelle : clonage de badges MIFARE Classic en quelques secondes, interception des communications Wiegand, attaques par rejeu sur des lecteurs non sécurisés. L'ANSSI impose désormais un cadre technique rigoureux pour éliminer ces vulnérabilités.

Le référentiel ANSSI pour le contrôle d'accès physique

Le guide ANSSI définit trois niveaux de sécurité, appelés types, qui correspondent à des exigences croissantes en fonction de la sensibilité du site protégé. Cette classification permet aux maîtres d'ouvrage et aux bureaux d'études de dimensionner le système de contrôle d'accès de manière proportionnée au risque.

Type 3 : niveau basique

Le type 3 correspond au niveau de sécurité minimal. Il s'adresse aux bâtiments tertiaires standard, aux immeubles de bureaux et aux sites ne présentant pas de sensibilité particulière. Les exigences portent principalement sur l'utilisation de badges à technologie MIFARE DESFire (au minimum) en remplacement des technologies obsolètes (125 kHz, MIFARE Classic), et sur la mise en place de bonnes pratiques de base : changement des clés par défaut, segmentation réseau et journalisation des accès.

Type 2 : niveau intermédiaire

Le type 2 s'applique aux sites sensibles, aux administrations, aux data centers et aux établissements manipulant des données personnelles ou financières. Il impose le chiffrement des communications entre lecteurs et contrôleurs, l'authentification mutuelle badge-lecteur, la diversification des clés cryptographiques et une gestion centralisée sécurisée. Le protocole OSDP v2 est recommandé en remplacement du Wiegand.

Type 1 : niveau le plus exigeant

Le contrôle d'accès ANSSI type 1 représente le niveau de sécurité maximal du référentiel. Il est destiné aux sites classifiés Défense, aux OIV soumis à la Loi de Programmation Militaire, aux installations nucléaires supervisées par l'IRSN, aux ZRR et à tout site dont la compromission aurait des conséquences graves pour la sécurité nationale. Les exigences du type 1 couvrent l'intégralité de la chaîne : du badge jusqu'au serveur de gestion, en passant par les lecteurs, les UTL, les protocoles de communication et l'infrastructure physique.

Exigences du type 1 en détail

Badges : technologie DESFire EV2/EV3 et chiffrement AES

En ANSSI type 1, les badges doivent utiliser la technologie MIFARE DESFire EV2 ou EV3 au minimum. Les technologies antérieures (MIFARE Classic, DESFire EV1, iClass, HID Prox) sont strictement interdites en raison de vulnérabilités cryptographiques connues. Les exigences portent sur :

• Authentification mutuelle : le badge et le lecteur s'authentifient réciproquement avant tout échange de données, empêchant l'utilisation de lecteurs frauduleux
• Chiffrement AES-128 ou AES-256 : toutes les communications badge-lecteur sont chiffrées, rendant l'interception inutile
• Diversification des clés : chaque badge possède des clés cryptographiques uniques dérivées d'une clé maître, de sorte que la compromission d'un badge ne met pas en danger l'ensemble du parc
• Protection anti-clonage : les mécanismes d'authentification et l'identifiant unique du composant NXP rendent la duplication du badge techniquement impossible sans la connaissance des clés
• Protection anti-rejeu : des compteurs de transaction et des données de session aléatoires empêchent la réutilisation d'une communication interceptée

Lecteurs : intelligence embarquée et module SAM

Les lecteurs transparents -- qui transmettent le numéro de badge en clair vers le contrôleur -- sont formellement interdits en type 1. Le référentiel impose des lecteurs intelligents capables de réaliser l'authentification et le déchiffrement directement au niveau du lecteur, grâce à un module SAM (Secure Access Module). Ce composant matériel tamper-resistant stocke les clés cryptographiques et exécute les opérations de chiffrement dans un environnement sécurisé.

• Communication chiffrée lecteur-UTL : le lien entre le lecteur et l'Unité de Traitement Local (UTL) doit être chiffré et authentifié, en utilisant le protocole SSCP ou OSDP v2 avec chiffrement AES
• Protection anti-tamper : tout démontage ou tentative d'ouverture du lecteur déclenche l'effacement automatique des clés stockées dans le SAM
• Boîtier anti-vandalisme : le lecteur doit résister aux agressions physiques (indice IK08 minimum) et être fixé de manière à empêcher l'arrachement

UTL (Unité de Traitement Local) certifiée CSPN

L'UTL est le composant central du système de contrôle d'accès. En type 1, elle doit obligatoirement être certifiée CSPN (Certification de Sécurité de Premier Niveau) par l'ANSSI. Cette certification atteste que le produit a été évalué par un laboratoire agréé (CESTI) et qu'il résiste à un niveau d'attaque défini. Les exigences spécifiques comprennent :

