Cyber sécurité dans les réseaux de surveillance

Dans la plupart des cas, les systèmes de vidéosurveillance ont pour mission d’accroître la sécurité physique d’un objet. Cela suppose que le système lui-même soit protégé contre les risques réels et virtuels. Dans la pratique, on observe toutefois souvent que la sécurisation des réseaux de vidéosurveillance n’est pas abordée de manière systématique ou qu’elle n’est pas réalisée avec suffisamment de soin. Il n’existe pas d’interrupteur pour la sécurité du système que l’on peut simplement actionner. Elle dépend plutôt de nombreux paramètres différents qui doivent être configurés de manière à être bien coordonnés.

Quels aspects et mécanismes influencent la sécurité d’un système de vidéosurveillance ? Après avoir clarifié cette question, il convient de considérer et de définir les facteurs d’influence, tant individuellement que dans leur interconnexion. Un réseau vidéo peut, d’un point de vue abstrait, être divisé en deux composantes, à savoir la « technique » et l’« organisation », qui sont étroitement liées. Le couplage se fait par le biais des personnes impliquées et des processus existants. Le facteur « technique » comprend la sécurité du réseau et des ports, les produits utilisés ainsi que leurs propriétés et possibilités. La composante « organisation » comprend des aspects tels que les exigences des clients, la planification, l’exécution technique, la documentation, la formation et la sécurité d’exploitation. Afin d’accroître la sécurité du réseau, il est important d’adopter une approche globale qui comprend différentes mesures.

 

Sécurité au niveau du réseau
L’équipement technique d’un réseau vidéo offre de nombreuses possibilités d’accroître sa sécurité. Elle dépend notamment des produits choisis ainsi que des connaissances spécialisées des planificateurs et des installateurs. Ces derniers doivent se tenir constamment au courant des dernières évolutions grâce à des formations régulières, car les technologies utilisées évoluent sans cesse.
Le terme « sécurité du réseau » décrit la communication sécurisée entre les appareils du réseau existants. Il s’agit le plus souvent de Switches IP avec fonction de gestion. En outre, la communication entre les terminaux tels que les caméras réseau ou les serveurs vidéo est également prise en compte. Un attaquant qui souhaite mener une attaque aussi efficace que possible sur le réseau tentera de s’attaquer à ce niveau, car il peut ainsi perturber ou espionner l’ensemble du réseau. Une protection efficace contre une telle attaque de pirates informatiques est par exemple la communication dans un VLAN propre. Cela présente en outre l’avantage de pouvoir différencier les possibilités d’accès pour les simples utilisateurs de vidéo et celles pour les administrateurs de réseau. De plus, il est possible de protéger la communication au sein du réseau ou de la gestion du réseau avec des certificats et des cryptages.

 

La sécurité des ports protège le réseau
Outre la sécurité du réseau, il convient également de tenir compte de la sécurité des ports au niveau technique. Les ports d’un Switch IP représentent les portes d’entrée sur les voies de communication. Sur ces points physiques, il est possible de surveiller et de filtrer le trafic, par exemple en fonction des paquets de données qui sont autorisés à passer. Ce faisant, le contenu du paquet peut être vérifié en tenant compte du protocole. De même, l’expéditeur et le destinataire doivent être des participants connus et autorisés du réseau. Les écarts par rapport à ces paramètres indiquent un défaut ou une attaque sur le port. En cas de manipulation, les mécanismes intégrés veillent à ce que le trafic réseau soit limité à cet endroit, voire interrompu par une coupure. Concrètement, cela peut être géré par la création de listes de contrôle d’accès. Mais d’autres fonctions de sécurité des ports et l’isolation des applications ou des appareils peuvent également minimiser les risques d’attaque possibles au niveau du port. Les Switches IP de qualité créent et gèrent en partie ces fonctions eux-mêmes, mais le paramétrage correspondant des appareils nécessite des directives claires lors de la planification ainsi que de bonnes connaissances spécialisées et des produits de l’installateur.

