audit badge

Comment auditer son système de badges : le guide pratique du responsable sécurité

Combien de badges actifs dans votre base correspondent à des personnes qui ont quitté l’entreprise ? Combien de prestataires peuvent encore accéder à vos locaux, plusieurs mois après la fin de leur mission ? Combien de technologies facilement clonables tournent encore dans votre parc ? Si ces questions vous mettent mal à l’aise, c’est probablement que votre système de badges n’a pas été audité depuis longtemps. Elliaden compile pour vous toute son expertise dans ce guide sur mesure.

Pourquoi la plupart des systèmes de badges ne sont jamais audités

C’est un constat que l’on fait régulièrement sur le terrain : les systèmes de contrôle d’accès par badge sont installés, mis en service, puis… laissés à eux-mêmes. Pas par négligence, mais parce que personne n’a clairement défini qui devait s’en occuper, quand, et selon quelle méthode.

L’audit du système de badges est une zone grise organisationnelle. Il n’appartient franchement ni à la DSI, ni à la DRH, ni aux services généraux. Résultat : il n’appartient à personne.

Trois raisons expliquent ce vide.

  1. Le système tourne sans incident visible. Ce qui est perçu, à tort, comme un signe de bonne santé. Un accès non autorisé qui n’est jamais détecté ne produit aucune alerte. Le silence du système ne garantit pas la sécurité du système.
  2. La gestion des droits a été déléguée à plusieurs personnes successivement. L’administrateur initial a quitté l’entreprise, son remplaçant a hérité du système sans formation ni documentation. Les droits ont été accordés au fil des demandes, sans que personne ne les révise jamais à la baisse.
  3. Aucun calendrier d’audit n’a jamais été formalisé. Contrairement aux audits financiers ou informatiques, l’audit de contrôle d’accès physique ne fait l’objet d’aucune obligation légale générale. Même si NIS2 et le RGPD changent progressivement la donne pour les entités concernées.

Dans un système qu’on n’audite jamais, les droits s’accumulent, les badges orphelins se multiplient, les technologies vieillissent. L’audit n’est pas une sanction : c’est une hygiène.

Les 5 signaux qui justifient un audit sans attendre

Avant même de penser méthodologie, un auto-diagnostic rapide. Cinq situations doivent déclencher une réaction immédiate.

Auto-diagnostic : cochez ce qui s’applique à votre organisation

  • Vous ne savez pas combien de badges sont actifs dans votre base en ce moment.
  • Des collaborateurs ou prestataires partis n’ont pas rendu leur badge, ou leur badge n’a pas été désactivé.
  • Certains badges ouvrent « toutes les portes » par défaut.
  • Votre parc contient encore des badges 125 kHz ou MIFARE Classic.
  • En cas d’incident, vous ne pourriez pas reconstituer précisément qui est entré où et quand.

Une case cochée ? C’est un audit partiel. Trois cases ? Un audit complet est nécessaire.

Signal 1 : Des badges « fantômes » dans votre base. 

Un badge non désactivé après un départ reste un accès potentiel, même si la personne a rendu sa carte physique. C’est la faille la plus fréquente. Elle ne génère aucune alerte : le système fonctionne normalement, l’accès est toujours autorisé. Personne ne le sait.

Signal 2 : Des droits trop larges, hérités des premières configurations.

Le prestataire informatique qui intervient une fois par mois a-t-il accès à la salle des serveurs 24h/24 ? Le stagiaire de l’an dernier peut-il encore ouvrir la porte de la direction ? Les droits accordés évoluent rarement à la baisse une fois en place. Ils s’accumulent, mission après mission, jusqu’à créer une cartographie des accès qui ne correspond plus à aucune réalité opérationnelle.

Signal 3 : Des technologies obsolètes encore en circulation. 

Si une partie de votre parc repose encore sur des badges 125 kHz (EM4100, HID Prox) ou MIFARE Classic, ces supports sont potentiellement clonables avec du matériel vendu pour quelques dizaines d’euros. Ce n’est pas une hypothèse : c’est une réalité documentée, rappelée régulièrement par l’ANSSI. Un audit technologique est alors urgent.

