Buzz
E-salon
Web-TV
Maître Bensoussan
Actualités
Réglementation
Technologie
Forum
I – Les instances étatiques
A/ Vincent Strubel et Mathieu Feuillet – représentants de l'ANSSI
Vincent Strubel et Mathieu Feuillet représentent l’ANSSI (Agence nationale de la sécurité des systèmes d’information), c’est-à-dire la référence étatique sur ce sujet. Vincent Strubel est responsable de la division scientifique et technique de l’ANSSI où il travaille avec Mathieu Feuillet. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009), sous la forme d’un service à compétence nationale. Elle est rattachée au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Elle travaille pour la sécurité des services d’information, notamment celles des administrations. Le travail porte essentiellement sur l’espionnage industriel, le cyberespionnage ; et l’acte terroriste majeur, pratique ou non.
Même si ce n’est pas du tout son corps de métier, l’ANSSI s’intéresse à la vidéoprotection sous l’angle de la SSI. Ce qui a amené l’ANSSI à s’intéresser à ce sujet ce sont les administrations qui avaient besoin d’un avis pour intégrer tel ou tel dispositif de vidéoprotection, pour “mutualiser” potentiellement avec leur système d’information… Pour répondre à cette demande, l’ANSSI a dû se pencher sur les caméras : comment elles fonctionnaient, ce qu’elles étaient amenées à faire… De ce fait, l’agence a pu émettre quelques recommandations génériques dont une note technique qui décline des principes de bonnes pratiques de la SSI dans le cadre de la vidéoprotection (Site : www.ssi.gouv.fr).
Sur la menace : le premier constat qu’a émis l’ANSSI quand elle a récupéré les caméras IP de modèle récent, c’est qu’à tout point de vue, il s’agissait d’un PC miniature, c’est-à-dire du matériel classique qui est celui qu’on trouve dans un PC de bureau ou dans une tablette et d’un système d’exploitation qui met en œuvre des protocoles standards de l’IP. En pratique, le manque de maturité saute aux yeux. On le constate aussi bien dans la présentation du matériel et du dispositif que dans leur mise en œuvre.
Quelques grandes tendances assez récurrentes dans les différents dispositifs analysés peuvent être dégagées :
- On retrouve beaucoup de vulnérabilités logicielles que l’on peut définir de “classique” dans le sens où, de nos jours, elles sont souvent corrigées dans les logiciels classiques des grands éditeurs,
- Souvent les mécanismes d’authentification sont assez peu robustes, voire triviaux. On est face à peu de protection ou une protection inadaptée des réseaux sensibles. Qu’il s’agisse du flux vidéo lui-même ou du flux d’administration, l’un comme l’autre sont peu ou pas du tout protégés ou protégés par des moyens inadéquats.
La vidéoprotection est potentiellement un point faible, mais ce n’est pas le seul puisque l’on constate la même chose dans d’autres domaines connexes à la SSI, comme le contrôle d’accès et la gestion technique des bâtiments par exemple. Ces domaines ressemblent de plus en plus à des systèmes d’information classiques et ont également un niveau de maturité qui est encore en retard par rapport aux systèmes d’informations classiques. Donc, on converge de plus en plus vers des standards et des protocoles classiques ce qui incite fortement, pour des raisons d’économie et de coût, à mutualiser avec d’autres éléments du système d’information, soit le système d’information classique.
Quand on mutualise, on mutualise aussi les risques, c’est-à-dire qu’on expose l’ensemble des systèmes d’information. Par exemple, si on a un réseau bureautique purement interne à l’entreprise ou à l’administration mais hébergé sur des serveurs qui sont dans une salle qui ferme à clé et qui est surveillée et que l’on a des caméras extérieures pour surveiller le parking, si on mutualise le réseau IP de ces caméras pour le réseau interne on abaisse alors très fortement le niveau de protection du système d’information interne et c’est en cela que la vidéoprotection peut être le maillon faible. A contrario, vous avez d’autres scénarios dans lesquels la vidéoprotection n’est pas le maillon faible. Si on est dans la problématique de cyberespionnage, il est évident que l’accès aux systèmes d’information interne et extérieur est quelque chose de gênant et, dans des situations de terrorisme, cela est encore plus dérangeant.
La vulnérabilité ne provient pas d’un seul problème technique qui est plutôt spécifique à la vidéoprotection mais que l’on retrouve dans d’autres domaines. Se pose aussi le problème de l’externalisation de la vidéoprotection et de la maîtrise de la formation. C’est-à-dire qu’on fait parfois appel à des prestataires pour assurer le service de vidéoprotection ou, de manière plus indirecte, on a déployé un service de vidéoprotection qu’on gère soi-même : derrière il y a un moniteur, un intégrateur, souvent un intervenant extérieur… Et ces différents niveaux sont souvent complexes à identifier et peuvent amener à une perte de maîtrise des données.
Comment se protéger ?
Il existe quelques bonnes pratiques qui font l’objet de publications de l’ANSSI qui sont des principes qu’on appelle “hygiène informatique” et qui sont le respect de bonnes pratiques simples. Le durcissement en fait partie. Il peut se faire à un certain nombre de niveaux : dans le choix et la configuration des caméras elles-mêmes, dans l’architecture du réseau de collecte et dans les éléments contractuels pour faire face aux problématiques. Les deux plus importantes configurations des caméras sont le chiffrement sur la protection cryptographique des flux aussi bien de vidéo que d’administration et les désactivations des services inutilisés pour réduire le périmètre d’une caméra.
Dans l’architecture globale :
- Il faut porter une attention particulière à la sécurisation de l’interconnexion elle-même. Le réseau de collecte doit être isolé et cloisonné,
- Deuxième point : le contrôle d’accès au réseau. Il faut limiter les risques d’accès illégitimes, privilégier les réseaux filaires…
- Naturellement, il ne faut pas oublier le centre de supervision urbain (CSU) qui est au centre de tout et collecte tous les flux. Il doit donc faire l’objet d’une attention toute particulière.
L’ANSSI gère un schéma de premier niveau qui offre un cadre aux entreprises et administrations. L’accent est mis sur une analyse de priorité plutôt que sur des choses plus formelles : mise en conformité…
Les utilisateurs et les éditeurs semblent correspondre à deux populations qui s’ignorent au moins sur les aspects SSI
Les éditeurs doivent intégrer les mécanismes de sécurité nécessaires dans les équipements. Ils doivent mettre en œuvre les bonnes pratiques de développement logiciel. Et doivent faire évoluer la sécurité des équipements. A ce propos, l’ANSSI propose un certificat de sécurité de premier niveau (CSPN) qui offre un cadre adapté au contexte. Selon les utilisateurs, en revanche, les éditeurs ne proposent pas de produits de vidéoprotection qui offrent de bonnes propriétés SSI et pour les éditeurs il n’existe pas de demande des utilisateurs sur les aspects SSI. L’offre et la demande doivent donc converger sous peine de mettre en danger des espaces critiques. Une prise de conscience collective du besoin de sécurité est donc nécessaire.