 

Tenir compte des facteurs organisationnels
En général, les structures des réseaux vidéo sont moins dynamiques que les réseaux de bureaux. Malgré cela, il est recommandé de vérifier régulièrement l’organisation et l’efficacité des fonctions utilisées. Les aspects organisationnels sont plus complexes et en partie plus abstraits que les facteurs techniques. De plus, ces aspects sont souvent négligés. La meilleure technique ne sert à rien s’il n’est pas clair quels objectifs doivent être atteints avec les possibilités techniques. Un Switch IP doté de fonctions de sécurité sophistiquées ne peut pas contribuer à la sécurité du réseau si l’accès au Switch est laissé dans son état de livraison et qu’aucun nouveau mot de passe n’est attribué. De même, la sécurité physique ne commence pas seulement dans la salle des serveurs. Nous trouvons parfois des états absurdes dans les installations. Dans un exemple, chaque caméra était bien visible de l’extérieur avec l’adresse IP et MAC. Dans un autre cas, certaines caméras étaient raccordées à des prises réseau traditionnelles dans des lieux accessibles au public. De tels états permettent aux attaquants de débrancher facilement la caméra existante et de brancher leur propre PC.

 

La planification au centre de l’attention
Un objectif central de la planification devrait être de définir les exigences relatives à un réseau vidéo en ce qui concerne la sécurité de l’objet à surveiller. Il doit donc être clair ce qui doit être atteint avec le réseau vidéo. Ce n’est que lorsque cette affirmation est concrète et mesurable que l’installateur peut concevoir sa démarche et ses décisions de manière ciblée. Outre la définition technique des appareils et des fonctions, le planificateur doit également définir les processus de construction, de réception, de gestion et de documentation. Il définira par exemple les exigences relatives à la création et à la gestion des données d’accès. L’époque où un technicien attribuait spontanément un mot de passe lors de la configuration d’un Switch et le notait quelque part devrait être révolue. Il devrait plutôt définir précisément la forme du mot de passe dès la planification et déterminer où et comment le mot de passe est documenté, qui y a accès et ce qui se passe lorsqu’un collaborateur quitte l’entreprise. Parallèlement, les prescriptions ne doivent pas être trop compliquées ou restrictives afin que les collaborateurs concernés soient pris en compte.

 

Rendre les processus standardisés compréhensibles
Outre les prescriptions relatives au traitement des mots de passe, il est important que les processus de définition, de configuration et de vérification des aspects techniques d’un réseau soient clairs et standardisés. Un installateur devrait être en mesure de gérer de tels processus et de les appliquer de manière aussi uniforme que possible à toutes les installations. Cela comprend la définition des adresses IP dans le réseau, la répartition des VLAN ou la procédure à suivre lors de l’extension d’une installation existante par des caméras supplémentaires – toujours en tenant compte des exigences des clients. Là encore, il s’agit de ne pas générer de descriptions de processus compliquées, mais de définir des instructions et des règles aussi simples et flexibles que possible, qui soient comprises et maîtrisées par toutes les personnes impliquées.

 

Documentation pour l’analyse du réseau
Afin de pouvoir contrôler régulièrement les fonctions d’un système de vidéosurveillance et de garantir un support rapide et efficace, une documentation significative et transparente du système est indispensable. Pour ce faire, il est nécessaire de tenir compte dès la planification de ce qui doit être documenté et sous quelle forme. Les Switches réseau peuvent également être utiles. Les appareils qui mettent à disposition des évaluations, le diagnostic des flux de données et des diagrammes permettent à l’exploitant de surveiller et d’analyser un réseau en cours de fonctionnement. Les caractéristiques de performance correspondantes d’un Switch en interaction avec les connaissances spécialisées de l’installateur contribuent de manière significative à la sécurité informatique. Un réseau sécurisé a cependant de nombreux aspects qui doivent être considérés de manière globale. Une étape utile vers une sécurité efficace consiste à mettre toutes les personnes impliquées à un niveau de connaissance bon et identique grâce à des formations.