Faut-il remplacer les badges par le smartphone ?
Vaste question ! Ainsi que vous le constaterez, la réponse n’est pas si triviale. Mais globalement la réponse est oui, les badges ont vocation à être remplacés par le smartphone, mais pas partout et ni pour tout le monde. Voici pourquoi.
Commençons par les arguments qui vont dans le sens du maintien des badges pour accéder à son lieu de travail.
Les badges RFID ont une certaine utilité dans les grands entreprises : sur les campus de sociétés qui accueillent trop de monde pour que tout le monde se connaisse, porter son badge au cou avec sa photo est un signe d'appartenance et donc, quelque part, une sécurité apparente qui permet d'identifier que l'on a bien un salarié devant soi. Même si en pratique personne ne demande jamais à vérifier le badge en question...
Autre exemple d'utilité du badge en environnement corporate : le badge sert à passer les accès aux parties communes, qui sont sous la responsabilité du property manager, c'est-à-dire le gestionnaire qui représente le propriétaire, et le badge sert éventuellement aussi de moyen de paiement à la machine à café ou au restaurant inter-entreprises (RIE).
Dernier exemple d'avantage : dans les centres d'affaires les plus luxueux ou auprès d'enseignes de flex-office positionnées haut de gamme, le badge est joliment personnalisé en usine et fait office de 'carte de membre'. Le badge comme non plus seulement comme mode d'identification mais aussi comme moyen de reconnaissance confère donc un côté 'VIP' aux utilisateurs permanents, notamment lorsqu'ils accueillent leurs visiteurs.
Face au badge RFID, quels sont les avantages du contrôle d'accès par smartphone ?
Tout le monde dispose d'un téléphone portable ! Le smartphone met la puissance d’une machine et l’accès à cette immense base de données de savoirs et de services qu’est Internet à portée de main.
Le smartphone par ailleurs est un outil de communication indispensable : avec la clé et le portefeuille, le smartphone est l'un des trois "oublis" qui justifie que l'on rebrousse chemin vers son domicile le matin.
Ensuite, contrairement au badge, le smartphone ne nécessite aucun contact, ce qui va dans le sens de cette exigence nouvelle de minimiser les échanges bactériologiques. Par exemple, pendant la crise sanitaire Covid, une entreprise nous a rapporté qu'un de ses clients en visite avait refusé de toucher un badge destiné aux visiteurs avant que ledit badge ne soit désinfecté par l'hôtesse en charge de l'accueil.
Après, le smartphone est particulièrement bien adapté à la gestion des visiteurs internes, ceux qui réservent des ressources immobilières flexibles - typiquement une place de parking, un bureau individuel, un casier connecté et une salle de réunion - sur un site qui n’est pas leur lieu de travail habituel. Car le smartphone permet d’éviter aux salariés de l’entreprise, qui sont des visiteurs de confiance, d’engorger l’accueil des visiteurs externes.
Enfin, le smartphone fournit à l'entreprise un niveau de sécurité jamais atteint par les badges les plus sécurisés, par exemple les badges de type MiFare DesFIRE Evo2. Nous détaillons ce point ci-après.
Pourquoi le smartphone est-il autrement plus sécurisé que le badge ?
Tout d'abord, on prête rarement son smartphone. Alors qu'il peut arriver de prêter momentanément son badge à un collègue de confiance.
On cherche tout le temps son smartphone : un individu qui réalise qu'il a égaré son téléphone va immédiatement faire le nécessaire pour géolocaliser son smartphone, voire le désactiver à distance. Alors que ce même individu qui ne trouvera pas son badge se dira dans la plupart des cas qu'il l'a oublié sur sa table de nuit, laissant le temps à l'assaillant de compromettre le lieu de travail de l'individu.
Contrairement au badge qui est utilisable aussitôt que recueilli par l’assaillant, le smartphone bénéficie des mécanismes de protection inhérents à chaque système d’exploitation, qu’il s’agisse de reconnaissance faciale, d’empreintes digitales ou de codes. Ainsi, le smartphone n'est pas un simple moyen d'identification, comme l'est le badge, mais un véritable dispositif d'authentification - c'est-à-dire qu'on sait que c'est vous, on ne le présume pas.
Le smartphone peut être géré, localisé, supervisé et administré à distance par la DSI (Direction des Systèmes d'Information). Alors qu’un badge qui ferait l’objet d’une manipulation (encodage parallèle ou duplicata, par exemple) n’apporte pas de garantie que l’information sera mise à disposition du RSSI (Responsable sécurité du système d’information).
Le smartphone permet, contrairement au badge, de disposer d’une trace de l’identité du visiteur. En effet, en cas de compromission liée à une visite externe, le badge ne laisse quant à lui aucun moyen de remonter une piste alors qu’en smartphone (le visiteur, un assaillant professionnel, aura immanquablement nettoyé ses empreintes sur le badge avant de le remettre et présenté une fausse pièce d'identité à son arrivée), l’email du visiteur fournit a minima une adresse IP de dernière connexion pour récupérer ses droits d’accès. Donc un premier fil pour tirer la pelote pour les enquêteurs.
Quelles limites au smartphone comme mode d'accès ?
Certaines populations en entreprise ne disposent cependant pas d'un smartphone.
En effet, toutes les entreprises n'ont pas vocation à fournir à leurs salariés un téléphone d'entreprise. Et les salariés n'ont aucune obligation d'utiliser un objet personnel pour subvenir à un besoin professionnel.
Et quand bien même certaines populations seraient tout à fait d'accord pour faire usage de leur smartphone personnel pour accéder à leur lieu de travail, un smartphone est coûteux et certaines personnes n'ont tout simplement pas les moyens de s'offrir un mobile et un abonnement.
Il arrive également que le smartphone soit tout bonnement interdit : sur des chantiers pour prévenir à des accidents du travail ou dans des laboratoires afin qu'aucune conversation confidentielle ne soit enregistrée ou bien qu'aucune photo d'une formule protégée par le secret industrielle ne puisse être prise en photo.
Lorsqu’on utilise un smartphone, encore faut-il qu’il y ait de la batterie !
Quelles alternatives aux moyens d'accès smartphone et au badge ?
Pour le personnel qui ne disposerait pas des moyens de disposer d’un smartphone, nous avons constaté que les codes pin individuels, à taper sur des claviers et éventuellement valables sur des plages horaires et à des jours définis, sont très pratiques.
Pour les participants à un événement qui n’ont pas forcément besoin d’accéder à des zones très sécurisées, le QR code est quant à lui un moyen tout à fait adapté.
A long terme, le smartphone va-t-il remplacer le badge comme moyen d'accès aux lieux de travail ?
Partout et tout le temps, non. De la même manière que la télévision n’a pas remplacé la radio et qu’Internet n’a pas remplacé la télévision, mais que tous ces médias cohabitent, le smartphone ne remplacera jamais complètement le badge ni les autres moyens d’accès, comme le code pin ou le QR code.
Cependant, l’amélioration régulière de l’autonomie des smartphones, l’apparition de téléphones de plus en plus bon marché, et le fort développement d’une infrastructure de recharge par USB et par induction, vont progressivement faire du smartphone le moyen d’accès de référence dans une majorité de lieux de travail.
On peut donc immanquablement conclure qu'en matière de contrôle d'accès, le smartphone a de beaux jours devant lui.
Pour découvrir les avantages et les inconvénients des moyens d'accès physiques aux bâtiments, découvrez notre guide des modes d'identification en contrôle d'accès.