• Stockage sécurisé des clés : les clés cryptographiques sont stockées dans un élément sécurisé matériel, inaccessible par logiciel
• Chiffrement bout-en-bout : l'UTL assure le chiffrement de l'ensemble des communications, du lecteur jusqu'au serveur de gestion
• Journalisation inviolable : tous les événements (accès autorisés, refusés, alarmes, tentatives d'intrusion) sont enregistrés dans un journal horodaté et signé numériquement, rendant toute falsification détectable
• Autonomie de décision : l'UTL doit pouvoir prendre des décisions d'accès en mode dégradé (perte de connexion avec le serveur) tout en maintenant le niveau de sécurité
• Mise à jour sécurisée : les mises à jour firmware sont signées et vérifiées avant application, empêchant l'injection de code malveillant

Serveur de gestion : souveraineté et durcissement

Le serveur de gestion centralise l'administration du système de contrôle d'accès. En type 1, les exigences sont particulièrement strictes :

• Hébergement souverain : le serveur doit être hébergé sur le territoire national, dans un environnement maîtrisé, excluant tout cloud public non qualifié SecNumCloud
• Durcissement du système d'exploitation : suppression des services inutiles, application des correctifs de sécurité, configuration conforme aux guides de durcissement ANSSI
• Chiffrement de la base de données : toutes les données sensibles (identités, droits d'accès, clés) sont chiffrées au repos
• Authentification forte des opérateurs : l'accès à l'interface d'administration impose une authentification multifacteur (2FA), avec des certificats ou des cartes à puce pour les sites les plus sensibles
• Gestion des droits RBAC : le contrôle d'accès à l'application de gestion suit le principe du moindre privilège avec une gestion fine des rôles (Role-Based Access Control)

Communications : chiffrement et séparation réseau

La sécurité des communications est un pilier du type 1. Le référentiel ANSSI impose des exigences strictes sur l'ensemble des liaisons du système, en cohérence avec les bonnes pratiques d'architecture réseau :

• Chiffrement TLS 1.2 ou supérieur sur tous les liens IP (UTL-serveur, serveur-poste d'exploitation)
• Réseau physiquement dédié : le système de contrôle d'accès doit disposer de son propre réseau, séparé physiquement (et non simplement par VLAN) des autres réseaux du bâtiment
• Interdiction du Wi-Fi : aucune liaison sans fil n'est autorisée pour les communications du système de contrôle d'accès en type 1
• Protocole OSDP v2 ou SSCP : le protocole Wiegand, non chiffré et unidirectionnel, est interdit. Seuls les protocoles offrant chiffrement, authentification et bidirectionnalité sont acceptés

Câblage et infrastructure physique

La sécurité physique de l'infrastructure est indissociable de la sécurité logique. Les exigences portent sur la protection du câblage courants forts et faibles :

• Cheminements protégés : les câbles doivent être posés dans des chemins de câbles fermés ou sous conduit, en zone contrôlée
• Dispositifs anti-arrachement : les lecteurs, les UTL et les alimentations sont fixés mécaniquement et protégés contre l'arrachement
• Contacts de sabotage : chaque élément du système (lecteur, UTL, boîtier d'alimentation, coffret de brassage) est équipé d'un contact d'autoprotection qui remonte une alarme en cas d'ouverture ou d'arrachement
• Alimentation secourue : l'ensemble du système doit fonctionner sur alimentation de secours pendant une durée minimale définie par l'analyse de risque

Le protocole SSCP : la réponse française aux enjeux de sécurité

Le SSCP (Smart & Secure Communication Protocol) est un protocole de communication développé en France, spécifiquement conçu pour répondre aux exigences de sécurité des systèmes de contrôle d'accès physique. Il constitue une alternative sécurisée aux protocoles historiques comme le Wiegand (non chiffré, unidirectionnel, facilement interceptable) et même à l'OSDP, protocole américain dont certaines implémentations présentent des limitations.

Les caractéristiques du SSCP en font le protocole de référence pour le contrôle d'accès ANSSI type 1 :

• Bidirectionnalité : le lecteur et l'UTL échangent des données dans les deux sens, permettant la supervision en temps réel de l'état du lecteur et la mise à jour à distance des paramètres
• Chiffrement natif : toutes les trames sont chiffrées en AES, rendant l'écoute passive totalement inefficace
• Authentification mutuelle : le lecteur et l'UTL s'authentifient réciproquement à chaque session, empêchant la substitution d'un lecteur par un équipement malveillant
• Certifiable CSPN : le protocole a été conçu pour être évaluable et certifiable par l'ANSSI, contrairement à des protocoles propriétaires dont le code source n'est pas auditable
• Interopérabilité : le SSCP est un standard ouvert, supporté par plusieurs fabricants français et européens, évitant le verrouillage propriétaire

Le SSCP gère la communication sur la liaison physique RS-485 entre le lecteur et l'UTL. Il supporte le raccordement de plusieurs lecteurs sur un même bus, avec adressage individuel, et intègre des mécanismes de détection d'erreur et de reprise sur incident. Pour les sites exigeant le plus haut niveau de sécurité, le SSCP constitue le choix technique privilégié par l'ANSSI.

