Pour Clara Bardou (HID), la vétusté des systèmes de contrôle d’accès physique est une faille de sécurité majeure, bientôt aggravée par la directive NIS2.

Une vulnérabilité silencieuse, qui ne déclenche aucune alarme et ne génère aucun incident visible, mais qui expose les organisations à des risques majeurs. Tel est le constat dressé par Clara Bardou, Directrice de Marché France pour la société HID, concernant l’état du contrôle d’accès physique dans la plupart des entreprises françaises. Selon elle, cette infrastructure, souvent perçue comme un simple sujet de gestion des bâtiments, est devenue l’un des angles morts les plus critiques de la cybersécurité moderne, une situation que l’évolution réglementaire s’apprête à rendre intenable.

Le paradoxe d’un système fonctionnel mais vulnérable

Le cœur du problème réside dans une inertie alimentée par un faux sentiment de sécurité. « La plupart des entreprises françaises opèrent des systèmes de contrôle d’accès installés il y a dix à quinze ans », explique Clara Bardou. Ces systèmes reposent sur des technologies obsolètes, utilisant des badges dont l’identifiant (CSN) n’est ni chiffré ni authentifié. « Ils sont clonables en quelques secondes avec du matériel disponible pour moins de cinquante euros sur internet », précise l’experte.

Pourtant, cette faille béante, bien que documentée, n’entraîne que rarement une action corrective. La raison est simple : à la différence d’une vulnérabilité informatique qui génère des alertes, un badge cloné qui ouvre une porte ne laisse aucune trace suspecte. « L’absence d’incident est interprétée comme l’absence de risque. C’est une erreur de raisonnement que les organisations paient rarement immédiatement, et souvent très cher quand elles le paient », analyse Clara Bardou.

La directive NIS2, un accélérateur de changement

Jusqu’à présent, le risque était principalement opérationnel, lié à une potentielle intrusion physique. Mais la directive européenne NIS2, dont la transposition en droit français est attendue pour cette année 2026, va radicalement changer la donne. Si son périmètre cible des secteurs définis comme essentiels ou importants, son impact se fera sentir bien au-delà par un « effet de ruissellement contractuel ».

Concrètement, un grand groupe soumis à NIS2 pourra imposer à ses sous-traitants des exigences strictes en matière de sécurité, y compris pour le contrôle d’accès physique. Le risque n’est alors plus une simple hypothèse de sécurité mais une menace commerciale directe : la perte d’un contrat faute de conformité. « C’est un argument que les directions générales comprennent mieux que n’importe quel rapport de RSSI », souligne Clara Bardou.

Une dette technique invisible qui fragilise l’ensemble

L’obsolescence de ces systèmes engendre une dette technique invisible mais profonde. Les audits de sécurité révèlent systématiquement des configurations locales non documentées, des droits d’accès jamais révisés, et des comptes orphelins qui s’accumulent après chaque départ. Cette opacité rend impossible la production de journaux d’accès fiables, essentiels en cas d’incident ou d’audit.

Cette fragilité physique contamine désormais la sécurité numérique. Le rapport « State of Security and Identity » publié par HID en février 2026, basé sur une enquête auprès de plus de 1 500 professionnels, révèle que 73 % des répondants placent la gestion des identités en tête de leurs priorités. Et pour cause : un badge cloné peut devenir le premier maillon d’une attaque complexe sur le système d’information. « La frontière entre sécurité physique et cybersécurité n’existe plus opérationnellement », insiste l’experte.

Moderniser par étapes, la voie de la raison

Face à ce constat, les entreprises hésitent souvent entre l’inaction, justifiée par les coûts, et une refonte complète, jugée trop disruptive. Clara Bardou plaide pour une troisième voie : la modernisation par couches successives. Cette approche pragmatique permet de dissocier la migration des identifiants (badges, identifiants mobiles) du remplacement des équipements (lecteurs, portes), étalant ainsi l’investissement et limitant l’impact sur les opérations.

Les tendances du marché confirment cette évolution. Selon le rapport HID, 50 % des organisations considèrent désormais les identifiants mobiles comme un impératif de sécurité, et 75 % déploient ou évaluent des solutions d’identité unifiée qui couvrent à la fois les accès aux bâtiments, aux réseaux et aux applications.

Repenser la question : quel est le coût de l’inaction ?

Pour Clara Bardou, le débat est souvent mal posé. « La bonne question n’est pas « Quel est le coût de la modernisation ? », mais « Quel est le coût de l’inaction ? » ». Ces coûts, bien que diffus, sont réels : échec d’un audit de conformité, incompatibilité avec les exigences d’un client majeur, ou augmentation des primes d’assurance.

Avec la mise en œuvre de la directive NIS2, la conformité devient une condition d’accès au marché. Retarder la modernisation n’est plus une stratégie d’économie, mais une prise de risque commercial. Le contrôle d’accès physique quitte ainsi le seul périmètre de la gestion technique pour devenir un enjeu de compétitivité et de croissance pour les entreprises.