La rédaction d’un nouveau Livre blanc sur la défense et la sécurité nationale – qui tient compte des changements majeurs intervenus dans l’environnement international et économique depuis sa première parution en 2008 – a été rendue public le 29 avril 2013. Ce Livre blanc fixe la stratégie française de défense et de sécurité nationale, et précise notamment son articulation avec la politique de sécurité et de défense commune de l’Union européenne et avec l’Alliance Atlantique, et les capacités requises pour la mettre en œuvre dans les quinze à vingt ans à venir. La rédaction de ce Livre blanc s’est appuyée sur les travaux d’une commission désignée par le Président de la République. Le Livre blanc sur la défense et la sécurité nationale 2013 peut être téléchargé gratuitement depuis le site ww.ssi.gouv.fr
On note deux volets essentiels :
- un volet administration qui insiste sur le renforcement de la sécurité de l’administration avec une sécurité consolidée des produits mis en œuvre pour l’administration,
- un volet très nouveau dans lequel l’Etat se veut plus interventionniste au moins dans le domaine de la SSI.
En conclusion, l’ANSSI joue un rôle réglementaire et d’autorité nationale de la défense. Elle recommande des bonnes pratiques et édite des guides ; elle propose la certification de sécurité de premier niveau (CSPN) qui permet à un utilisateur de choisir un produit en connaissance de cause ; elle donne des conseils techniques et des méthodes dans toutes sortes de domaines ; enfin, l’ANSSI exerce une activité assez marquante dans le domaine de l’audit pour le public comme pour le privé.
Vincent Strubel et Mathieu Feuillet représentent l’ANSSI (Agence nationale de la sécurité des systèmes d’information), c’est-à-dire la référence étatique sur ce sujet. Vincent Strubel est responsable de la division scientifique et technique de l’ANSSI où il travaille avec Mathieu Feuillet. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été créée par le décret n° 2009-834 du 7 juillet 2009 (Journal officiel du 8 juillet 2009), sous la forme d’un service à compétence nationale. Elle est rattachée au Secrétaire général de la défense et de la sécurité nationale (SGDSN), autorité chargée d’assister le Premier ministre dans l’exercice de ses responsabilités en matière de défense et de sécurité nationale. Elle travaille pour la sécurité des services d’information, notamment celles des administrations. Le travail porte essentiellement sur l’espionnage industriel, le cyberespionnage ; et l’acte terroriste majeur, pratique ou non.
Même si ce n’est pas du tout son corps de métier, l’ANSSI s’intéresse à la vidéoprotection sous l’angle de la SSI. Ce qui a amené l’ANSSI à s’intéresser à ce sujet ce sont les administrations qui avaient besoin d’un avis pour intégrer tel ou tel dispositif de vidéoprotection, pour “mutualiser” potentiellement avec leur système d’information… Pour répondre à cette demande, l’ANSSI a dû se pencher sur les caméras : comment elles fonctionnaient, ce qu’elles étaient amenées à faire… De ce fait, l’agence a pu émettre quelques recommandations génériques dont une note technique qui décline des principes de bonnes pratiques de la SSI dans le cadre de la vidéoprotection (Site : www.ssi.gouv.fr).
Sur la menace : le premier constat qu’a émis l’ANSSI quand elle a récupéré les caméras IP de modèle récent, c’est qu’à tout point de vue, il s’agissait d’un PC miniature, c’est-à-dire du matériel classique qui est celui qu’on trouve dans un PC de bureau ou dans une tablette et d’un système d’exploitation qui met en œuvre des protocoles standards de l’IP. En pratique, le manque de maturité saute aux yeux. On le constate aussi bien dans la présentation du matériel et du dispositif que dans leur mise en œuvre.
Quelques grandes tendances assez récurrentes dans les différents dispositifs analysés peuvent être dégagées :
- On retrouve beaucoup de vulnérabilités logicielles que l’on peut définir de “classique” dans le sens où, de nos jours, elles sont souvent corrigées dans les logiciels classiques des grands éditeurs,
- Souvent les mécanismes d’authentification sont assez peu robustes, voire triviaux. On est face à peu de protection ou une protection inadaptée des réseaux sensibles. Qu’il s’agisse du flux vidéo lui-même ou du flux d’administration, l’un comme l’autre sont peu ou pas du tout protégés ou protégés par des moyens inadéquats.
La vidéoprotection est potentiellement un point faible, mais ce n’est pas le seul puisque l’on constate la même chose dans d’autres domaines connexes à la SSI, comme le contrôle d’accès et la gestion technique des bâtiments par exemple. Ces domaines ressemblent de plus en plus à des systèmes d’information classiques et ont également un niveau de maturité qui est encore en retard par rapport aux systèmes d’informations classiques. Donc, on converge de plus en plus vers des standards et des protocoles classiques ce qui incite fortement, pour des raisons d’économie et de coût, à mutualiser avec d’autres éléments du système d’information, soit le système d’information classique.
Quand on mutualise, on mutualise aussi les risques, c’est-à-dire qu’on expose l’ensemble des systèmes d’information. Par exemple, si on a un réseau bureautique purement interne à l’entreprise ou à l’administration mais hébergé sur des serveurs qui sont dans une salle qui ferme à clé et qui est surveillée et que l’on a des caméras extérieures pour surveiller le parking, si on mutualise le réseau IP de ces caméras pour le réseau interne on abaisse alors très fortement le niveau de protection du système d’information interne et c’est en cela que la vidéoprotection peut être le maillon faible. A contrario, vous avez d’autres scénarios dans lesquels la vidéoprotection n’est pas le maillon faible. Si on est dans la problématique de cyberespionnage, il est évident que l’accès aux systèmes d’information interne et extérieur est quelque chose de gênant et, dans des situations de terrorisme, cela est encore plus dérangeant.
La vulnérabilité ne provient pas d’un seul problème technique qui est plutôt spécifique à la vidéoprotection mais que l’on retrouve dans d’autres domaines. Se pose aussi le problème de l’externalisation de la vidéoprotection et de la maîtrise de la formation. C’est-à-dire qu’on fait parfois appel à des prestataires pour assurer le service de vidéoprotection ou, de manière plus indirecte, on a déployé un service de vidéoprotection qu’on gère soi-même : derrière il y a un moniteur, un intégrateur, souvent un intervenant extérieur… Et ces différents niveaux sont souvent complexes à identifier et peuvent amener à une perte de maîtrise des données.
Comment se protéger ?