Processus de certification ANSSI

La mise en conformité d'un système de contrôle d'accès avec le type 1 ANSSI implique un processus de certification rigoureux, qui concerne aussi bien les composants individuels que le système dans son ensemble.

Certification CSPN des composants

Chaque composant critique du système doit obtenir la Certification de Sécurité de Premier Niveau. L'évaluation est réalisée par un Centre d'Évaluation de la Sécurité des Technologies de l'Information (CESTI) agréé par l'ANSSI. Elle porte sur l'analyse de la conception, les tests de conformité fonctionnelle et les tests de pénétration. La durée d'évaluation est typiquement de 2 à 3 mois. Les composants concernés sont les lecteurs (avec leur module SAM), les UTL et le logiciel de gestion.

Qualification ANSSI pour les systèmes complets

Au-delà de la certification des composants individuels, l'ANSSI peut délivrer une qualification pour un système complet de contrôle d'accès. Cette qualification atteste que l'ensemble de la chaîne -- du badge au serveur -- répond aux exigences du type 1 lorsque les composants sont assemblés et configurés conformément à la documentation technique approuvée.

Agrément des installateurs

L'installation d'un système de contrôle d'accès type 1 ne peut pas être confiée à n'importe quel intégrateur. Les installateurs doivent être agréés, disposer d'habilitations de sécurité adaptées au niveau de classification du site et former leur personnel aux procédures spécifiques de manipulation des clés cryptographiques et de configuration sécurisée.

Audit de conformité

Après installation, un audit de conformité vérifie que le système déployé respecte l'ensemble des exigences du type 1 : configuration des composants, paramétrage des clés, séparation réseau, journalisation, procédures d'exploitation. Cet audit peut être réalisé par un prestataire d'audit qualifié PASSI par l'ANSSI.

Qui est concerné par le type 1 ?

L'application du contrôle d'accès ANSSI type 1 concerne un périmètre bien défini d'organisations et de sites, encadré par plusieurs textes réglementaires :

• Opérateurs d'Importance Vitale (OIV) : désignés par arrêté au titre de la Loi de Programmation Militaire de 2013, les OIV exploitent des infrastructures critiques dans les secteurs de l'énergie, des transports, de la santé, des télécommunications et de la finance. La protection physique de leurs Points d'Importance Vitale (PIV) exige un contrôle d'accès site sensible de type 1
• Opérateurs de Services Essentiels (OSE) : désignés dans le cadre de la directive européenne NIS2, les OSE doivent mettre en place des mesures de sécurité proportionnées, incluant le contrôle d'accès physique
• Sites classifiés : les zones protégées et les zones réservées au titre de l'IGI 1300 (Instruction Générale Interministérielle sur la protection du secret de la défense nationale) imposent un contrôle d'accès conforme aux recommandations ANSSI
• Installations nucléaires : les installations nucléaires de base (INB) et les installations classées pour la protection de l'environnement (ICPE) nucléaires sont soumises à des exigences de protection physique renforcées, supervisées par l'IRSN
• Zones à Régime Restrictif (ZRR) : créées pour protéger le potentiel scientifique et technique de la nation, les ZRR imposent un contrôle strict des accès avec traçabilité complète des entrées et sorties
• Administrations sensibles : les ministères régaliens, les services de renseignement, les autorités de régulation et certaines agences de l'État doivent protéger leurs locaux avec un niveau de contrôle d'accès adapté à la sensibilité des informations traitées

Le rôle du bureau d'études dans un projet ANSSI type 1

La conception et le déploiement d'un système de contrôle d'accès conforme au type 1 ANSSI requièrent une expertise technique pointue et une connaissance approfondie du référentiel. Le recours à un bureau d'études spécialisé est indispensable pour garantir la conformité du système et son acceptation par les autorités compétentes.

Analyse du besoin et classification

Le bureau d'études réalise en premier lieu une analyse de risque qui détermine le type ANSSI applicable au site. Cette analyse prend en compte la nature des activités, le cadre réglementaire, les menaces identifiées et les conséquences d'une compromission. Elle aboutit à un Programme Fonctionnel Détaillé (PFD) qui formalise les exigences de sécurité.

