Comment protéger un système de gestion vidéo (VMS) contre les cyberattaques 

Les chercheurs de la société Barracuda ont noté une augmentation de 667 % des attaques de courriers électroniques liées au Covid-19 entre fin février et le 23 mars 2020. Force est de constater que les risques liés aux cyberattaques sont plus que jamais au cœur des préoccupations des responsables informatiques et de l’industrie 4.0 en général. Des préoccupations qui se complexifient par la montée en puissance du nombre de dispositifs connectés. 

Qu’en est-il de la protection des données vidéo, de celles issues des images thermiques pour la détection de température par exemple, des données des drones, etc. Qu’en est-il de leur conformité au GDPR (RGPD en français) et de leur protection face au risque de cyberattaques ?

En parallèle de cette “tendance” aux cyberattaques, les organisations sont aujourd'hui confrontées à une véritable tempête. La liste des dispositifs en réseau ne cesse de s'allonger avec l'essor de l'internet des objets et les possibilités pour les pirates informatiques de compromettre les systèmes sont désormais encore plus nombreuses. Pour beaucoup, la question est de savoir quand - et non pas si - un piratage ou une violation se produira. La bonne nouvelle, c'est qu'il existe de nombreux outils permettant de minimiser les risques et de protéger les données.

L'application de la RGPD au VMS

L'utilisation de systèmes de gestion vidéo (Video Management System ou VMS) et de dispositifs connectés présente une vulnérabilité particulière. Malgré la prévalence croissante des violations de données, la prise de conscience des besoins de sécurité accrue, lors de l'installation et de l'utilisation d'un VMS, n'a pas encore rattrapé son retard. La complaisance est l'ennemi : même les erreurs de sécurité les plus élémentaires peuvent mettre un système en danger.

Les intégrateurs de sécurité doivent se tenir au courant de la question, en comprenant les nouveaux risques et la manière de sécuriser un VMS et les dispositifs connectés. Surtout lorsque les enjeux sont si importants. En vertu de la RGPD, les organisations peuvent se voir infliger des amendes allant jusqu'à 20 millions d'euros (soit 4 % du chiffre d'affaires annuel) en cas d'infraction. Une sanction qui peut mettre fin à une activité commerciale. Le montant de l'amende sera basé sur la nature, la gravité, la durée et le caractère de l'infraction. Ainsi que du type de données à caractère personnel collectées. Les données très sensibles, telles que les informations biométriques, seront classées différemment des données moins personnelles, comme les codes postaux ou les noms d'utilisateurs.

La manière dont cela s'applique aux données vidéo n'est pas tout à fait claire. Même à un niveau élémentaire, la vidéo peut capturer des individus lors d'événements ou de scènes qui pourraient établir une implication, politique par exemple, un type de données classées comme des données personnelles sensibles. Une fois qu'une entreprise se retrouve dans la catégorie des données personnelles sensibles, à cause de ses systèmes de surveillance vidéo et de ses appareils vidéo, les conséquences sont beaucoup plus graves. Les installateurs doivent donc s'assurer que le VMS qu'ils utilisent est prêt pour la RGPD - et qu'il est certifié comme tel.

VMS et culture de la vie privée 

Avec la RGPD, il s'agit de créer une "culture de la vie privée" autour de l'utilisation des systèmes vidéo. Les organisations ne peuvent pas collecter des données simplement sur la base du "juste au cas où". Il doit y avoir une raison légitime de collecter et de stocker des données VMS. Elle doit également être "raisonnable" par rapport à cette fin. Dans la pratique, cela pourrait ressembler par exemple à un VMS analysant l'activité des piétons pour détecter les comportements potentiellement dangereux: les personnes peuvent être automatiquement signalées par le système lorsqu'elles se tiennent trop près du bord d'un quai de gare, etc. L'utilisation d'un VMS de cette manière est clairement dans l'intérêt du public - il y a donc une raison légitime à installer un tel système et à stocker les données. La garantie d'une opération vidéo conforme à la RGPD comprend trois étapes:

• Premièrement, assurez-vous que votre VMS est prêt pour la RGPD et qu'il est certifié pour contenir des fonctionnalités de cybersécurité et de protection de la vie privée permettant une utilisation conforme à la RGPD.

• Deuxièmement, les intégrateurs de systèmes doivent garantir le respect de la vie privée dès la conception en appliquant la conception globale correcte du système, la configuration du système et l'installation physique des caméras et autres dispositifs.

• Enfin, les utilisateurs finaux doivent définir et suivre des procédures et des processus concernant la manière dont les données vidéo sont stockées, traitées et partagées.

Un VMS sécurisé, privé et prêt pour l’IoT

Un autre aspect consiste à prendre en considération les mises à jour et les accréditations de sécurité du VMS lui-même. Au minimum, il doit pouvoir fonctionner dans un système prêt pour la RGPD afin de garantir la conformité de l'utilisateur final. Le logiciel devrait également être sécurisé par sa conception (native security). Des mises à jour régulières deviennent encore plus essentielles dans l'exploitation de l'IoT. À certains égards, l'IoT représente le plus grand risque de cybersécurité à l'heure actuelle: il existe trop d'appareils inconnus connectés à des réseaux sans aucune normalisation en matière de sécurité. Une solution à ce problème consiste à utiliser un VMS prenant en charge les réseaux doubles où les dispositifs de l'IoT sont connectés à un réseau complètement verrouillé.

L’erreur Humaine … meilleure amie des cyberattaques

L'erreur humaine est encore monnaie courante. Souvent, les appareils connectés sont installés et entretenus par des équipes qui ne sont pas entièrement formées à la cybersécurité. Il existe de nombreuses idées fausses et l'une de ces erreurs est de croire que, parce qu'un système n'est pas connecté à internet, il n'a pas besoin de cybersécurité. Cependant, il pourrait facilement être compromis par un dispositif USB ou par l'exposition de réseaux de caméras, ce qui est particulièrement pertinent si l'on connecte des caméras en utilisant le Wifi. L'élaboration et la mise en œuvre de mesures de sécurité et de meilleures pratiques sont connues sous le nom de "durcissement", un processus continu d'identification et de compréhension des risques de sécurité et de prise de mesures appropriées pour les contrer. Ce processus est dynamique car les menaces, et les systèmes qu'elles ciblent, évoluent en permanence.

C'est pourquoi la formation est si vitale. La formation doit toucher les personnes de toute l'organisation. La formation à la cybersécurité est un effort continu et non un événement ponctuel. Il reste encore beaucoup de chemin à parcourir pour les installateurs et les utilisateurs finaux. Une plus grande sensibilisation aux menaces de cybersécurité qui pèsent sur le VMS est nécessaire…

Milestone Systems : https://www.milestonesys.com

Crédits photos: Milestone Systems