Il existe quelques bonnes pratiques qui font l’objet de publications de l’ANSSI qui sont des principes qu’on appelle “hygiène informatique” et qui sont le respect de bonnes pratiques simples. Le durcissement en fait partie. Il peut se faire à un certain nombre de niveaux : dans le choix et la configuration des caméras elles-mêmes, dans l’architecture du réseau de collecte et dans les éléments contractuels pour faire face aux problématiques. Les deux plus importantes configurations des caméras sont le chiffrement sur la protection cryptographique des flux aussi bien de vidéo que d’administration et les désactivations des services inutilisés pour réduire le périmètre d’une caméra.
Dans l’architecture globale :
- Il faut porter une attention particulière à la sécurisation de l’interconnexion elle-même. Le réseau de collecte doit être isolé et cloisonné,
- Deuxième point : le contrôle d’accès au réseau. Il faut limiter les risques d’accès illégitimes, privilégier les réseaux filaires…
- Naturellement, il ne faut pas oublier le centre de supervision urbain (CSU) qui est au centre de tout et collecte tous les flux. Il doit donc faire l’objet d’une attention toute particulière.
L’ANSSI gère un schéma de premier niveau qui offre un cadre aux entreprises et administrations. L’accent est mis sur une analyse de priorité plutôt que sur des choses plus formelles : mise en conformité…
Les utilisateurs et les éditeurs semblent correspondre à deux populations qui s’ignorent au moins sur les aspects SSI
Les éditeurs doivent intégrer les mécanismes de sécurité nécessaires dans les équipements. Ils doivent mettre en œuvre les bonnes pratiques de développement logiciel. Et doivent faire évoluer la sécurité des équipements. A ce propos, l’ANSSI propose un certificat de sécurité de premier niveau (CSPN) qui offre un cadre adapté au contexte. Selon les utilisateurs, en revanche, les éditeurs ne proposent pas de produits de vidéoprotection qui offrent de bonnes propriétés SSI et pour les éditeurs il n’existe pas de demande des utilisateurs sur les aspects SSI. L’offre et la demande doivent donc converger sous peine de mettre en danger des espaces critiques. Une prise de conscience collective du besoin de sécurité est donc nécessaire.
La rédaction d’un nouveau Livre blanc sur la défense et la sécurité nationale – qui tient compte des changements majeurs intervenus dans l’environnement international et économique depuis sa première parution en 2008 – a été rendue public le 29 avril 2013. Ce Livre blanc fixe la stratégie française de défense et de sécurité nationale, et précise notamment son articulation avec la politique de sécurité et de défense commune de l’Union européenne et avec l’Alliance Atlantique, et les capacités requises pour la mettre en œuvre dans les quinze à vingt ans à venir. La rédaction de ce Livre blanc s’est appuyée sur les travaux d’une commission désignée par le Président de la République. Le Livre blanc sur la défense et la sécurité nationale 2013 peut être téléchargé gratuitement depuis le site ww.ssi.gouv.fr
On note deux volets essentiels :
- un volet administration qui insiste sur le renforcement de la sécurité de l’administration avec une sécurité consolidée des produits mis en œuvre pour l’administration,
- un volet très nouveau dans lequel l’Etat se veut plus interventionniste au moins dans le domaine de la SSI.
En conclusion, l’ANSSI joue un rôle réglementaire et d’autorité nationale de la défense. Elle recommande des bonnes pratiques et édite des guides ; elle propose la certification de sécurité de premier niveau (CSPN) qui permet à un utilisateur de choisir un produit en connaissance de cause ; elle donne des conseils techniques et des méthodes dans toutes sortes de domaines ; enfin, l’ANSSI exerce une activité assez marquante dans le domaine de l’audit pour le public comme pour le privé.
B/ Jean Cueigniet – Membre du Comité de pilotage de la vidéoprotection
Jean Cueigniet est ingénieur général des Mines et membre du comité de pilotage de vidéoprotection – d’abord piloté par Philippe Melchior, le comité de pilotage stratégique pour le développement de la vidéoprotection est aujourd’hui sous la houlette de Jean-Louis Blanchou, préfet, délégué interministériel à la sécurité. Il travaille au Conseil général de l’économie, de l’industrie, de l’énergie et des technologies (CGEIET). En tant que membre du comité de pilotage stratégique pour le développement de la vidéoprotection, il est également amené, comme ses confrères de l’ANSSI, à faire des recommandations.
Avant toute chose, il tient à rappeler que la vidéoprotection a beaucoup changé. En cinq ans, on a assisté à une nouvelle donne numérique :
-On est passé de l’analogique au numérique,
-On a assisté à des progrès techniques sur les caméras (HD), sur la compression, le transport des images, l’enregistrement qui permet de stocker beaucoup plus d’images donc, potentiellement, d’avoir davantage d’images piratées,
-Indépendamment, de nouvelles techniques Télécom & informatiques (4G, Internet, Cloud) sont venues compléter la fibre optique et ont ouvert la porte à des nouvelles architectures,
-On a assisté à des progrès sur la reconnaissance faciale et l’analyse des images.
Ces modifications ont créé de nouveaux risques :
-Risques liés à IP : intrusion, déni de service, compromission des données, voire problèmes d’intégrité,
-La “Privacy” peut être compromise par le piratage des données (pour les données légalement exploitées par le maître d’ouvrage, la législation CNIL règle le problème).
Des questions se posent :
-Sur le cloisonnement des réseaux (réseau Vidéo – réseau interne de l’entreprise ) : quel niveau de protection imposer ? Différentier réseau interne entreprise et Internet ? A quel risque s’attaque-t-on ? (protection du réseau interne, protection du réseau vidéo, vol de données, déni de service…)
-Sur la confidentialité des données : par intrusion ou simplement par défaut de politique de droits d’accès, par écoute passive des réseaux de transport (wifi…), par compromission électromagnétique ?
-Sur l’intégrité des données (le numérique rend sans couture donc indétectable une modification de séquence).
Jean Cueigniet tient à faire le point sur ce qui relève de l’obligation (réglementation) et de la recommandation :
-Sauf cas exceptionnel, c’est le maître d’ouvrage qui décide de l’installation et la paie, Néanmoins, le MOA ne doit pas compromettre des données personnelles qui ne lui appartiennent pas,
-Peut justifier un chiffrement des données sur des trajets radio (wifi) ou sur Internet,
-Peut justifier des mesures notamment sur les contrôles d’accès et la traçabilité.
Trois problématiques peuvent être mises en exergue :
-La problématique des déports (DDSP, sociétés de service, de maintenance) est vraiment récurrente. Quel est le niveau de sécurité qu’on doit exiger sur le déport d’un réseau d’une collectivité avec un CSU lorsque ce déport va vers la Gendarmerie Nationale ou vers un opérateur. Cela entraîne nécessairement un compromis difficile entre sécurité et financement.
-La problématique du Cloud : de nouveaux risques sont liés à de nouvelles architectures comme celle du cloud puisque grâce à ce système on peut désormais stocker des données un peu n’importe où, donc cela engendre des problèmes de vol de données et de réglementation puisque, normalement, les images doivent être stockées dans un lieu sécurisé qu’on peut vérifier ,
-La problématique des grands et des petits réseaux car on ne peut pas avoir le même comportement vis-à-vis d’une petite supérette de quartier et d’une centrale nucléaire.