Conception technique et rédaction du CCTP

Le bureau d'études conçoit l'architecture du système de contrôle d'accès et rédige le Cahier des Clauses Techniques Particulières (CCTP) avec les exigences ANSSI type 1 : spécification des équipements certifiés CSPN, définition de l'architecture réseau dédiée, choix du protocole de communication (SSCP ou OSDP v2), exigences de câblage et d'infrastructure. Le CCTP constitue la pièce maîtresse du marché et doit être suffisamment précis pour garantir la conformité des offres des intégrateurs.

Choix des équipements et analyse des offres

Le bureau d'études assiste le maître d'ouvrage dans l'analyse des offres, en vérifiant la conformité des équipements proposés avec les certifications ANSSI requises et les exigences du CCTP. Il s'appuie sur la liste officielle des produits certifiés CSPN publiée par l'ANSSI et sur sa connaissance des technologies analogiques et IP disponibles sur le marché.

Suivi d'exécution et réception

Pendant la phase de réalisation, le bureau d'études vérifie la conformité de l'installation : configuration des UTL, paramétrage des clés cryptographiques, tests de chiffrement bout-en-bout, validation de la séparation réseau. La réception comprend des essais fonctionnels exhaustifs et la constitution du dossier technique nécessaire à l'audit de conformité.

Accompagnement à la certification

Suretec Ingénierie accompagne les maîtres d'ouvrage dans l'ensemble du processus de mise en conformité ANSSI type 1, depuis l'analyse initiale du besoin jusqu'à l'audit final de conformité. Notre expertise en contrôle d'accès, en cybersécurité des systèmes de sûreté et en architecture réseau nous permet de concevoir des systèmes conformes, performants et pérennes.

Questions fréquentes sur le contrôle d'accès ANSSI type 1

Quelle différence entre type 1, type 2 et type 3 ?

Le type 3 correspond au niveau de sécurité basique pour les bâtiments tertiaires courants, avec des exigences minimales de chiffrement. Le type 2 s'adresse aux sites sensibles avec des exigences renforcées en matière d'authentification et de chiffrement des communications. Le type 1 est le niveau le plus exigeant : il impose la certification CSPN de tous les composants critiques, le protocole SSCP, des badges DESFire EV2/EV3 avec diversification des clés, un réseau physiquement séparé et un chiffrement bout-en-bout. Il est réservé aux sites classifiés, OIV, installations nucléaires et ZRR.

Qu'est-ce que la certification CSPN ?

La CSPN (Certification de Sécurité de Premier Niveau) est une certification délivrée par l'ANSSI après évaluation d'un produit par un laboratoire agréé (CESTI). Elle atteste que le produit résiste à un attaquant disposant d'un potentiel d'attaque modéré pendant une durée d'évaluation définie (typiquement 25 à 35 jours-homme). Pour le contrôle d'accès type 1, les UTL, les lecteurs et le logiciel de gestion doivent être certifiés CSPN. La liste des produits certifiés est publiée sur le site officiel de l'ANSSI.

Le protocole SSCP est-il obligatoire ?

Le protocole SSCP n'est pas strictement obligatoire en type 1, mais il est fortement recommandé par l'ANSSI. L'alternative OSDP v2 peut être acceptée sous certaines conditions, notamment si l'implémentation est correctement sécurisée (mode Secure Channel activé avec chiffrement AES). Cependant, le SSCP offre un niveau de sécurité natif plus élevé et constitue le choix privilégié pour les sites classifiés et les OIV, car il a été conçu pour être certifiable CSPN dès l'origine.

Comment migrer un système existant vers le type 1 ?

La migration vers le type 1 ANSSI est un projet structurant qui nécessite une approche méthodique. Un audit préalable identifie les écarts entre le système existant et les exigences du type 1. Le plan de migration prévoit généralement le remplacement des lecteurs par des modèles certifiés avec SAM, le remplacement des UTL par des modèles certifiés CSPN, la migration des badges vers la technologie DESFire EV2 ou EV3, la mise en place d'un réseau dédié et le déploiement d'un serveur de gestion durci. Cette migration se réalise par phases pour maintenir la continuité de service.

Quels fabricants proposent des solutions certifiées ANSSI ?

Plusieurs fabricants français et européens disposent de produits certifiés CSPN pour le contrôle d'accès. Parmi les acteurs reconnus : STid pour les lecteurs avec module SAM et support SSCP, Synchronic et Til Technologies pour les UTL et logiciels de gestion certifiés. La liste complète et actualisée des produits certifiés est consultable sur le site de l'ANSSI. Un bureau d'études indépendant comme Suretec Ingénierie peut vous orienter vers la solution la mieux adaptée à votre contexte, sans conflit d'intérêt avec les fabricants.