La notion d’infrastructures critiques couvre les bâtiments publics (aéroports, gares, administrations), des bâtiments tertiaires (banques, bureaux, …) et certains sites industriels (raffineries, centrales électriques, centrales d’épuration, …). Les risques courus par ces infrastructures varient entre le vol de biens physiques ou intellectuels et la destruction partielle ou totale d’une partie du site par un acte volontaire. La sûreté sur ces sites consiste à analyser les risques de l’infrastructure, à en dériver des moyens de protection adaptés, puis à gérer en temps réel les risques qui se présentent au fil du temps. La sûreté aborde les volets physique et logique.

La sécurité physique vise à protéger les biens et les personnes en vérifiant que seules les personnes et les matériels autorisés sont présentes dans les différentes parties des locaux, via des équipements de type barrière physique vidéo-surveillée, contrôle d’accès, détection de menace NRBC-E, etc. Tous ces équipements renvoient leurs événements vers un centre de surveillance, où les opérateurs de sécurité font la gestion de risque à un niveau macroscopique en s’appuyant sur un ensemble de procédures. La multiplicité des systèmes est une garantie de résilience mais l’interopérabilité se fait par l’expertise des agents de sécurité.

La sécurité logique vise à protéger le système d’information de l’infrastructure vis-à-vis des intrusions et des fuites, en utilisant la notion de gestion de rôles : les accès aux données sont autorisés en fonction des habilitations liées aux personnes par des rôles. Cette sécurité doit s’appliquer également aux ressources de sécurité physique, qui s’appuient sur des logiciels et sur le réseau de l’infrastructure, ce qui induit des risques supplémentaires.

Aujourd’hui, la sécurité physique et la sécurité logique sont gérées indépendamment.

Objectifs du projet

Le projet VIRTUALIS s’inscrit dans une démarche globale visant à proposer un système de gestion intégrale de la sécurité physique et logique d’une infrastructure critique, qui permet d’optimiser et de faciliter la gestion des risques pour l’installation et l’usage du système de sécurité. Ce système fournira des alertes  « métiers » et les procédures de sécurité adaptées, vérifiées et validées correspondantes.

Le premier point bloquant reste le manque de gestion « métier » des équipements de sécurité physique, qui limite l’usage de technologies de simulation et de fouille de données. En effet, les équipements ne fournissent pas de « fonction » ou de « service » mais des alertes ou des données physiques (images, localisation d’objets, numéro de badge, horodatage, etc.).

Le second point de blocage est l’absence de procédures de sécurité adaptées aux risques conjoints physiques / logiques, comme le piratage d’un système de vidéosurveillance.

L’approche proposée dans VIRTUALIS permettra donc :

  • Une maintenance et une mise à niveau simplifiées en termes de mise à jour du système logiciel de sécurité via l’interopérabilité des équipements.
  • De meilleures performances en gestion des risques par l’amélioration des procédures de sécurité, conduisant à des gains de productivité et à des réductions de coûts d’utilisation.
  • Une optimisation des ressources matérielles en mutualisant l’usage des capteurs (un capteur réalisant plusieurs fonctions).
  • Une simplification des procédures améliorant l’acceptabilité et la facilité d’utilisation par les opérateurs de sécurité.