Aller au contenu
Centrales de controle d’acces: architectures et intégration — KYTOM
Pôle Travaux

Centrales de controle d’acces: architectures et intégration

IP ou RS485: le seuil de bascule se situe à 50 portes

La centrale de contrôle d’accès n’est pas un équipement de sécurité: c’est un actif d’infrastructure SI régi par le RGPD article 5 et intégré au LDAP, pas par la doxa sûreté. Ce reframing change tout: une architecture redondée réduit drastiquement les risques d’indisponibilité par rapport à une solution mono-serveur, avec un impact direct sur la continuité d’activité. Une centrale pilote 50 à 5000 portes via IP (TCP/IP sur VLAN segmenté) ou bus RS485 (32 lecteurs par boucle, 1200 m, TIA-485-A). Kytom intervient depuis 2006, dimensionne 8 à 12 lecteurs sur un plateau standard et intègre OPC UA ou BACnet/IP pour la GTB. Le budget représente 3 à 7% des travaux d’aménagement, articulé en trois couches: contrôleurs physiques, centrales logiques, intégration SI.

Centrales de controle d’acces: architectures et intégration
02

Deux familles d’architectures structurent le marché du contrôle d’accès tertiaire. Le bus RS485 plafonne à 32 lecteurs par boucle sur 1200 m (spécification TIA-485-A), en topologie mono-site, avec un coût de câblage sensiblement inférieur à une architecture IP, un avantage économique notable sur les petits périmètres. Il reste pertinent sur les agences de moins de 20 portes: centrale unique, lecteurs MIFARE DESFire EV2, alimentation 12 ou 24 V centralisée. L’architecture IP supporte 5000+ portes en multi-sites, distances OM4 jusqu’à 150 m et OS2 kilométrique inter-bâtiments (norme ISO/IEC 11801-1), avec intégration native (API REST, LDAP).

Contrairement au discours dominant des intégrateurs sûreté, l’IP n’est pas systématiquement la bonne réponse. Notre expérience sur des sites passés de RS485 à IP est plus nuancée: l’IP devient incontournable dès 50 portes pour la supervision déportée, les mises à jour firmware centralisées et la redondance native, en deçà, le retour sur investissement n’est pas garanti. La conformité RGPD article 5 impose une rétention des journaux limitée à 3 mois sans justification documentée (CNIL, Guide pratique contrôle d’accès et vidéoprotection, mise à jour 2023).

Quand l’IP n’est pas la bonne réponse: en deçà de 20 portes sur site mono-bâtiment sans extension prévue, l’IP génère un surcoût d’infrastructure (switchs PoE+ dédiés, VLAN, supervision) qui ne s’amortit pas avant 5 à 6 ans. Le RS485 reste alors plus rentable. De même, sur des agences distantes à faible bande passante (< 10 Mbps stable), une centrale IP centralisée non doublée d’un mode dégradé local dégrade l’expérience utilisateur en cas de coupure WAN: préférer une centrale autonome locale avec synchronisation périodique.

Centrales de controle d’acces: architectures et intégration
03

4 paliers de scalabilité Kytom, de l’agence 50 portes au cluster 5000 portes

La grille de dimensionnement Kytom s’articule en quatre paliers progressifs, issus de notre expérience terrain sur des déploiements variés:

  1. Palier 1 (1 à 50 portes): centrale unique sur bus RS485, lecteurs MIFARE DESFire EV2, alimentation 12/24 V centralisée. Cible: agences mono-site.
  2. Palier 2 (50 à 500 portes): architecture IP avec contrôleurs déportés par étage, switchs PoE+ dédiés, serveur de supervision unique. Cible: sièges PME.
  3. Palier 3 (500 à 2000 portes): redondance centrale active/passive, base de données répliquée, intégration LDAP/Active Directory pour synchronisation automatique des badges. Cible: ETI multi-sites.
  4. Palier 4 (2000 à 5000 portes): cluster de serveurs, supervision multi-sites avec failover géographique, API REST pour applications métier. Cible: grands groupes.