De gauche à droite : Mathieu Feuillet et Vincent Strubel ; Jean Cueigniet.
II – Le métier de la SSI vu par deux intégrateurs
A/ Audrey Paris – Cofely Ineo Engineering & Systems
Audrey Paris, chez Cofely Ineo Engineering & Systems – Groupe GDF SUEZ – intégrateur de solutions en technologie de l’information et de télécommunication, se pose la question suivante : la SI est-elle devenue incontournable pour la vidéoprotection ?
Du fait de l’évolution des usages et des interconnexions des réseaux avec des partenaires, les systèmes de vidéoprotection ont besoin de la SSI. A chaque fois que l’on interconnecte un système à un autre, on offre potentiellement autant de points d’accès à des personnes malveillantes. Le SI de Sécurité de demain est interconnectable, interopérable, ouvert et par conséquent vulnérable. Le prochain enjeu majeur est la “Sécurité des Systèmes d’Informations” de sécurité.
Ses dernières années ont vu d’importantes évolutions
• Une évolution en termes d’usage avec l’utilisation démultipliée des smartphones,
• L’ouverture croissante des réseaux, parfois non maîtrisés (wifi, 3G…)
• Le développement des applications mobiles (blackberry…)
• Les évolutions technologiques,
• Le stockage des données avec notamment l’architecture cloud,
• Les évolutions et la modernisation des protocoles et des équipements eux-mêmes (appliances comportant des systèmes d’exploitation),
• L’évolution des besoins d’intégrité qui vont devenir de plus en plus importants pour conférer une nouvelle valeur probante aux vidéos qui vont servir dans les tribunaux de justice et ce point-là va être très importante dans les mois à venir.
• L’évolution des cadres réglementaires et la prise en compte des contraintes : CNIL, évolution de l’arrêté 2007, le référentiel Général de Sécurité qui est en train de passer à une version V2 et qui va peut-être remettre en cause certains choix technologiques.
Parmi les scénarios d’attaques les plus fréquents, on retrouve :
• Intrusion logique via une caméra numérique IP,
• Intrusion logique via des accès distants,
• Accès physique via les équipements réseaux dans les locaux techniques.
Les impacts qui en découlent sont les suivants :
• On veut vouloir altérer une vidéo, par exemple, dans le cas d’une enquête, pour montrer qu’une preuve n’est plus recevable,
• Le déni de service : on peut vouloir indisponible le système de sécurité pour réaliser des actes de malveillance,
• La suppression des traces : on peut vouloir rendre impossible une enquête suite à un acte de malveillance
• Enfin si on ne met pas en place un niveau de sécurité suffisant, on peut simplement être en non-conformité réglementaire puisque l’arrêté précise qu’on doit mettre en place des mécanismes qui vont garantir la confidentialité, la disponibilité et l’intégrité des données vidéo.
Les prérequis pour garantir un bon niveau de sécurité sont de :
- Mettre en place une organisation SSI : des rôles et des responsabilités et une gouvernance et un suivi opérationnel de la SSI,
- Formaliser, appliquer et contrôler des procédures de sécurité du SI (organisationnelles, physiques et logiques).
L’approche dépend de plusieurs actions clés :
• Sensibiliser : chartes utilisateurs/administrateurs, signature individuelle d’engagement de confidentialité,
• Réaliser des audits techniques et tests d’intrusions (ex. “Test du hacker”),
• Homologuer le système d’information (gérer les risques et les vulnérabilités),
• Utiliser des composants certifiés pour les éléments les plus sensibles (ex. passerelle)…
En conclusion, il faut toujours se poser des questions (besoin de sécurité, menaces qu’on risque…) pour définir un niveau de sécurité qui sera vraiment adapté au système souhaité et cela quelle que soit la taille du système. Cette réflexion doit être faite sur tous les systèmes et pour les systèmes les plus sensibles, on peut procéder à des démarches de certification pour des éléments vraiment critiques. Ca veut dire que la sécurité du système d’information c’est vraiment une démarche globale qui prend en compte les aspects humains, techniques et de sécurité physique.
Audrey Paris, chez Cofely Ineo Engineering & Systems – Groupe GDF SUEZ – intégrateur de solutions en technologie de l’information et de télécommunication, se pose la question suivante : la SI est-elle devenue incontournable pour la vidéoprotection ?
Du fait de l’évolution des usages et des interconnexions des réseaux avec des partenaires, les systèmes de vidéoprotection ont besoin de la SSI. A chaque fois que l’on interconnecte un système à un autre, on offre potentiellement autant de points d’accès à des personnes malveillantes. Le SI de Sécurité de demain est interconnectable, interopérable, ouvert et par conséquent vulnérable. Le prochain enjeu majeur est la “Sécurité des Systèmes d’Informations” de sécurité.
Ses dernières années ont vu d’importantes évolutions
• Une évolution en termes d’usage avec l’utilisation démultipliée des smartphones,
• L’ouverture croissante des réseaux, parfois non maîtrisés (wifi, 3G…)
• Le développement des applications mobiles (blackberry…)
• Les évolutions technologiques,
• Le stockage des données avec notamment l’architecture cloud,
• Les évolutions et la modernisation des protocoles et des équipements eux-mêmes (appliances comportant des systèmes d’exploitation),
• L’évolution des besoins d’intégrité qui vont devenir de plus en plus importants pour conférer une nouvelle valeur probante aux vidéos qui vont servir dans les tribunaux de justice et ce point-là va être très importante dans les mois à venir.
• L’évolution des cadres réglementaires et la prise en compte des contraintes : CNIL, évolution de l’arrêté 2007, le référentiel Général de Sécurité qui est en train de passer à une version V2 et qui va peut-être remettre en cause certains choix technologiques.
Parmi les scénarios d’attaques les plus fréquents, on retrouve :
• Intrusion logique via une caméra numérique IP,
• Intrusion logique via des accès distants,
• Accès physique via les équipements réseaux dans les locaux techniques.
Les impacts qui en découlent sont les suivants :
• On veut vouloir altérer une vidéo, par exemple, dans le cas d’une enquête, pour montrer qu’une preuve n’est plus recevable,
• Le déni de service : on peut vouloir indisponible le système de sécurité pour réaliser des actes de malveillance,
• La suppression des traces : on peut vouloir rendre impossible une enquête suite à un acte de malveillance
• Enfin si on ne met pas en place un niveau de sécurité suffisant, on peut simplement être en non-conformité réglementaire puisque l’arrêté précise qu’on doit mettre en place des mécanismes qui vont garantir la confidentialité, la disponibilité et l’intégrité des données vidéo.
