La télésurveillance a-t-elle oublié le facteur cybersécurité ?

Les menaces grandissent, mais les consciences ne semblent pas encore suffisamment averties face aux cyber-risques liés aux caméras de vidéoprotection connectées. Faisons le point avec Philippe Teyssier, consultant senior à l’Association nationale de vidéoprotection (AN2V), sur la maturité du secteur de la sécurité face aux cybermenaces. 

En décembre 2019, le site tech Motherboard a commandé une enquête auprès de plusieurs experts en cybersécurité. Son but ? Évaluer le niveau de sécurité des nouvelles caméras baptisées Ring, construites et vendues au grand public par le géant Amazon. Ses conclusions sont alarmantes : l’objet ne prévient pas l’utilisateur des tentatives de connexion suspectes, il contient plusieurs failles pour d’éventuels hackeurs, et donne même accès aux enregistrements sonores. Depuis plusieurs mois, les rapports s’égrènent, pointant tous les failles des caméras connectées disponibles pour le grand public. Samsung, Wyze Cam Pan, Sonoff… tous ces fabricants ont été mis en cause pour les défaillances de leur système de vidéoprotection.

Mais qu’en est-il dans les entreprises ? Les caméras connectées ont envahi nombre d’installations (des sites sensibles aux simples immeubles de bureau). « Les caméras grand public sont moins chères que celles destinées aux entreprises. Cette différence de prix se fait généralement au détriment de la sécurité. Les entreprises restent donc globalement mieux loties que les particuliers : elles bénéficient d’un matériel plus perfectionné, et de mises à jour de sécurité régulières », analyse Philippe Teyssier, consultant senior à l’Association nationale de vidéoprotection (AN2V). D’autant que les caméras installées par des acteurs de la sécurité privée fonctionnent souvent sur le réseau local de l’entreprise, et non sur le cloud public, par définition plus ouvert.

>> Lire aussi Comment les entreprises perçoivent-elles la cybersécurité ?

Une recrudescence des menaces

Si les caméras des entreprises semblent mieux protégées, elles sont aussi beaucoup plus visées par les cyberattaques. « On assiste, depuis quelques années, à une “démocratisation” des outils de hacking. Il existe désormais des forums et des méthodes “clé en main” pour pirater telle ou telle installation », s’alarme Philippe Teyssier.

Or, pour ces hackeurs en herbe ou professionnels, les caméras de vidéoprotection représentent une véritable aubaine, une nouvelle porte d’entrée pour accéder au système d’information d’une entreprise, et y dérober des données. La menace est réelle.

Les retards de la sécurité privée

« On installe trop souvent les switchs réseaux de caméras comme des multiprises. »

Malgré le niveau de risque, rares sont les entreprises à avoir pris la mesure de l’enjeu. « Les installateurs et les utilisateurs des caméras de sécurité ne sont généralement pas formés ni sensibilisés aux risques cyber. Contrairement aux informaticiens qui gèrent les serveurs, par exemple. Il y a donc un vrai décalage entre la direction des systèmes d’information (DSI) et les opérateurs sur le terrain », précise l’expert.

Et le problème se retrouve dès la phase d’appel d’offres pour les projets de vidéoprotection : « Trop souvent, les cahiers des charges ne mentionnent même pas l’aspect cybersécurité. Ils se polarisent sur la qualité des images notamment. Résultat : aucun prestataire n’ose proposer des couches de sécurité, de peur de faire une proposition plus chère que son concurrent », déplore Philippe Teyssier.

Même souci lors de l’installation. « On installe trop souvent les switches réseaux de caméras comme des multiprises », enchaîne le consultant de l’AN2V. Pourtant, les outils de protection sont là : authentification, réseau VLAN, etc.

Pour une hygiène informatique

La solution selon l’expert ? Mettre en place une véritable « hygiène informatique » à tous les niveaux. Expliquer les bonnes pratiques (mots de passe sécurisés, détections des e-mails frauduleux, non-utilisation de matériels suspects) aux utilisateurs des caméras, aux installateurs, aux sociétés de télésurveillance, aux responsables de systèmes de sûreté, etc. La maturité de tous les acteurs se fera à ce prix.

>> Lire aussi L’humain, clé de la cybersécurité en entreprise