Signal 4 : Aucun log exploitable en cas d’incident. 

Si un incident se produisait demain (intrusion, vol, accès non autorisé) seriez-vous en mesure de reconstituer précisément qui est entré où et quand ? Si la réponse est « probablement pas », votre système de traçabilité présente une lacune sérieuse, y compris au regard des exigences RGPD et NIS2.

Signal 5 : Personne ne sait exactement combien de badges sont en circulation. 

Nombre de badges émis, actifs, perdus, non restitués… Si ces données ne sont pas disponibles en quelques minutes, la gouvernance du système présente une lacune de fond. Sans inventaire fiable, tout le reste est approximatif.

La méthode : 5 axes pour un audit complet

Un audit système de badges n’est pas un projet informatique. C’est une démarche de bon sens, structurée autour de cinq axes progressifs. Chacun peut être mené indépendamment mais leur combinaison donne une vision complète et actionnable.

Axe 1 : L’inventaire du parc : savoir exactement ce qui existe

C’est le point de départ obligatoire, et souvent le plus révélateur. L’objectif est simple : dresser la liste de tous les badges émis, actifs, suspendus, perdus et non restitués.

En pratique, cela suppose de croiser trois sources de données : 

  1. la base du système de contrôle d’accès, 
  2. les fichiers RH (départs, changements de poste, mutations), 
  3. et le registre des prestataires (fins de mission, renouvellements de contrat). 

Chaque écart entre ces fichiers est une anomalie à traiter.

Un badge actif sans correspondance RH valide ? C’est un accès potentiel non maîtrisé. Dans les organisations qui n’ont jamais mené cet exercice, il n’est pas rare d’en trouver plusieurs dizaines.

Fréquence recommandée : trimestrielle pour les organisations à forte rotation (intérim, sous-traitance intensive), semestrielle pour les autres.

Axe 2 : La révision des droits : appliquer le principe du moindre privilège

C’est l’axe le plus chronophage, et de loin le plus instructif. Il s’agit de passer en revue les profils d’accès un par un et de se poser pour chacun une question directe : cette personne a-t-elle réellement besoin d’accéder à cette zone, à ces horaires, avec ce niveau de permission ?

Les droits accordés lors d’une mission ponctuelle ont-ils été ajustés à l’issue ? Le changement de poste d’un collaborateur a-t-il entraîné une mise à jour de ses accès ? Dans la plupart des systèmes non audités depuis plus de deux ans, une part significative des droits actifs est soit obsolète, soit excessive. C’est ce que les experts en sécurité appellent la dérive des privilèges.

Le résultat de cet axe doit alimenter directement la matrice des droits d’accès, qui devient alors un document vivant plutôt qu’un fichier figé dans un tiroir.

Axe 3 : L’audit technologique : évaluer la solidité cryptographique du parc

Dresser l’inventaire des technologies en circulation dans le parc : 125 kHz, MIFARE Classic, MIFARE DESFire EV1/EV2/EV3, HID SEOS… Chaque génération possède ses propres vulnérabilités connues. Certaines sont documentées depuis des années et nécessitent une migration planifiée.

Mais l’audit technologique ne se limite pas aux badges eux-mêmes. L’état des firmwares des lecteurs est un point critique souvent négligé. Une faille sur un lecteur peut compromettre l’ensemble du dispositif, même si les badges sont parfaitement sécurisés. L’ANSSI le rappelle dans ses recommandations sur la sécurisation des systèmes de contrôle d’accès physique : la majorité des incidents RFID ne viennent pas du badge, mais d’une mauvaise configuration du lecteur ou du réseau.

L’objectif n’est pas de tout remplacer immédiatement, mais de construire une feuille de route de migration priorisée, en commençant par les zones les plus sensibles.

Axe 4 : L’audit des logs : vérifier la traçabilité réelle

Les journaux d’accès sont-ils complets ? Archivés ? Sur quelle durée ? Sont-ils exportables pour une analyse externe ou un audit réglementaire ?