Les prérequis pour garantir un bon niveau de sécurité sont de :
- Mettre en place une organisation SSI : des rôles et des responsabilités et une gouvernance et un suivi opérationnel de la SSI,
- Formaliser, appliquer et contrôler des procédures de sécurité du SI (organisationnelles, physiques et logiques).
L’approche dépend de plusieurs actions clés :
• Sensibiliser : chartes utilisateurs/administrateurs, signature individuelle d’engagement de confidentialité,
• Réaliser des audits techniques et tests d’intrusions (ex. “Test du hacker”),
• Homologuer le système d’information (gérer les risques et les vulnérabilités),
• Utiliser des composants certifiés pour les éléments les plus sensibles (ex. passerelle)…
En conclusion, il faut toujours se poser des questions (besoin de sécurité, menaces qu’on risque…) pour définir un niveau de sécurité qui sera vraiment adapté au système souhaité et cela quelle que soit la taille du système. Cette réflexion doit être faite sur tous les systèmes et pour les systèmes les plus sensibles, on peut procéder à des démarches de certification pour des éléments vraiment critiques. Ca veut dire que la sécurité du système d’information c’est vraiment une démarche globale qui prend en compte les aspects humains, techniques et de sécurité physique.
De gauche à droite : Elodie Roché et Jean-François Sulzer
B/ Elodie Roché et Jean-François Sulzer – Thales Communications & Security
Elodie Roché et Jean-François Sulzer sont revenus sur le thème : “De la sécurité des caméras à la transmission sécurisée de leurs données.” Jean-François Sulzer et Elodie Roché sont plutôt du côté intégrateur de solutions que du côté du système d’information et de sa protection. Leur point de vue est donc complémentaire de celui d’Audrey Paris (lire plus haut).
Comme l’a rappelé la récente note technique de l’ANSSI :
- Les systèmes de vidéoprotection, particulièrement depuis qu’ils sont numériques et sous IP, sont vulnérables,
- La disponibilité des systèmes, mais également la confiance dans les données produites, sont en jeu.
Une approche saine implique que toutes les vulnérabilités potentielles soient prises en compte : celles propres aux caméras et les contraintes d’une transmission de confiance de données de vidéoprotection vers des autorités.
a/ La problématique des caméras
Comme l’a indiqué l’ANSSI précédemment, Jean-François Sulzer a rappelé qu’une caméra numérique sous IP n’était autre qu’un PC mais laissé sans surveillance à la vue du public et qui constitue un point d’entrée idéal au réseau auquel il est connecté. Des précautions de bon sens sont donc indispensables : l’accès physique à une caméra et à ses connexions doit être empêché par des dispositions adéquates et, autant que possible, la conception des caméras doit empêcher l’intrusion physique dans le coffret, de nature à donner accès à “l’électronique” (substitution de composants, accès à des données sensibles…)
Faute de précautions, une caméra vulnérable peut ouvrir un accès à l’ensemble du système d’information de l’entité propriétaire. Thales constate que les processus embarqués dans les caméras actuellement sur le marché sont souvent intrinsèquement vulnérables. Elles sont conçues et certifiées pour résister à l’environnement difficile qui les attend (température, humidité…) et elles doivent de la même façon être conçues et testées pour résister à des cybermenaces. Ce dernier point implique des précautions de bon sens (pas de mots de passe par défaut…), la validation par tests d’intrusion, analyses formelles… et des analyses à reprendre avec l’évolution de la menace en cours de vie.
Au-delà de la seule installation, et faute d’un cadre formel, l’intégrateur a un rôle important à jouer : il doit notamment avoir la capacité de mener une évaluation même si les fournisseurs – souvent à l’autre bout du monde – ne sont pas forcément coopératifs. Il doit choisir des composants sûrs. A défaut, il doit mettre en place des mesures de sécurité complémentaires.
Nous sommes au début d’une démarche de progrès. Les risques sont évidents. Il n’y a pas encore eu d’affaire retentissante se jouant sur la mise en doute d’une preuve vidéo et les systèmes installés sont sous l’œil des grands opérateurs. Une prise de conscience émerge même si, à ce jour, il n’y a pas de constructeur français de caméras, ni de caméras certifiées. Il n’y a pas davantage de laboratoire accrédité assurant la certification pour ce type d’équipement. Certes, le besoin existe, mais il est difficile aujourd’hui d’inclure pratiquement la résilience cyber dans la consultation des fournisseurs
b/ Le transfert sécurisé des données de vidéoprotection vers un tiers étatique
Elodie Roché s’est penché sur le transfert sécurisé des données de vidéoprotection vers un tiers étatique. Les organismes possédant des systèmes de vidéoprotection sont de plus en plus amenés à fournir leurs données à un tiers, en général étatique. Cette opération s’effectue soit par la mise à disposition temps réel (par la mise en place d’un réseau VPN), soit par l’export des données pour le besoin d’enquêtes judiciaires (physiquement, via des disques durs ou des clés USB). Mettre en place des VPN ne suffit pas à se protéger des intrusions malveillantes ni à garantir l’intégrité de la preuve.
Partant de ce constat, cela implique deux choses :
- à la fois un renforcement du contrôle d’accès aux données (authentification forte et traçabilité des consultations et modifications) et de l’intégrité des données stockées (par des procédés cryptographiques (chiffrement)),
- une gestion organisationnelle supplémentaire qui permet d’assurer un niveau adéquat d’accès opérationnel aux données et n’induisant toutefois pas de risque de délai dans l’exploitation opérationnelle.
Externalisations et cloud généreront des besoins analogues
Dans le futur, on aura affaire au cloud dont on parle déjà aujourd’hui et cela générera forcément des besoins.
Les exigences techniques concernent la fiabilité des données qui s’appuient :
- sur des sets d’exigences et sur les techniques d’interopérabilité,
- sur les droits d’accès aux informations :
• Actuellement, aucun mécanisme, si ce n’est des agents assermentés (mais des vidéos se retrouvent sur internet ce qui implique une menace interne à prendre en compte…),
• Mise en place de mécanismes de cryptologie, authentification…
Les exigences opérationnelles restent la disponibilité des données et délais de récupération qui ne devront pas être entravés par les outils de protection et toutes les évolutions technologiques liées à la mise en place du cloud. Cela nécessite la mise en place par l’administration de processus d’authentification, à la fois par la gestion de des clés cryptographiques… et par des architectures dédiées avec “kits de secours” en cas d’urgence pour récupérer des données. Des solutions existent. Thales les a déjà mises en œuvre avec succès mais, maintenant, il faut créer une structure de confiance pour les mettre en œuvre un peu partout où existe ce besoin.
En conclusion, nous pouvons retenir que la sécurité des systèmes d’information ne se réduit pas à la sécurité des réseaux. Faute de précautions, une caméra vulnérable peut ouvrir un accès à l’ensemble du système d’information de l’entité propriétaire. Des solutions existent. Il faut les généraliser…
Elodie Roché et Jean-François Sulzer sont revenus sur le thème : “De la sécurité des caméras à la transmission sécurisée de leurs données.” Jean-François Sulzer et Elodie Roché sont plutôt du côté intégrateur de solutions que du côté du système d’information et de sa protection. Leur point de vue est donc complémentaire de celui d’Audrey Paris (lire plus haut).
