Avec son format universellement accepté et ses capacités de personnalisation, la carte à puce peut tout à fait devenir la carte unique de l'entreprise, donnant accès à la fois au système d'information et aux locaux. La présence d'une photo aide à authentifier physiquement le porteur sans recourir à un lecteur. Et l'intégration d'une puce sans contact ou d'une bande magnétique autorise l'ouverture des locaux en fonction du profil de l'utilisateur.

Mieux encore, lorsqu'une même carte est nécessaire à l'ouverture de la session logique d'une application et à la circulation dans l'entreprise, les utilisateurs ne peuvent plus oublier de fermer leur session en quittant leur poste de travail : ils sont obligés de prendre la carte avec eux, et son retrait provoque automatiquement le verrouillage du poste.

Mais cette intégration est avant tout celle de deux univers qui ne se parlent que rarement. Et elle reste aujourd'hui encore largement perfectible. « Le plus souvent, la direction des services généraux gère les badges d'accès, et la direction du système d'information les cartes à puce. La tendance actuelle est certes à la fusion des deux bases d'utilisateurs quand on a la chance de pouvoir partir de zéro. Mais c'est encore rare », explique Bernard Cardebat, directeur des grands projets chez Euriware. Dans ce cas, l'utilisation du même support pour contrôler les deux types d'accès peut se retourner contre l'entreprise. Et conduire au gaspillage de ressources lorsque deux services administrent séparément la même carte.

Les technologies mises en oeuvre sont aussi distinctes que les services qui les gèrent. Ainsi le support destiné au contrôle d'accès physique est-il encore largement indépendant, ne faisant que partager le même morceau de plastique avec la puce logique. Il peut s'agir d'une bande magnétique ou, de plus en plus souvent, d'une technologie sans contact de type Mifare ou RFID. « On n'utilise pas du tout la puce cryptographique pour le contrôle d'accès physique. D'une part, parce que la mise sous tension de la carte prendrait trop de temps. Et, d'autre part, parce que les contacts répétés à chaque passage useraient la puce prématurément », précise Jérôme Dusautois, responsable technico-commercial chez Scrypto.

Le rôle de ce circuit sans contact ou de cette piste magnétique s'avère en outre très limité : il n'est chargé que de stocker un identifiant unique. Celui-ci est utilisé pour extraire en temps réel le profil d'accès du porteur de la carte et décider de l'ouverture des locaux. Il sert également à certains autres mécanismes comme la gestion du compte du restaurant d'entreprise.

Mais les choses pourraient évoluer. Déjà, l'intégration des moyens de contrôle d'accès au système d'information et aux locaux est envisagée. Les puces sans contact sont ainsi désormais capables de réaliser quelques traitements, comme la vérification d'un code PIN pour authentifier le porteur de la carte.

Mais on peut aller plus loin : « La convergence viendra du besoin de cohérence dans la sécurité. Il est logique d'imaginer qu'avant de pouvoir ouvrir une session sur le poste de travail, il faille avoir passé les contrôles physiques adéquats », extrapole Jérôme Dusautois, de Scrypto. Il faudrait alors avoir simultanément une vision logique et physique du parcours de l'utilisateur. A l'image de ce que présentait, dès 2002, Computer Associates avec l'ambitieuse solution eTrust 20/20.

A terme, bien sûr, cette intégration pourra conduire la puce cryptographique à prendre en charge seule les deux types d'accès. « Avec les puces cryptographiques dites dual mode, on a dans le même circuit une partie avec contact et une partie sans contact, capable d'utiliser certaines des informations de l'authentification logique pour un accès physique. C'est un axe bien identifié dans notre feuille de route », explique Xavier Chanay, vice-président marketing produit et développement chez Axalto. Mais, bien sûr, l'étape clé pour cela sera la fusion des bases d'utilisateurs des directions des services généraux, des ressources humaines, et du système d'information. Et beaucoup d'entreprises en sont encore loin.