L'importance de la cybersécurité dans le systèmes de vidéosurveillance

L'utilisation de la vidéo dans les domaines de la prévention, du contrôle industriel, de la santé et de la sécurité a un impact positif sur le quotidien des individus. Mais cette présence est-elle protégée contre les cyber-menaces ?

Aujourd'hui, l'imagerie vidéo est de plus en plus associée à d'autres types de données sensorielles telles que la température, le son, le mouvement et les systèmes d'intelligence artificielle capables de déclencher automatiquement des alarmes et des procédures. De simple outil de réception passive, la vidéo est devenue un support automatisé, connecté et intelligent capable d'effectuer des tâches basées sur l'observation de faits. Toutefois, cette omniprésence de la vidéo s'accompagne d'une augmentation des attaques de pirates informatiques et de groupes d'action qui exploitent et perturbent les plateformes de vidéosurveillance pour servir leurs propres objectifs.

Les experts en sécurité ont découvert des vulnérabilités dans les caméras qui affectent les grandes marques internationales ainsi que les acteurs régionaux avec un nombre croissant d'incidents. Des millions d'appareils sont touchés par ces vulnérabilités et touchent de nombreux distributeurs de technologies sous licence. Alors que des correctifs sont régulièrement publiés par les grands fournisseurs réputés, de nombreux petits revendeurs ont tendance à (encore) ignorer le problème et ne mettent pas activement à jour ou n'effectuent pas de contrôles sur le système pour s'assurer que la solution est sûre.

Les systèmes de vidéosurveillance ne sont pas à l’abri des cybermenaces

Même si elle rappelle le scénario des films à succès d'Hollywood, la probabilité qu'un système complet de vidéosurveillance d'un site sensible soit détruit n'est pas une fiction. Le réseau convergent est une autre occasion pour les cybercriminels de s'introduire dans un dispositif associé, une caméra par exemple, et de l'utiliser ensuite comme point d'authentification pour accéder à d'autres ressources connectées. Bien que les protections des réseaux soient généralement conçues pour bloquer ce type d'attaque, la demande croissante de caméras et d'autres dispositifs IoT dotés de processus intelligents augmente le risque d'intrusion. Mais les attaques contre les caméras elles-mêmes ne sont pas le seul problème. Récemment, des caméras ont été détournées et utilisées comme moyen de lancer des attaques par déni de service distribué (DDoS).

C'est un fait, les cyber-attaques sont de plus en plus fréquentes et de plus en plus dirigées vers les systèmes de vidéosurveillance et de contrôle d'accès. Les attaques de ces dernières années, en partie dues à un réseau de dispositifs de vidéosurveillance, ont touché plusieurs géants du web. Le botnet était principalement constitué de caméras IP et d'enregistreurs vidéo numériques fabriqués par une entreprise de haute technologie.

Les caméras sont des objets connectés, donc à risque ...

On estime que 35 milliards d'objets seront connectés à l'Internet d'ici 2030 dans le monde entier. Ces objets présentent des vulnérabilités et des risques intrinsèques liés à leur connexion à l'Internet. S'ils sont conçus sans mécanisme de sécurité intégré, les vulnérabilités augmentent et permettent de multiples points d'entrée dans les réseaux privés et publics . La cybersécurité est dans l'esprit de tous. D'autant plus que les attaques par rebond, trop souvent négligées, se multiplient, obligeant les services de sécurité à s'y intéresser. Nous arrivons enfin à une phase où la cybersécurité est prise plus au sérieux que jamais, mais toujours pas assez.

Il convient de noter qu'au-delà des risques pour la continuité des activités de l'entreprise, si un système de vidéosurveillance devient inopérant en raison d'une cyberattaque évitable et qu'un crime est commis et non enregistré par la caméra, les assureurs peuvent refuser un sinistre en raison du non-respect des conditions de la police.

… pour la protection de la vie privée

Bien que les questions de responsabilité pénale et financière liées au piratage des dispositifs de vidéosurveillance soient toujours débattues, la plupart des pays développés ont intégré la protection de la vie privée des citoyens dans leur législation. Hormis quelques différences d'un pays à l'autre, toutes les données personnelles relatives à la santé, aux finances, à l'orientation sexuelle, aux opinions politiques et à divers autres aspects doivent être collectées et stockées dans des conditions de sécurité optimales.

Cette obligation s'applique également aux données vidéo

Par exemple, les enregistrements vidéo d'un patient se rendant dans une clinique psychiatrique ou à un rassemblement politique doivent être conservés en lieu sûr et hors du domaine public. En cas de cyberattaque contre un dispositif ou un réseau de vidéosurveillance en circuit fermé, il existe un risque très élevé que des informations privées - images et autres données - soient ciblées sur des personnes spécifiques et volées, puis diffusées sans autorisation.

Cela porterait atteinte aux droits des utilisateurs à la protection de la vie privée par le biais du système et pourrait entraîner des poursuites judiciaires contre la personne responsable du traitement des données à caractère personnel.

La sécurisation des appareils n'a de sens que si l'environnement global est protégé

L'utilisation croissante de la vidéosurveillance et d'autres applications vidéo ne montre aucun signe de ralentissement. Comme ces dispositifs deviennent inévitables, d'autres processus tels que le contrôle d'accès, la surveillance de l'environnement et les systèmes d'analyse comme la reconnaissance faciale seront de plus en plus pris pour cible par les cybercriminels.

Cependant, les dispositifs de sécurité n'ont de sens que si l'environnement global est protégé. Il ne sert à rien de verrouiller la porte si la fenêtre reste ouverte. C'est pourquoi les spécificateurs et les opérateurs de télévision en circuit fermé ainsi que les réseaux IoT étendus doivent évaluer d'autres éléments tels que le réseau sous-jacent, l'infrastructure de stockage et, surtout, l'élément humain qui est souvent le maillon le plus faible de la chaîne. Plusieurs groupes industriels tels que le SANS Institute ont élaboré des recommandations utiles, notamment les contrôles de sécurité critiques mis au point par le Centre for Internet Security (CIS). Il s'agit d'un ensemble de mesures de cyberdéfense proposées comme moyens ciblés et efficaces pour mettre fin aux attaques les plus dangereuses qui se répandent aujourd'hui.

À l'avenir, il est clair que la sécurité des appareils et des plates-formes deviendra un facteur clé dans les grands projets vidéo. À mesure que la sensibilisation aux questions liées à l'IoT se développe, il est impératif que les professionnels de l'industrie travaillent avec leurs pairs, leurs clients et les agences gouvernementales pour protéger les technologies et les systèmes essentiels qui contribuent à rendre la société plus sûre pour nous tous.