Comme l’a rappelé la récente note technique de l’ANSSI :
- Les systèmes de vidéoprotection, particulièrement depuis qu’ils sont numériques et sous IP, sont vulnérables,
- La disponibilité des systèmes, mais également la confiance dans les données produites, sont en jeu.
Une approche saine implique que toutes les vulnérabilités potentielles soient prises en compte : celles propres aux caméras et les contraintes d’une transmission de confiance de données de vidéoprotection vers des autorités.
a/ La problématique des caméras
Comme l’a indiqué l’ANSSI précédemment, Jean-François Sulzer a rappelé qu’une caméra numérique sous IP n’était autre qu’un PC mais laissé sans surveillance à la vue du public et qui constitue un point d’entrée idéal au réseau auquel il est connecté. Des précautions de bon sens sont donc indispensables : l’accès physique à une caméra et à ses connexions doit être empêché par des dispositions adéquates et, autant que possible, la conception des caméras doit empêcher l’intrusion physique dans le coffret, de nature à donner accès à “l’électronique” (substitution de composants, accès à des données sensibles…)
Faute de précautions, une caméra vulnérable peut ouvrir un accès à l’ensemble du système d’information de l’entité propriétaire. Thales constate que les processus embarqués dans les caméras actuellement sur le marché sont souvent intrinsèquement vulnérables. Elles sont conçues et certifiées pour résister à l’environnement difficile qui les attend (température, humidité…) et elles doivent de la même façon être conçues et testées pour résister à des cybermenaces. Ce dernier point implique des précautions de bon sens (pas de mots de passe par défaut…), la validation par tests d’intrusion, analyses formelles… et des analyses à reprendre avec l’évolution de la menace en cours de vie.
Au-delà de la seule installation, et faute d’un cadre formel, l’intégrateur a un rôle important à jouer : il doit notamment avoir la capacité de mener une évaluation même si les fournisseurs – souvent à l’autre bout du monde – ne sont pas forcément coopératifs. Il doit choisir des composants sûrs. A défaut, il doit mettre en place des mesures de sécurité complémentaires.
Nous sommes au début d’une démarche de progrès. Les risques sont évidents. Il n’y a pas encore eu d’affaire retentissante se jouant sur la mise en doute d’une preuve vidéo et les systèmes installés sont sous l’œil des grands opérateurs. Une prise de conscience émerge même si, à ce jour, il n’y a pas de constructeur français de caméras, ni de caméras certifiées. Il n’y a pas davantage de laboratoire accrédité assurant la certification pour ce type d’équipement. Certes, le besoin existe, mais il est difficile aujourd’hui d’inclure pratiquement la résilience cyber dans la consultation des fournisseurs
b/ Le transfert sécurisé des données de vidéoprotection vers un tiers étatique
Elodie Roché s’est penché sur le transfert sécurisé des données de vidéoprotection vers un tiers étatique. Les organismes possédant des systèmes de vidéoprotection sont de plus en plus amenés à fournir leurs données à un tiers, en général étatique. Cette opération s’effectue soit par la mise à disposition temps réel (par la mise en place d’un réseau VPN), soit par l’export des données pour le besoin d’enquêtes judiciaires (physiquement, via des disques durs ou des clés USB). Mettre en place des VPN ne suffit pas à se protéger des intrusions malveillantes ni à garantir l’intégrité de la preuve.
Partant de ce constat, cela implique deux choses :
- à la fois un renforcement du contrôle d’accès aux données (authentification forte et traçabilité des consultations et modifications) et de l’intégrité des données stockées (par des procédés cryptographiques (chiffrement)),
- une gestion organisationnelle supplémentaire qui permet d’assurer un niveau adéquat d’accès opérationnel aux données et n’induisant toutefois pas de risque de délai dans l’exploitation opérationnelle.
Externalisations et cloud généreront des besoins analogues
Dans le futur, on aura affaire au cloud dont on parle déjà aujourd’hui et cela générera forcément des besoins.
Les exigences techniques concernent la fiabilité des données qui s’appuient :
- sur des sets d’exigences et sur les techniques d’interopérabilité,
- sur les droits d’accès aux informations :
• Actuellement, aucun mécanisme, si ce n’est des agents assermentés (mais des vidéos se retrouvent sur internet ce qui implique une menace interne à prendre en compte…),
• Mise en place de mécanismes de cryptologie, authentification…
Les exigences opérationnelles restent la disponibilité des données et délais de récupération qui ne devront pas être entravés par les outils de protection et toutes les évolutions technologiques liées à la mise en place du cloud. Cela nécessite la mise en place par l’administration de processus d’authentification, à la fois par la gestion de des clés cryptographiques… et par des architectures dédiées avec “kits de secours” en cas d’urgence pour récupérer des données. Des solutions existent. Thales les a déjà mises en œuvre avec succès mais, maintenant, il faut créer une structure de confiance pour les mettre en œuvre un peu partout où existe ce besoin.
En conclusion, nous pouvons retenir que la sécurité des systèmes d’information ne se réduit pas à la sécurité des réseaux. Faute de précautions, une caméra vulnérable peut ouvrir un accès à l’ensemble du système d’information de l’entité propriétaire. Des solutions existent. Il faut les généraliser…
III – Du côté des industriels
A/ Gilles Delcourt – Consultant en comptabilité électromagnétique (CEM)
Gilles Delcourt est consultant en comptabilité électromagnétique (CEM) depuis trente ans. Il est intervenu sur le terrain pour résoudre des centaines de problèmes. Selon lui, la mise en place d’un système de vidéoprotection n’est pas vraiment un conte de fées. Cela s’explique par le fait que les installations sont devenues très complexes et des erreurs ont été commises avec des conséquences parfois douloureuses.
La comptabilité électromagnétique (CEM) est une composante importante de la sécurité. On a commencé à s’en préoccuper dans les années 1980 avec une première directive 89/336/CEE qui a été appliquée au 1er janvier 1996, puis remplacée par la directive CEM 2004/108/CE qui l’a abrogée en 2004.
Les deux exigences essentielles de la directive sont :
- Les équipements doivent être conçus et fabriqués de façon à garantir :
• que les perturbations électromagnétiques produites ne dépassent pas le niveau au-delà duquel des équipements hertziens et de télécommunications ou d’autres équipements ne peuvent pas fonctionner comme prévu,
• qu’ils possèdent un niveau d’immunité aux perturbations électromagnétiques auxquelles il faut s’attendre dans le cadre de l’utilisation prévue qui leur permette de fonctionner sans dégradation inacceptable de ladite utilisation.
