Comment protéger un système de gestion vidéo contre les cyberattaques

À l'heure où les autorités demandent aux entreprises de favoriser le télétravail pour respecter le confinement, beaucoup de hackers et d'organisations criminelles tentent de profiter de cette période. Et les systèmes vidéo ne sont pas épargnés.

En collaboration avec OpinionWay, le CESIN a dévoilé dernièrement des conclusions intéressantes lors de son baromètre annuel sur la cybersécurité pour 2019 : 80 % des entreprises ont subi au moins une cyberattaque en 2018. Plus impressionnants encore, 48% de ces entreprises ont subi au moins quatre cyberattaques sur les 12 derniers mois. C’est pourquoi certaines conclusions de ce baromètre du CESIN s’avèrent beaucoup plus inquiétantes. En effet, les cyberattaques rencontrées seraient de plus en plus nocives et influentes sur le business des entreprises. Quelques exemples récents en 2020 : Tesla, SpaceX, Boeing figurent parmi les victimes indirectes d'une cyberattaque par ransomware ayant frappé un de leurs fournisseurs. Ce n'est là qu'un exemple parmi d'autres du nombre croissant de violations de données et de piratages très médiatisés qui ont affaibli la confiance dans la sécurité des données. 

En parallèle de cette “tendance” aux cyberattaques, les organisations sont aujourd'hui confrontées à une véritable tempête. La liste des dispositifs en réseau ne cesse de s'allonger avec l'essor de l'internet des objets et les possibilités pour les pirates informatiques de compromettre les systèmes sont désormais encore plus nombreuses. Pour beaucoup, la question est de savoir quand - et non pas si - un piratage ou une violation se produira. La bonne nouvelle, c'est qu'il existe de nombreux outils permettant de minimiser les risques et de protéger vos données.

L'application du GDPR au VMS

L'utilisation de systèmes de gestion vidéo (VMS) et de dispositifs connectés présente une vulnérabilité particulière. Malgré la prévalence croissante des violations de données, la prise de conscience des besoins de sécurité accrue lors de l'installation et de l'utilisation d'un VMS n'a pas encore rattrapé son retard. La complaisance est l'ennemi : même les erreurs de sécurité les plus élémentaires peuvent mettre un système en danger.

Les intégrateurs de sécurité doivent se tenir au courant de la question, en comprenant les nouveaux risques et la manière de sécuriser un VMS et les dispositifs connectés. Surtout lorsque les enjeux sont si importants. En vertu du RGPD, les organisations peuvent se voir infliger des amendes allant jusqu'à 20 millions d'euros (soit 4 % du chiffre d'affaires annuel) en cas d'infraction. Une sanction qui peut mettre fin à une activité commerciale.

Le montant de l'amende sera basé sur la nature, la gravité, la durée et le caractère de l'infraction. Ainsi que du type de données à caractère personnel collectées. Ainsi, les données très sensibles telles que les informations biométriques seront classées différemment des données moins personnelles, comme les codes postaux ou les noms d'utilisateur.

La manière dont cela s'applique aux données vidéo n'est pas tout à fait claire. Même à un niveau élémentaire, la vidéo peut capturer des individus lors d'événements ou de scènes qui pourraient établir une implication politique, par exemple, un type de données classées comme des données personnelles sensibles.

Une fois qu'une entreprise se retrouve dans la catégorie des données personnelles sensibles à cause de ses systèmes de surveillance vidéo et de ses appareils vidéo, les conséquences sont beaucoup plus graves. Il est probable que davantage d'organisations se précipiteront pour sécuriser leur VMS. Les installateurs doivent donc s'assurer que le VMS qu'ils utilisent est prêt pour le RGPD - et qu'il est certifié comme tel.

VMS et culture de la vie privée 

Cela nous amène aux aspects pratiques de la sécurisation de votre VMS. Avec le RGPD, il s'agit de créer une "culture de la vie privée" autour de l'utilisation des systèmes vidéo. Les organisations ne peuvent pas collecter des données simplement sur la base du "juste au cas où". Il doit y avoir une raison légitime de collecter et de stocker des données VMS. Elle doit également être "raisonnable" par rapport à cette fin.

Dans la pratique, cela pourrait ressembler à un VMS analysant l'activité des piétons pour détecter les comportements potentiellement dangereux. Les personnes en mauvaise santé peuvent être automatiquement signalées par le système lorsqu'elles se tiennent trop près du bord d'un quai de gare, par exemple. L'utilisation d'un VMS de cette manière est clairement dans l'intérêt du public - il y a une raison légitime d'installer un tel système et de stocker les données.

