Par Clara Bardou, Directrice de Marché, France, HID
Il existe une catégorie de vulnérabilités particulièrement dangereuses pour les organisations : celles qui ne déclenchent aucune alerte. Pas de panne, pas d’incident visible, pas de signal d’alarme. Le système fonctionne. Les portes s’ouvrent. Et pendant ce temps, le risque s’accumule silencieusement dans l’infrastructure.
Le contrôle d’accès physique est aujourd’hui l’angle mort le plus sous-estimé de la cybersécurité des entreprises françaises. Non pas parce que les dirigeants l’ignorentmais parce qu’un système qui fonctionne ne génère aucune pression pour évoluer. C’est précisément ce mécanisme d’inertie qui transforme un problème gérable en vulnérabilité structurelle.
Le paradoxe du système qui fonctionne
La plupart des entreprises françaises opèrent des systèmes de contrôle d’accès installés il y a dix à quinze ans. Ces systèmes lisent des badges CSN des identifiants basés sur le numéro de série de la carte, sans chiffrement, sans authentification mutuelle. Ils sont clonables en quelques secondes avec du matériel disponible pour moins de cinquante euros sur internet. Ce fait est connu. Il est documenté. Il ne provoque pourtant aucune action dans la majorité des organisations concernées. Pourquoi ?
Parce que la sécurité physique obéit à une logique inverse de la sécurité informatique. En cybersécurité, une vulnérabilité non patchée génère des alertes, des rapports, une pression à agir. En sécurité physique, une porte qui s’ouvre avec un badge clonable ne génère rien aucun log d’anomalie, aucune notification, aucun incident visible. L’absence d’incident est interprétée comme l’absence de risque. C’est une erreur de raisonnement que les organisations paient rarement immédiatement et souvent très cher quand elles le paient.
Quand la réglementation change la nature du risque
Pendant longtemps, le risque associé à un système de contrôle d’accès obsolète était principalement opérationnel : une intrusion physique, un accès non autorisé, un incident de sécurité interne. Ces scénarios, bien que réels, restaient abstraits pour des entreprises n’ayant jamais subi d’incident majeur.
La directive NIS2, dont la transposition française est attendue pour 2026, va modifier cette équation. Non pas en ciblant directement la majorité des entreprises son périmètre formel concerne les Entités Importantes dans des secteurs définis mais par un effet de ruissellement contractuel que peu d’organisations avaient anticipé. Une entreprise sous-traitante d’un grand groupe soumis à NIS2 peut se voir imposer des exigences de conformité en matière de contrôle d’accès sans être elle-même dans le périmètre réglementaire direct.
Ce glissement transforme la nature du risque. L’absence de conformité ne se traduit plus seulement par une exposition à une sanction réglementaire hypothétique. Elle peut se traduire par la perte d’un contrat un argument que les directions générales comprennent mieux que n’importe quel rapport de RSSI, et qui mérite d’être posé explicitement dans les comités de direction.
La réglementation ne frappe pas toujours directement les entreprises. Elle les atteint par leurs donneurs d’ordre. Et ce canal est souvent plus rapide et plus contraignant que le canal réglementaire lui-même.
La dette technique invisible
Ce que révèlent systématiquement les audits de sécurité dans les entreprises n’ayant pas modernisé leur contrôle d’accès, c’est moins un système défaillant qu’un système opaque. Configurations locales non documentées, droits d’accès jamais révisés, comptes orphelins accumulés après chaque départ, incapacité à produire un log d’accès fiable en cas d’incident ou d’audit de conformité.
Cette opacité a une conséquence directe sur la posture de sécurité globale de l’organisation. Selon le rapport State of Security and Identity publié par HID en février 2026,une étude menée auprès de plus de 1 500 professionnels IT et sécurité, 73 % des répondants placent désormais la gestion des identités en tête de leurs priorités stratégiques. Ce chiffre reflète une réalité que les entreprises commencent à intégrer : les environnements physiques font désormais partie intégrante de leur surface d’attaque. Lorsqu’un badge est compromis, c’est l’ensemble de la chaîne d’identité numérique qui est potentiellement exposée. La frontière entre sécurité physique et cybersécurité n’existe plus opérationnellement.