Le test le plus simple consiste à simuler une requête concrète : qui a accédé à la salle des serveurs le 14 février entre 18h00 et 20h00 ? Si cette question prend plus de quelques minutes à répondre (ou si elle ne trouve pas de réponse du tout) la traçabilité n’est pas opérationnelle. En cas d’incident, ce délai peut se mesurer en conséquences financières et réputationnelles.

Cet axe a aussi une dimension réglementaire directe. Le RGPD comme NIS2 exigent une capacité de traçabilité et d’auditabilité des accès aux zones où des données sensibles sont traitées ou stockées. Des logs incomplets ou inexploitables exposent l’organisation à un risque de non-conformité, indépendamment de toute intrusion effective.

Axe 5 : La gouvernance : qui pilote, qui décide, qui contrôle ?

C’est l’audit le plus souvent oublié, et pourtant le plus structurant. Un système de badges sans gouvernance claire dérive inévitablement. Pas en raison d’une malveillance, mais parce que personne n’a défini les règles du jeu.

Les questions clés sont les suivantes : 

  • qui est responsable de la mise à jour des droits lors d’un départ ? 
  • Qui valide les créations de badges pour les prestataires externes ? 
  • Qui surveille les alertes d’accès inhabituels ? 
  • Qui prend la décision de migrer une technologie obsolète ?

Si ces questions n’ont pas de réponse nominative et documentée, c’est le premier chantier à ouvrir. L’audit de gouvernance se conclut par la désignation d’un pilote identifié et la rédaction (ou mise à jour) d’une procédure documentée : qui fait quoi, selon quel calendrier, avec quel niveau de validation requis.

Construire son calendrier d’audit annuel

Un audit ponctuel a de la valeur. Un audit régulier en a davantage. L’objectif est de transformer cette démarche en routine, intégrée au cycle de vie de la politique de sécurité de l’organisation.

Axe d’auditCe qu’on chercheFréquencePilote suggéré
Inventaire du parcBadges actifs sans correspondance RHTrimestrielle*Services généraux / RH
Révision des droitsDroits obsolètes ou excessifsSemestrielleRSSI / Responsable sécurité
Audit technologiqueTechnologies vulnérables, firmwaresAnnuelleDSI / Prestataire technique
Traçabilité & logsLogs exploitables, durée archivageSemestrielleRSSI / DSI
GouvernanceProcédures, responsabilités, incidentsAnnuelleDirection sécurité

* Trimestrielle pour les organisations à forte rotation (intérim, sous-traitance, hôpitaux, retail). Un contrôle mensuel sur les seuls prestataires peut suffire à couvrir l’essentiel du risque dynamique.

Ce calendrier n’est pas un idéal inaccessible. Pour une organisation de taille moyenne, chaque axe représente quelques heures de travail concentré, pas des semaines de projet. L’essentiel est de commencer et de ne pas tout faire d’un coup. Un audit partiel régulier vaut mieux qu’un audit exhaustif tous les cinq ans.

Un système audité est un système maîtrisé

L’audit d’un système de badges n’est pas un projet à part. C’est une pratique régulière qui s’intègre dans la politique de sécurité globale de l’organisation, au même titre que la gestion des mots de passe ou la sécurisation des accès informatiques.

Structuré, documenté et planifié, il transforme ce qui était une zone grise en levier de maîtrise. Les responsables sécurité qui l’ont mis en place témoignent presque tous de la même chose : la première fois qu’on fait cet exercice, on trouve toujours quelque chose d’inattendu. Un badge actif qu’on pensait désactivé, des droits trop larges accordés lors d’une urgence et jamais révisés, une technologie vulnérable qu’on croyait remplacée.

Et dans un contexte réglementaire où NIS2 et le RGPD exigent de plus en plus de traçabilité et de justification, cette rigueur n’est plus optionnelle pour les entités concernées. Elle est la preuve que la sécurité physique est prise au sérieux.

Pour aller plus loin