Les menaces grandissent, mais les consciences ne semblent pas encore suffisamment averties face aux cyber-risques liés aux caméras de vidéoprotection connectées. Faisons le point avec Philippe Teyssier, consultant senior à l’Association nationale de vidéoprotection (AN2V), sur la maturité du secteur de la sécurité face aux cybermenaces. En décembre 2019, le site tech Motherboard a commandé une enquête auprès de plusieurs experts en cybersécurité. Son but ? Évaluer le niveau de sécurité des nouvelles caméras baptisées Ring, construites et vendues au grand public par le géant Amazon. Ses conclusions sont alarmantes : l’objet ne prévient pas l’utilisateur des tentatives de connexion suspectes, il contient plusieurs failles pour d’éventuels hackeurs, et donne même accès aux enregistrements sonores. Depuis plusieurs mois, les rapports s’égrènent, pointant tous les failles des caméras connectées disponibles pour le grand public. Samsung, Wyze Cam Pan, Sonoff… tous ces fabricants ont été mis en cause pour les défaillances de leur système de vidéoprotection. Mais qu’en est-il dans les entreprises ? Les caméras connectées ont envahi nombre d’installations (des sites sensibles aux simples immeubles de bureau). « Les caméras grand public sont moins chères que celles destinées aux entreprises. Cette différence de prix se fait généralement au détriment de la sécurité. Les entreprises restent donc globalement mieux loties que les particuliers : elles bénéficient d’un matériel plus perfectionné, et de mises à jour de sécurité régulières », analyse Philippe Teyssier, consultant senior à l’Association nationale de vidéoprotection (AN2V). D’autant que les caméras installées par des acteurs de la sécurité privée fonctionnent souvent sur le réseau local de l’entreprise, et non sur le cloud public, par définition plus ouvert. >> Lire aussi Comment les entreprises perçoivent-elles la cybersécurité ? Une recrudescence des menaces Si les caméras des entreprises semblent mieux protégées, elles sont aussi beaucoup plus visées par les cyberattaques. « On assiste, depuis quelques années, à une “démocratisation” des outils de hacking. Il existe désormais des forums et des méthodes “clé en main” pour pirater telle ou telle installation », s’alarme Philippe Teyssier. Or, pour ces hackeurs en herbe ou professionnels, les caméras de vidéoprotection représentent une véritable aubaine, une nouvelle porte d’entrée pour accéder au système d’information d’une entreprise, et y dérober des données. La menace est réelle. Les retards de la sécurité privée « On installe trop souvent les switchs réseaux de caméras comme des multiprises. » Malgré le niveau de risque, rares sont les entreprises à avoir pris la mesure de l’enjeu. « Les installateurs et les utilisateurs des caméras de sécurité ne sont généralement pas formés ni sensibilisés aux risques cyber. Contrairement aux informaticiens qui gèrent les serveurs, par exemple. Il y a donc un vrai décalage entre la direction des systèmes d’information (DSI) et les opérateurs sur le terrain », précise l’expert. Et le problème se retrouve dès la phase d’appel d’offres pour les projets de vidéoprotection : « Trop souvent, les cahiers des charges ne mentionnent même pas l’aspect cybersécurité. Ils se polarisent sur la qualité des images notamment. Résultat : aucun prestataire n’ose proposer des couches de sécurité, de peur de faire une proposition plus chère que son concurrent », déplore Philippe Teyssier. Même souci lors de l’installation. « On installe trop souvent les switches réseaux de caméras comme des multiprises », enchaîne le consultant de l’AN2V. Pourtant, les outils de protection sont là : authentification, réseau VLAN, etc. Pour une hygiène informatique La solution selon l’expert ? Mettre en place une véritable « hygiène informatique » à tous les niveaux. Expliquer les bonnes pratiques (mots de passe sécurisés, détections des e-mails frauduleux, non-utilisation de matériels suspects) aux utilisateurs des caméras, aux installateurs, aux sociétés de télésurveillance, aux responsables de systèmes de sûreté, etc. La maturité de tous les acteurs se fera à ce prix. >> Lire aussi L’humain, clé de la cybersécurité en entreprise Facebook Twitter LinkedIn
Comment concilier cybersécurité et sobriété numérique ? Technologie & Systèmes 13 février 2024 Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…
Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ? Technologie & Systèmes 30 janvier 2024 Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…
La cybersécurité des infrastructures critiques, un enjeu d’importance nationale Technologie & Systèmes 23 janvier 2024 Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…