Antonio Marco
IT & Cybersecurity Manager
13 Mars 2023.
Partager
Tout dispositif accessible à distance est exposé à un risque de cyberattaque. Les systèmes de vidéosurveillance ne font pas exception.
Afin de minimiser les risques de cyberattaque et leur impact, les dispositifs de vidéosurveillance doivent à la fois être capables de prévenir les menaces et d’y répondre avec rapidité et efficacité. Dans cet article, nous détaillons les caractéristiques techniques d’un enregistreur vidéo protégé contre les risques cybernétiques dès sa conception.
Table des matières
1. Enregistreurs vidéo utilisant un système d’exploitation autre que Windows
Microsoft Windows est le système d’exploitation le plus populaire au monde, largement utilisé dans les dispositifs NVR comme architecture de base du système. Du fait de sa large communauté d’utilisateurs, il est la cible privilégiée des développeurs de logiciels malveillants.
Les enregistreurs vidéo dont le système d’exploitation est autre que Windows :
– sont protégés contre les attaques les plus répandues et les plus graves ;
– nécessitent moins de mises à jour de sécurité ;
– de plus, il existe très peu de logiciels malveillants ciblant les systèmes d’exploitation propriétaires.
Le VLAN de l’enregistreur vidéo Lanaccess fonctionne indépendamment du réseau de l’entreprise afin de circonscrire les dégâts en cas d’attaque ciblant ce dernier. De plus, les enregistreurs vidéo mettent en œuvre des protocoles tels que le standard 802.1X qui permet de contrôler l’accès au réseau de l’entreprise.
2. Microprogramme chiffré
Le chiffrement des microprogrammes garantit la confidentialité et l’intégrité de chaque image système de l’appareil. Grâce à cette technique, seuls les microprogrammes autorisés peuvent s’exécuter sur une plateforme matérielle. Autrement dit, le chiffrement garantit l’authenticité du programme qui s’exécute.
Il s’agit d’une protection indispensable si l’on souhaite éviter qu’un pirate ne se livre à une rétro-ingénierie de nos appareils.
Le système de gestion vidéo Lanaccess permet de configurer des privilèges granulaires pour des profils qui peuvent ensuite être attribués à différents utilisateurs. Ces privilèges granulaires vont de l’autorisation d’effectuer différentes actions au contrôle de l’accès à des dispositifs spécifiques.
3. Protocoles sûrs
Optez pour des enregistreurs vidéo qui, comme ceux de Lanaccess, n’utilisent que deux types de protocoles :
Protocoles standards présentant un niveau de sécurité élevé – les plus courants sont les protocoles HTTPS, FTPS et SSH.- HTTPS (Hypertext Transfer Protocol Secure) : s’utilise pour le transfert de données sur Internet. Dans le domaine de la vidéosurveillance, ce protocole sert à chiffrer la communication entre la caméra et l’enregistreur vidéo.
- FTPS (File Transfer Protocol Secure) : s’utilise pour le transfert de fichiers. Le protocole chiffre les commandes et les données transférées entre la caméra et l’enregistreur vidéo.
- SSH (Secure Shell) : permet d’établir une communication sûre et chiffrée entre un client et un serveur distant. En matière de vidéosurveillance, le protocole SSH s’utilise pour gérer les enregistreurs vidéo à distance et en sécuriser l’accès par le biais d’une connexion chiffrée. Il permet une authentification par clé et un chiffrement de bout en bout pour garantir la sécurité de la connexion et empêcher tout accès non autorisé.
Protocoles propriétaires chiffrés exigeant des niveaux d’authentification plus élevés pour obtenir l’accès à des informations sensibles, telles que l’extraction vidéo et la recherche médicolégale.
Le système de gestion vidéo Lanaccess est sécurisé d’emblée grâce à l’activation du système MFA. De plus, le mot de passe de connexion est lié à l’Active Directory, et répond donc aux critères de sécurité de chaque entreprise.
4. Dispositifs conçus pour prévenir les attaques DDoS
Une attaque par déni de service (Distributed Denial of Service, DDoS) est un type répandu de cyberattaque visant à bloquer temporairement l’enregistreur vidéo avec un grand nombre de requêtes illégitimes, afin de le surcharger et de le rendre inaccessible aux utilisateurs légitimes.
5. Appareils parés contre les menaces
- attaque visant des ports logiciels (UDP/TCP) non ouverts ;
- ouverture d’un grand nombre de sockets contre le système ;
- DDos ;
- enregistrement de tentatives infructueuses de mise à niveau du microprogramme.
Dans un tel cas, plusieurs possibilités s’offrent à l’opérateur :
- signaler l’attaque ;
- bloquer l’adresse MAC de l’attaquant ;
- limiter le nombre d’erreurs d’authentification autorisées ;
- renforcer la sécurité de ses mots de passe.
6. Fonctionnalités de pare-feu
7. Commutateur PoE intégré
8. Appareils compatibles avec une gestion des utilisateurs contraignante
Nous préconisons d’associer à l’enregistreur vidéo plusieurs utilisateurs avec des privilèges différents. Par exemple :
-
des superutilisateurs possédant tous les accès au système. Cette modalité est restreinte aux administrateurs car elle donne le droit de modifier les paramètres ;
-
des utilisateurs ayant un accès exclusif à la vidéo ;
-
des utilisateurs ayant un accès exclusif aux enregistrements ;
-
des utilisateurs temporaires aux droits d’accès plus limités (pour d’éventuels techniciens).
En général, il est conseillé d’appliquer le principe du moindre privilège, conçu pour réduire le risque de failles internes. Il repose sur l’application par défaut d’un rôle d’accès restrictif à l’ensemble des utilisateurs. L’administrateur active uniquement les autorisations nécessaires lorsque cela se justifie.