Pour le DSI: l’intégration GTB est le vrai enjeu d’architecture, pas le choix du lecteur. OPC UA (chiffrement TLS, modèle orienté objet, spécification OPC Foundation UA Part 2 Security Model) ou BACnet/IP (norme ASHRAE 135-2020) déterminent la capacité à fédérer contrôle d’accès, GTB CVC et supervision énergétique sous une console unique auditable. Le taux de compatibilité BACnet/IP sur le parc GTB tertiaire que Kytom rencontre en exploitation est majoritairement élevé, couvrant la grande majorité des sites audités. Le déploiement d’un palier 2 dure 12 semaines: audit des flux, câblage VDI dédié, paramétrage des zones logiques, formation des administrateurs côté client. Côté SLA, exiger contractuellement un MTTR 50 000 h sur les contrôleurs constitue le minimum auditable pour une DSI.

Quand la segmentation en 4 paliers ne s’applique pas: pour les sites à forte saisonnalité ou à usages mixtes (coworking, tiers-lieux, campus universitaires) avec plus de 30% de badges visiteurs, la logique de paliers fondée sur le nombre de portes devient secondaire. Le dimensionnement doit alors partir du volume de badges actifs simultanément (pic horaire) et de la fréquence de révocation, pas du nombre de portes. Un site de 80 portes avec 4000 badges visiteurs par mois exige une capacité serveur palier 3.

Centrales de controle d’acces: architectures et intégration
04

Continuité électrique et conformité RGPD: ce que la DSI doit exiger dès 200 portes

La disponibilité du contrôle d’accès dépend directement de l’alimentation et de la segmentation réseau. Trois règles de dimensionnement s’appliquent sur les sites de plus de 200 portes:

  • UPS dédié systématique pour la centrale et les contrôleurs, autonomie 10 à 30 minutes selon criticité.
  • VLAN segmenté du VLAN bureautique, avec règles firewall strictes: 3 ports TCP typiques pour la supervision, journalisation activée (recommandation ANSSI Guide hygiène informatique, règle 22).
  • Câblage fibre OM4 multimode jusqu’à 150 m, OS2 monomode pour les distances inter-bâtiments (norme ISO/IEC 11801-1).

Pour la DSI et le DPO: le contrôle d’accès est une donnée personnelle au sens RGPD article 4, pas un journal technique. Cette qualification impose un registre des traitements (article 30), une analyse d’impact si les données sont croisées avec la vidéoprotection, et une rétention encadrée (3 mois sans justification documentée selon les délibérations CNIL). La synchronisation LDAP/Active Directory automatise la création des badges à l’embauche et la révocation en moins de 15 minutes au départ, point clé de conformité: sans cette automatisation, le délai de révocation manuelle constaté sur nos audits dépasse fréquemment plusieurs jours, soit un risque d’accès post-départ documenté.

Côté exploitation, le contrôle d’accès centralisé contribue à réduire significativement les incidents de sécurité physique dans les premiers mois suivant le déploiement, avec horodatage à la seconde sur les accès sensibles. Un Office Manager peut gérer l’ensemble des collaborateurs depuis une console unique, réduisant fortement la charge administrative par rapport à une gestion porte par porte.

Quand l’UPS dédié ne se justifie pas: sous 200 portes en site mono-bâtiment relié à un onduleur bâtiment de capacité suffisante (> 30 minutes d’autonomie vérifiée), un UPS dédié au contrôle d’accès peut représenter un surcoût difficile à amortir, à évaluer au cas par cas.

05

Questions fréquentes

À partir de combien de portes faut-il basculer du RS485 vers une architecture IP?

Le seuil de bascule se situe autour de 50 portes. En dessous, le RS485 reste rentable grâce à un coût de câblage significativement inférieur. Au-delà, l’IP devient incontournable pour la supervision déportée, les mises à jour firmware centralisées et la redondance native, avec un surcoût amorti en 24 à 36 mois. Exception: sites mono-bâtiment de moins de 20 portes sans extension prévue, où le RS485 reste plus pertinent.

05 — Inspirations

Parcourez nos
réalisations

Explorer Explorer

Vous avez un projet d’aménagement ?

Bénéficiez d’un audit offert de vos espaces: un regard expert, des recommandations concrètes, sans engagement.

Demander mon audit offert