La dette technique d’un système de contrôle d’accès obsolète ne s’accumule pas en pannes visibles. Elle s’accumule en angles morts jusqu’au jour où l’un d’eux devient un incident documenté, souvent lors d’un audit de conformité ou d’une procédure assurantielle.
Sortir du faux dilemme
Face à ce constat, deux postures dominent encore dans les entreprises. La première est le maintien de l’existant, justifié par l’absence d’incident et la contrainte budgétaire. La seconde est l’envisagement d’un remplacement complet, immédiatement perçu comme trop coûteux et trop disruptif pour être engagé. Ces deux postures partagent le même défaut structurel : elles traitent la modernisation comme un choix binaire entre l’inaction et la refonte totale.
Ce faux dilemme a un coût réel. Il immobilise des organisations dans une posture d’attente qui aggrave mécaniquement leur exposition, pendant que leurs donneurs d’ordre, leurs assureurs et leurs partenaires font évoluer leurs exigences.
La modernisation par couches successives : renforcer la sécurité progressivement sans remettre en cause l’infrastructure existante, constitue une troisième voie techniquement viable et économiquement justifiable. Elle repose sur un principe simple : dissocier le calendrier de migration des identifiants du calendrier de remplacement des équipements. Les deux peuvent avancer à des rythmes différents, ce qui permet d’étaler l’investissement et de limiter la disruption opérationnelle.
Le rapport HID 2026 indique que 50 % des organisations considèrent désormais l’adoption des identifiants mobiles non plus comme un choix de confort, mais comme un impératif de sécurité. Et 75 % déploient ou évaluent des solutions d’identité unifiée couvrant simultanément bâtiments, réseaux et applications. La convergence physique-logique n’est plus un horizon technologique. Elle est en cours de déploiement dans la majorité des organisations structurées.
Le principe de sécurité proportionnée
Une erreur stratégique fréquente consiste à appliquer le même niveau d’exigence à l’ensemble des points d’accès d’une organisation, indépendamment de leur criticité réelle. Traiter l’accès à une zone administrative avec les mêmes contraintes qu’une salle serveur ou une zone de production sensible génère trois problèmes simultanés : un surcoût injustifié, une complexité opérationnelle excessive, et une résistance utilisateur qui compromet l’adoption.
La sécurité proportionnée, adapter le niveau de protection à la criticité réelle de chaque zone, est un principe que les grandes organisations appliquent depuis longtemps dans leurs politiques de classification de l’information. Son application au contrôle d’accès physique reste insuffisante dans les entreprises, où la tentation est souvent de déployer une solution uniforme par souci de simplicité.
La bonne sécurité n’est pas la plus élevée. C’est celle qui correspond précisément au niveau de risque qu’elle est censée couvrir.
La vraie question à poser en comité de direction
Le débat sur la modernisation du contrôle d’accès est souvent mal posé dans les organisations. La question dominante est : “Quel est le coût de la modernisation ?” C’est la mauvaise question. La bonne est : “Quel est le coût de l’inaction ?”
Ces coûts sont réels mais diffus : failles non détectées exploitées lors d’un incident, audits de conformité échoués, incompatibilité contractuelle croissante avec les exigences des donneurs d’ordre, prime d’assurance révisée à la hausse après un sinistre. Ils n’apparaissent dans aucun budget sécurité et c’est précisément pour cette raison qu’ils sont systématiquement sous-estimés jusqu’au moment où ils se matérialisent.
Les entreprises qui retardent leur modernisation ne gagnent pas du temps. Elles creusent l’écart avec les environnements dont elles dépendent commercialement et qui ont déjà évolué. Avec NIS2 la conformité devient une condition d’accès au marché autant qu’une obligation réglementaire. Chaque trimestre d’inaction n’est pas neutre. C’est un trimestre pendant lequel les donneurs d’ordre durcissent leurs exigences, les assureurs révisent leurs conditions, et l’écart se creuse avec des environnements qui, eux, ont déjà migré. Le contrôle d’accès physique n’est plus qu’un sujet de facility management mais devient un enjeu de croissance pour les entreprises.