- Les installations fixes représentent un cas particulier. Elles doivent être montées selon les bonnes pratiques d’ingénierie et dans le respect des informations sur l’utilisation prévue pour leurs composants .
Il faut retenir trois points par rapport à cette directive :
- L’évaluation de la conformité est sous la seule responsabilité du fabricant : c’est lui qui choisit les normes qu’il va respecter et qui va choisir les essais en fonction du lieu où le matériel va être installé,
- Le fabricant doit informer des précautions spécifiques à prendre lors du montage de l’installation ou de l’utilisation. Cela est un point important puisque c’est l’installation qui détermine tout car même si un appareil passe avec succès toutes les normes, suivant son installation on aura de bons résultats ou des résultats désastreux.
- Il n’y a pas d’essais spécifiques pour les installations fixes. C’est le savoir-faire qui prédomine.
La réalité part d’une bonne intention :
- La sanction théorique est l’interdiction de vendre de l’équipement en Europe,
- Dans la réalité, il n’y a aucun contrôle et, quand il y a des problèmes, personne ne se plaint, - Les fabricants ne font souvent que le minimum… ou rien du tout,
- Les fabricants ne donnent pas de bonnes règles d’installation. L’installateur doit généralement se débrouiller.
Les conséquences physiques sont :
- des dysfonctionnements aléatoires (l’images se fixe de temps en temps…),
- les détériorations dues à la foudre sont les plus graves parce qu’une installation de vidéoprotection est généralement tentaculaire et donc on a le système a un maximum de chance d’être frappé par la foudre.
L’immense problème est que la vidéoprotection arrive très souvent dans un PC de sécurité qui reçoit tous les courants faibles. Cela a un effet boule neige puisque la foudre peut atteindre le système de sécurité incendie du bâtiment d’à-côté, le contrôle d’accès des sites voisins… Le bon remède est que le client final – c’est-à-dire l’utilisateur – doit acquérir la compétence de ses fournisseurs et doit maîtriser la CEM et la protection contre la foudre.
En conclusion, il faut savoir que se protéger contre la foudre est facile dans 90 % des cas. De plus, la mise en place d’une bonne installation du point de vue comptabilité électromagnétique et protection foudre ne coûte pas très cher puisque cela représente toujours un surcoût inférieur à 3 % sachant que le fonctionnement du système installé est sans faille.
Gilles Delcourt est consultant en comptabilité électromagnétique (CEM) depuis trente ans. Il est intervenu sur le terrain pour résoudre des centaines de problèmes. Selon lui, la mise en place d’un système de vidéoprotection n’est pas vraiment un conte de fées. Cela s’explique par le fait que les installations sont devenues très complexes et des erreurs ont été commises avec des conséquences parfois douloureuses.
La comptabilité électromagnétique (CEM) est une composante importante de la sécurité. On a commencé à s’en préoccuper dans les années 1980 avec une première directive 89/336/CEE qui a été appliquée au 1er janvier 1996, puis remplacée par la directive CEM 2004/108/CE qui l’a abrogée en 2004.
Les deux exigences essentielles de la directive sont :
- Les équipements doivent être conçus et fabriqués de façon à garantir :
• que les perturbations électromagnétiques produites ne dépassent pas le niveau au-delà duquel des équipements hertziens et de télécommunications ou d’autres équipements ne peuvent pas fonctionner comme prévu,
• qu’ils possèdent un niveau d’immunité aux perturbations électromagnétiques auxquelles il faut s’attendre dans le cadre de l’utilisation prévue qui leur permette de fonctionner sans dégradation inacceptable de ladite utilisation.
- Les installations fixes représentent un cas particulier. Elles doivent être montées selon les bonnes pratiques d’ingénierie et dans le respect des informations sur l’utilisation prévue pour leurs composants .
Il faut retenir trois points par rapport à cette directive :
- L’évaluation de la conformité est sous la seule responsabilité du fabricant : c’est lui qui choisit les normes qu’il va respecter et qui va choisir les essais en fonction du lieu où le matériel va être installé,
- Le fabricant doit informer des précautions spécifiques à prendre lors du montage de l’installation ou de l’utilisation. Cela est un point important puisque c’est l’installation qui détermine tout car même si un appareil passe avec succès toutes les normes, suivant son installation on aura de bons résultats ou des résultats désastreux.
- Il n’y a pas d’essais spécifiques pour les installations fixes. C’est le savoir-faire qui prédomine.
La réalité part d’une bonne intention :
- La sanction théorique est l’interdiction de vendre de l’équipement en Europe,
- Dans la réalité, il n’y a aucun contrôle et, quand il y a des problèmes, personne ne se plaint, - Les fabricants ne font souvent que le minimum… ou rien du tout,
- Les fabricants ne donnent pas de bonnes règles d’installation. L’installateur doit généralement se débrouiller.
Les conséquences physiques sont :
- des dysfonctionnements aléatoires (l’images se fixe de temps en temps…),
- les détériorations dues à la foudre sont les plus graves parce qu’une installation de vidéoprotection est généralement tentaculaire et donc on a le système a un maximum de chance d’être frappé par la foudre.
L’immense problème est que la vidéoprotection arrive très souvent dans un PC de sécurité qui reçoit tous les courants faibles. Cela a un effet boule neige puisque la foudre peut atteindre le système de sécurité incendie du bâtiment d’à-côté, le contrôle d’accès des sites voisins… Le bon remède est que le client final – c’est-à-dire l’utilisateur – doit acquérir la compétence de ses fournisseurs et doit maîtriser la CEM et la protection contre la foudre.
En conclusion, il faut savoir que se protéger contre la foudre est facile dans 90 % des cas. De plus, la mise en place d’une bonne installation du point de vue comptabilité électromagnétique et protection foudre ne coûte pas très cher puisque cela représente toujours un surcoût inférieur à 3 % sachant que le fonctionnement du système installé est sans faille.
B/ Thierry Tourneux – Business Development Manager chez TEB
Thierry Tourneux, en tant que constructeur, explique comment les problèmes de sécurité de système information sont traités chez TEB, concepteur-fabricant et intégrateur français de produits et solutions de vidéoprotection.
Les deux sujets qui intéressent TEB sont les installations mobiles réalisées pour le ministère de l’Intérieur (véhicules équipés de caméras vidéo) et les systèmes de caméras mobiles qu’on déplace en fonction des situations que l’on rencontre sur le terrain.
Les deux risques principaux sur lesquels TEB se concentre sont la divulgation des informations confidentielles qui sont embarquées dans les systèmes d’enregistrement et la perte ou l’altération des données qui sont des éléments de preuve lorsqu’il y a eu un souci sur la voie publique.
Les solutions mises en place chez TEB depuis dix ans sont majoritairement issues du monde de l’embarcation à bord de véhicules de police ou de gendarmerie.
