Juridique et conformité

NIS2 et DORA : pourquoi la sécurité physique devient un facteur de conformité

Suivez-nous sur LinkedIn LinkedIn
Les directives NIS2 et DORA exigent explicitement un contrôle physique des accès. Comment un badge d'employé moderne avec photo devient une première ligne de défense – et comment Photo Collect sécurise Photo Collect d'enregistrement pour des milliers d'employés.

Quand on pense à NIS2 et à DORA, on pense aux pare-feu, aux tests d'intrusion et à la gestion des incidents. Mais ce qui est souvent négligé dans la pratique, c'est que ces deux cadres réglementaires exigent expressément une sécurité physique. Si l'on ne maîtrise pas l'accès aux locaux, on a beau renforcer son réseau autant qu'on veut : un auditeur finira par trouver la faille. Et c'est précisément là que le badge d'employé avec photo passe du simple sujet RH à un facteur de conformité.

Ce qu'exigent concrètement la directive NIS 2 et le règlement DORA

Ces deux cadres réglementaires de l'UE sont structurés différemment, mais convergent en matière de contrôle d'accès physique.

La directive NIS2 impose aux entreprises des mesures minimales en matière de gestion des risques. Outre la sécurité de la chaîne d'approvisionnement et celle du personnel, elle mentionne également le chiffrement et les contrôles d'accès ; la sécurité physique n'est pas seulement sous-entendue, mais constitue une exigence explicite.

Le règlement DORA applicable au secteur financier exige également de manière explicite des directives et des outils visant à garantir la sécurité tant logique que physique des ressources informatiques. Les lignes directrices de l'ABE qui s'y rapportent précisent ces exigences par des dispositions telles que les badges d'accès, les registres des visiteurs et l'obligation de présenter une pièce d'identité.

Concrètement, cela signifie pour la Suisse et l'espace européen que toute infrastructure critique, banque, compagnie d'assurance, entreprise pharmaceutique, fournisseur d'énergie ou grande entreprise industrielle soumise à l'une de ces réglementations – ou intégrée en tant que sous-traitant dans une chaîne d'approvisionnement réglementée – doit maîtriser son contrôle d'accès.

Pourquoi une pièce d'identité avec photo est-elle indispensable ?

Dans de nombreuses entreprises, le «badge d'accès» est encore aujourd'hui une simple puce RFID anonyme, voire un trousseau de clés. L'ingénierie sociale devient alors un jeu d'enfant : une puce trouvée par terre fonctionne pour n'importe qui. Une carte empruntée passe inaperçue, car elle ne contient aucune information personnelle. Les auditeurs chargés de missions NIS2 ou DORA s'intéressent précisément à ces failles.

Une carte d'identité avec photo infalsifiable comble trois lacunes à la fois :

  1. Contrôle visuel à l'accueil et aux sas d'accès: la photo figurant sur la carte doit correspondre à la personne qui la présente. Cela peut sembler banal, mais c'est la forme la plus simple de vérification multifactorielle dans le bâtiment.
  2. Traçabilité vis-à-vis des auditeurs: des badges photo uniformes et documentés démontrent l'existence d'un processus contrôlé. Les puces anonymes prouvent le contraire.
  3. Capacité de gestion des incidents: lorsqu'un incident de sécurité fait l'objet d'une enquête, l'identification des personnes aux portes et aux sas est pratiquement impossible sans photo.

Le défi dans la pratique : la mise à l'échelle

Une fois cette exigence comprise, un nouveau problème se pose : comment obtenir plusieurs milliers de photos de personnel homogènes et de grande qualité, dans le respect de la protection des données, vérifiables et dans un délai raisonnable ? Les méthodes traditionnelles échouent à ce stade :

  • Un photographe professionnel sur place : trop cher, trop lent, un cauchemar logistique lorsque les sites sont dispersés.
  • Les collaborateurs téléchargent eux-mêmes leurs photos : qualité médiocre, arrière-plans hétéroclites, non-respect de l'identité visuelle, absence de piste d'audit.
  • Photomaton dans le hall d'entrée : temps d'attente, solutions isolées, aucune intégration dans les systèmes RH ou de contrôle d'accès.

C'est précisément cette rupture dans le processus qui fait échouer la conformité dans la pratique.

Comment Photo Collect sécurise Photo Collect processus

Photo Collect le logiciel B2B suisse dédié à la saisie automatisée de photos d'identité. Le principe : les collaborateurs reçoivent un lien personnalisé par e-mail ou SMS, prennent la photo avec leur propre smartphone – sans application, sans connexion – et l'IA vérifie automatiquement la netteté, l'arrière-plan, la position de la tête, le port de lunettes et d'autres paramètres. Quatre éléments clés rendent le processus conforme aux normes NIS2 et DORA :

Hébergement en Suisse, sûr et sécurisé. Toutes les photos peuvent être traitées exclusivement dans un centre de données certifié ISO 27001 en Suisse. L'ensemble du traitement des images, y compris les modèles d'IA, peut être effectué par Visible Solutions elle-même, sans recourir à des services cloud étrangers. Les données d'images sont ainsi entièrement protégées contre le CLOUD Act américain – un point qui fait l'objet de questions de plus en plus fréquentes lors des audits NIS2.