La garantie d'une opération vidéo conforme au RGPD comprend trois étapes. 

  • Premièrement, assurez-vous que votre VMS est prêt pour le RGPD et qu'il est certifié pour contenir des fonctionnalités de cybersécurité et de protection de la vie privée permettant une utilisation conforme au RGPD.
  • Deuxièmement, les intégrateurs de systèmes doivent garantir le respect de la vie privée dès la conception en appliquant la conception globale correcte du système, la configuration du système et l'installation physique des caméras et autres dispositifs.
  • Enfin, les utilisateurs finaux doivent définir et suivre des procédures et des processus concernant la manière dont les données vidéo sont stockées, traitées et partagées.

Un VMS sécurisé, privé et prêt pour l’IoT

Un autre aspect consiste à prendre en considération les mises à jour et les accréditations de sécurité de votre VMS lui-même. Au minimum, il doit pouvoir fonctionner dans un système prêt pour le RGPD afin de garantir la conformité de l'utilisateur final. 

Le logiciel devrait également être sécurisé par sa conception. Où la sécurité est au centre de l'esprit d'un développeur lorsqu'il aborde une tâche. Si votre fournisseur de PMV peut illustrer que la mise en œuvre sécurisée est une priorité alors la cybersécurité de votre PMV repose sur des bases solides.

Des mises à jour régulières deviennent encore plus essentielles que l'exploitation de l'IoT, la robotique, l'intelligence artificielle et la réalité virtuelle devient monnaie courante. À certains égards, l'IoT représente le plus grand risque de cybersécurité à l'heure actuelle car il existe trop d'appareils inconnus connectés à des réseaux sans aucune normalisation en matière de sécurité.

Une solution à ce problème consiste à utiliser un VMS prenant en charge les réseaux doubles, où les dispositifs de l'IoT sont connectés à un réseau complètement verrouillé et où les informations générées par ces dispositifs sont ensuite proxénétisées via le serveur d'enregistrement. Cela donne un niveau de protection immédiat aux dispositifs IoT.

L’erreur Humaine … meilleure amie des cyberattaques

Cependant, l'erreur humaine est encore monnaie courante. Souvent, les PMV et les appareils connectés sont installés et entretenus par des équipes qui ne sont pas entièrement formées à la cybersécurité. Il existe de nombreuses idées fausses. L'une de ces erreurs est de croire que, parce qu'un système n'est pas connecté à internet, il n'a pas besoin de cybersécurité. Cependant, il pourrait facilement être compromis par un dispositif USB ou par l'exposition de réseaux de caméras, ce qui est particulièrement pertinent si l'on connecte des caméras en utilisant le WiFi.

L'élaboration et la mise en œuvre de mesures de sécurité et de meilleures pratiques sont connues sous le nom de "durcissement", un processus continu d'identification et de compréhension des risques de sécurité et de prise de mesures appropriées pour les contrer. Ce processus est dynamique car les menaces, et les systèmes qu'elles ciblent, évoluent en permanence.

C'est pourquoi la formation est si vitale. Les Hommes seront toujours le maillon faible de votre système de sécurité. La formation doit toucher les personnes de toute l'organisation. Elle doit être adaptée, afin que les gens comprennent certains des risques de sécurité uniques et les données sensibles qui peuvent être collectées. Vous ne pouvez pas vous protéger contre des choses que vous ne connaissez pas. Cela signifie que la formation à la cybersécurité est un effort continu, et non un événement ponctuel.

Grâce à une sensibilisation accrue du public et au RGPD, la cybersécurité et la protection de la vie privée qu'elle assure sont devenues une priorité. Cela ne peut qu'être une bonne chose pour la vie privée dans son ensemble. Pourtant, il reste encore beaucoup de chemin à parcourir pour les installateurs de PMV et les utilisateurs finaux. Une plus grande sensibilisation aux menaces de cybersécurité qui pèsent sur le VMS est nécessaire.  

Il sera utile de se tenir au courant de toutes les évolutions en matière de cybersécurité. Une partie de cette tâche devrait être effectuée par votre fabricant, qui mettra régulièrement à jour le VMS afin d'atténuer les menaces. En gardant une longueur d'avance sur la cybersécurité de votre VMS, vous ferez de vos systèmes une cible moins importante : il est difficile de se faire repérer lorsque vous êtes constamment en mouvement.