Eviter la divulgation d’informations confidentielles
La divulgation des informations confidentielles est une crainte importante souvent exprimée chez les clients. Les solutions que TEB propose de mettre en œuvre sont :
- Le cryptage des données AES 128 ou 256 possible (stockage et transmission),
- Le format de streaming vidéo propriétaire activable,
- La génération de mot de passe jour pour l’accès aux enregistrements,
- La traçabilité des accès sur plusieurs niveaux de journaux (système, lecture, enregistrement…)
Empêcher les données perdues ou altérées lors de la transmission
L’idée est ici de pouvoir apporter le maximum de pertinence au système en enregistrant localement en pleine définition, puis en transmettant ensuite les données pour conserver, dans tous les cas, les images originales et enregistrées localement (enregistrement décentralisé (borne ou véhicule), enregistrement sur disque SSD).
Thierry Tourneux, en tant que constructeur, explique comment les problèmes de sécurité de système information sont traités chez TEB, concepteur-fabricant et intégrateur français de produits et solutions de vidéoprotection.
Les deux sujets qui intéressent TEB sont les installations mobiles réalisées pour le ministère de l’Intérieur (véhicules équipés de caméras vidéo) et les systèmes de caméras mobiles qu’on déplace en fonction des situations que l’on rencontre sur le terrain.
Les deux risques principaux sur lesquels TEB se concentre sont la divulgation des informations confidentielles qui sont embarquées dans les systèmes d’enregistrement et la perte ou l’altération des données qui sont des éléments de preuve lorsqu’il y a eu un souci sur la voie publique.
Les solutions mises en place chez TEB depuis dix ans sont majoritairement issues du monde de l’embarcation à bord de véhicules de police ou de gendarmerie.
Eviter la divulgation d’informations confidentielles
La divulgation des informations confidentielles est une crainte importante souvent exprimée chez les clients. Les solutions que TEB propose de mettre en œuvre sont :
- Le cryptage des données AES 128 ou 256 possible (stockage et transmission),
- Le format de streaming vidéo propriétaire activable,
- La génération de mot de passe jour pour l’accès aux enregistrements,
- La traçabilité des accès sur plusieurs niveaux de journaux (système, lecture, enregistrement…)
Empêcher les données perdues ou altérées lors de la transmission
L’idée est ici de pouvoir apporter le maximum de pertinence au système en enregistrant localement en pleine définition, puis en transmettant ensuite les données pour conserver, dans tous les cas, les images originales et enregistrées localement (enregistrement décentralisé (borne ou véhicule), enregistrement sur disque SSD).
C/ Cyril Audiau – Ingénieur technico-commercial chez MAGSYS
Cyril Audiau est ingénieur technico commercial chez Magsys, constructeur-installateur de solutions de transmission radio IP. Magsys est présent dans ce domaine depuis de nombreuses années avec une particularité qui est celle d’avoir un produit qui n’est pas interopérable, c’est-à-dire que les antennes ne savent communiquer qu’avec des antennes du même fabricant ce qui suppose un protocole propriétaire qui va rehausser un peu le niveau de difficulté d’accès.
Si on parle de SSI, on s’aperçoit qu’on est aussi obligé de parler des caméras analogiques et de toutes les couches matérielles : stockage, routage, borne wifi…
Au-delà de ce point matériel, la réponse technologique a apporter doit être fonction de la vulnérabilité du système. Clairement, on ne va pas demander à un bar-tabac d’avoir le même niveau de sécurité sur ces images qu’à une banque. Même si cela paraît logique, aujourd’hui l’arrêté technique ne différencie pas clairement les besoins ni les obligations de chacun, ce qu’il va falloir préciser.
Comme nous l’avons vu, tous les administrateurs et fournisseurs de solutions se doivent de respecter certaines “règles de l’art” : la vérification régulière des caméras, ne pas utiliser de mot de passe par défaut… Cela paraît logique mais il va falloir l’écrire.
Le deuxième aspect qui devra être mis en place est l’obligation d’avoir un système qui soit a minima sécurisé. Par exemple, si un bar tabac a ses caméras en wifi mais que le wifi de sa box a aussi un accès lié à son terminal de paiement, cela risque de générer un gros risque de sécurité. Donc, si on est dans ce cas-là, il y aura certaines obligations à respecter pour assurer la confidentialité de l’un par rapport à l’autre, afin d’éviter que l’on puisse venir intercepter des transmissions bancaires alors que l’on est connecté aux caméras vidéo.
En fait, on sait aujourd’hui que l’on a des produits qui embarquent des fonctionnalités qui ne sont pas toujours exploitées. En revanche, des caméras manquent de fonctionnalités. Nos besoins en mobilité vont évoluer et on va, dans la mesure du possible, essayer de donner les bonnes directives à suivre pour que l’on puisse continuer à assurer les mesures de sécurité avec des technologies en pleine évolution.
Cyril Audiau est ingénieur technico commercial chez Magsys, constructeur-installateur de solutions de transmission radio IP. Magsys est présent dans ce domaine depuis de nombreuses années avec une particularité qui est celle d’avoir un produit qui n’est pas interopérable, c’est-à-dire que les antennes ne savent communiquer qu’avec des antennes du même fabricant ce qui suppose un protocole propriétaire qui va rehausser un peu le niveau de difficulté d’accès.
Si on parle de SSI, on s’aperçoit qu’on est aussi obligé de parler des caméras analogiques et de toutes les couches matérielles : stockage, routage, borne wifi…
Au-delà de ce point matériel, la réponse technologique a apporter doit être fonction de la vulnérabilité du système. Clairement, on ne va pas demander à un bar-tabac d’avoir le même niveau de sécurité sur ces images qu’à une banque. Même si cela paraît logique, aujourd’hui l’arrêté technique ne différencie pas clairement les besoins ni les obligations de chacun, ce qu’il va falloir préciser.
Comme nous l’avons vu, tous les administrateurs et fournisseurs de solutions se doivent de respecter certaines “règles de l’art” : la vérification régulière des caméras, ne pas utiliser de mot de passe par défaut… Cela paraît logique mais il va falloir l’écrire.
Le deuxième aspect qui devra être mis en place est l’obligation d’avoir un système qui soit a minima sécurisé. Par exemple, si un bar tabac a ses caméras en wifi mais que le wifi de sa box a aussi un accès lié à son terminal de paiement, cela risque de générer un gros risque de sécurité. Donc, si on est dans ce cas-là, il y aura certaines obligations à respecter pour assurer la confidentialité de l’un par rapport à l’autre, afin d’éviter que l’on puisse venir intercepter des transmissions bancaires alors que l’on est connecté aux caméras vidéo.
En fait, on sait aujourd’hui que l’on a des produits qui embarquent des fonctionnalités qui ne sont pas toujours exploitées. En revanche, des caméras manquent de fonctionnalités. Nos besoins en mobilité vont évoluer et on va, dans la mesure du possible, essayer de donner les bonnes directives à suivre pour que l’on puisse continuer à assurer les mesures de sécurité avec des technologies en pleine évolution.
