Vidéoprotection et Système d’information sécurisé, deux notions indissociables !
Par Patrice DUHEM
26 novembre, 2024
La vidéoprotection se déploie de façon exponentielle dans tous les secteurs de la vie économique et de l’administration, avec pour obsession légitime la protection des personnes et des biens. Les collectivités, comme les sociétés privées, consacrent des budgets importants chaque année à l’installation de caméras, de plus en plus « intelligentes ».
Aussi surprenant que cela paraisse, il s’avère que Vidéoprotection et Cybersécurité, vivent dans des mondes parallèles dans la majorité des organisations. Pourtant les systèmes de vidéoprotection d’une part, traitent, stockent et échangent des données personnelles, et d’autre part sont installés sur un ou plusieurs réseaux informatiques susceptibles d’être la cible d’attaquants, ce qui devrait inciter ces deux pôles à travailler main dans la main.
Aujourd’hui, dans la plupart des organisations, la Vidéoprotection (étude, mise en place, fonctionnement) est confiée au Responsable Sûreté et Sécurité ou au Responsable des Services Généraux, qui a la compétence Sûreté périmétrique, mais pas toujours la compétence Cybersécurité, et sur ce point il fait souvent confiance à ses fournisseurs, à tort ou à raison.
De son côté, le Responsable des Systèmes d’Information (RSI) n’est en général pas sollicité, alors que la sécurisation des SI supportant le fonctionnement de la Vidéoprotection est pourtant indispensable dans un contexte où la menace de cyberattaque est très élevée, la règlementation de plus en plus prégnante et l’hybridation de la criminalité de plus en plus forte (attaques physiques et numériques combinées).
Globalement, les systèmes d’information supportant la Vidéoprotection sont très peu ou mal sécurisés, alors qu’ils traitent des flux de données de plus en plus volumineux, et qu’ils sont souvent interconnectés au SI général de l’entité. De plus, l’utilisation de dispositifs sophistiqués comme les caméras dites « intelligentes » expose ces SI aux cybermenaces autant qu’elle est bénéfique à la surveillance des espaces.
Le risque pour ces SI est principalement de trois ordres :
- Le vol de données, par un attaquant, ayant exploité une vulnérabilité sur le SI de vidéoprotection. Les données récupérées sont ainsi revendues sur le darknet. Le manque de sécurisation des données vidéos a un impact significatif sur la conformité de l’organisation au RGPD. Un vol avéré pourrait mener à un contrôle et une sanction de la CNIL.
- La prise de contrôle du système de vidéoprotection. Dans ce contexte un attaquant peut naviguer sur le réseau de Vidéoprotection afin d’intervenir sur son fonctionnement et sur le paramétrage des dispositifs de sécurité (caméras, enregistreur, serveur VMS). Une compromission du réseau de vidéoprotection peut aussi avoir pour but de chercher une entrée sur le SI général de l’entité, le compromettre et attenter à l’activité de l’organisation.
- Le blocage du système de vidéoprotection qui se matérialise par l’inopérabilité des dispositifs peut aussi être l’occasion d’une demande une rançon (ransomware) en contrepartie d’une remise en état très hypothétique du système.
Pour limiter ces risques, l’organisation doit considérer son système de vidéoprotection comme un SI à part entière et le sécuriser à l’image des autres SI gérés par le Responsable des Systèmes d’Information.
L’intégration de la cybersécurité dans les nouveaux projets d’installation, ou d’extension de systèmes de vidéoprotection, comme l’évaluation de la cybersécurité des sites déjà installés, permettent de réduire efficacement les risques décrits précédemment. Ces analyses permettent une consolidation d’un plan d’actions de sécurisation de ces systèmes de vidéoprotection.
Il est important de rappeler que le besoin de cybersécurité doit s’analyser autant sur le plan opérationnel que règlementaire.