Une plateforme dédiée par client. Au lieu d'un cloud multi-locataires , chaque client peut gérer sa propre instance isolée. La séparation des données entre les clients peut ainsi être assurée non seulement par une séparation logique dans un environnement partagé, mais aussi de manière structurelle.

Minimisation des données et suppression automatique. Une fois l'exportation effectuée – au format ZIP, via sFTP, l'API REST ou, en option, avec un cryptage OpenPGP –, les données d'image sont automatiquement supprimées. Cela répond aux exigencesGDPR et de la LPD-CH en matière de limitation de la finalité et de la durée de conservation. Documenté par le biais d'un accord de traitement des données (DPA) et d'un accord de niveau de service (SLA).

Pas d'IA générative sur le visage. Photo Collect ne Photo Collect pas les visages. C'est un aspect réglementaire essentiel : sur une photo d'identité, c'est la personne qui doit être reconnaissable, et non une version optimisée de celle-ci. L'IA vérifie, recadre et remplace l'arrière-plan – rien de plus. Pour en savoir plus, consultez l'article « Amélioration des images grâce à l'IA : qu'est-ce qui est autorisé ? ».

Concrètement, cela signifie

Photo Collect a traité plus de 4 millions de photos ; en moyenne, ce processus prend moins de 2 minutes par collaborateur. Au sein d'un groupe industriel comptant 20 000 collaborateurs, le processus de re-badging s'est déroulé en trois semaines, avec un taux d'acceptation de la part des collaborateurs proche de 100 % et un taux d'erreur inférieur à 2 %. Dans le cadre du contrôle qualité manuel optionnel, une personne vérifie à nouveau la conformité des images reçues. L'interface utilisateur optimisée permet de contrôler des milliers de photos par heure. La validation par IA soutient le processus et signale les problèmes potentiels dès le téléchargement.

Pour une mise en œuvre de NIS2 ou de DORA impliquant un volume important de rebadging, c'est ce qui fait la différence entre un projet qui se déroule comme prévu et un projet qui occupera à nouveau l'auditeur lors du prochain cycle.

Intégration dans l'architecture de sécurité existante

Photo Collect aux processus existants. Grâce à une API REST et à des intégrations prêtes à l'emploi, la plateforme s'intègre aux systèmes d'accès, aux systèmes RH et aux imprimantes de cartes existants. La photo validée est ainsi directement transférée vers le système RH ou le système de gestion des cartes, sans étape manuelle intermédiaire et sans chemin d'accès non sécurisé.

Photo Collect sur un sous-domaine et un serveur SMTP dédiés, vous maintenez l'ensemble du processus au sein de votre propre domaine de confiance – un aspect qui revient régulièrement lors des audits DORA portant sur les risques liés à la chaîne d'approvisionnement.

La conformité commence dès la porte d'entrée

La NIS2 et la directive DORA ne relèvent pas uniquement du domaine informatique. Quiconque considère le contrôle d'accès physique comme une simple question de gestion des installations se verra signaler ce manquement lors du prochain audit. Une carte d'identité du personnel uniforme et infalsifiable, munie d'une photo, n'est plus aujourd'hui une simple mesure cosmétique des RH, mais fait partie intégrante de l'architecture de conformité.

Photo Collect le fossé entre l'exigence – des photos uniformes et de qualité certifiée pour des milliers de personnes – et la charge opérationnelle qui, jusqu'à présent, a bloqué de nombreux projets. Hébergement en Suisse, instance dédiée, suppression automatique, pas d'IA générative appliquée aux visages. Pour ceux qui doivent mettre en œuvre la NIS2 ou la DORA, c'est un souci en moins.

Suivez-nous sur LinkedIn LinkedIn

Nico Schefer

Écrit par

Autres articles

Juridique et conformité

ICAO 9303 vs ISO/IEC 19794-5 : ce dont les équipes RH et de conformité suisses ont vraiment besoin en matière de photos d'employés

Gestion des processus

Collecter efficacement des photos d'identité uniformes pour un grand nombre de personnes

Technologie

Photos d'identité : capture conforme aux normes biométriques et à celles de l'OACI, et évolutive de manière efficace

Gestion des processus

Protection des données dans les bornes libre-service / cabines photo : pourquoi les entreprises doivent être particulièrement vigilantes lorsqu'il s'agit des photos de leurs employés destinées aux cartes d'identité

Juridique et conformité

Questions juridiques concernant les photos figurant sur les badges du personnel

Juridique et conformité

Retouches d'images à l'aide de l'IA : qu'est-ce qui est autorisé ?

Photos du personnelPhotos d'identitéCartes d'étudiant
Téléchargement de la démoBlogNormes photographiques de l'OACIExpert ChatGPT
Mentions légalesPolitique de confidentialitéPolitique en matière de cookiesÉtat du système
© Photo Collect Visible Solutions , Zurich, Suisse