Protéger la réputation du secteur de la vidéosécurité

20 Mai 2021

Uri Guterman, Directeur des produits et du marketing de Hanwha Techwin Europe, explique pourquoi il est intimement convaincu que les dispositions relatives à la protection par mot de passe de la norme Secure by Default devraient être une exigence fondamentale de tous les systèmes de vidéosécurité.


Fins criminelles ou malveillantes, ou simple défi à relever pour des hackers opportunistes : quelle qu’en soit la raison, les cyberattaques sont un problème majeur qui peut avoir un impact majeur sur la réputation du secteur de la vidéosécurité. Des informations ont récemment été dévoilées au sujet d’un prestataire de solutions de vidéosécurité de renom qui aurait pris à la légère les restrictions d’accès aux informations confidentielles des utilisateurs finaux. Une situation qui doit faire figure de rappel pour les maillons de la chaine d’approvisionnement qui collaborent à la promotion des bonnes pratiques.

 

Secure by Default

Wisenet 7 Secure by Default image no background

Si la majorité des caméras n’est pas utilisée à des fins critiques ou de haute sécurité, d’innombrables entreprises et organisations comptent sur leurs systèmes de vidéosécurité pour les aider à protéger leurs biens, leurs employés et leurs propriétés. Ce faisant, ils doivent pouvoir s’attendre à ce que leurs données confidentielles soient à l’abri des hackers, raison principale pour laquelle la norme Secure by Default a été présentée en 2019 par le Commissaire britannique aux caméras de surveillance.

Hanwha Techwin a eu l’honneur de compter parmi les fabricants invités à participer au développement de la norme Secure by Default. Son objectif est d’assurer que les produits de cybersécurité soient sécurisés par défaut contre les cyberattaques et les attaques réseau, et ce sans nécessiter de configuration supplémentaire. La norme définit ainsi ce que les membres du secteur de la vidéosécurité peuvent faire pour respecter le droit à la confidentialité des clients. Elle participe par la même au respect les réglementations en matière de protection des données, telles que le RGPD.

Pour faire simple, la norme aide les fabricants à adopter une approche faisant de la protection contre les cyberattaques une fonctionnalité essentielle d’une solution de vidéosécurité. Une protection à prendre en compte dès le début de la procédure de conception d’une caméra et non pas à considérer comme une fonctionnalité parmi d’autres.

 

5 éléments essentiels de la protection par mot de passe

Cela peut sembler évident, mais la mise en œuvre de protocoles pour la protection par mot de passe est un bon point de départ pour établir de bonnes pratiques en matière de cybersécurité. Tout en restant facile à mettre en œuvre, il convient de veiller dès la conception du micrologiciel d’un appareil à respecter des critères obligatoires et appliqués automatiquement pour la définition des mots de passe. Il s’agit notamment d’empêcher l’utilisation de suite de chiffres ou de lettres identiques, encourager l’utilisation de caractères spéciaux, ainsi qu’une combinaison de chiffres et de lettres. Il est également crucial que les fabricants ne proposent pas des produits présentant des mots de passe simples par défaut, et qui n’obligent pas l’utilisateur à les modifier. Ces mots de passe contiennent en général les mêmes séries de lettres ou de chiffres.

La norme Secure by Default stipule notamment les mesures suivantes :

  • Les installateurs devraient être obligés de changer le mot de passe par défaut du fabricant lors du premier démarrage.
  • Un indicateur de complexité, ou une fonction empêchant la saisie d’un mot de passe trop simple, devraient être intégrés.
  • L’appareil ne devrait pas avoir de comptes utilisateur cachés.
  • l’appareil ne devrait pas avoir de mots de passe codés en dur pour un compte.
  • Les fabricants ne devraient pas pouvoir aider les utilisateurs à retrouver leurs mots de passe perdus/volés.

Bien qu’aucun fabricant ne puisse assurer des garanties à 100 %, nous invitons les consultants, concepteurs et intégrateurs système à ne travailler qu’avec des fabricants poursuivant les objectifs de la norme Secure by Default. Ces fabricants doivent également avoir saisi l’importance d’assurer la sécurité des données des utilisateurs finaux en faisant tout leur possible pour lutter contre les cyberattaques. Il peut s’agir ici de fabricant ayant supprimé une « porte dérobée » originellement prévue pour donner aux ingénieurs un accès facile à un appareil, mais qui représente également une opportunité pour les hackers.

 Recherchez des fabricants qui reconnaissent l’importance d’être francs et honnêtes avec leurs clients lorsque de nouvelles menaces de cybersécurité sont identifiées. Ceux-ci doivent également être capables d’agir rapidement pour apporter les modifications nécessaires à leurs micrologiciels. Chez Hanwha Techwin par exemple, notre Security Computer Engineering Response Team (S-CERT) est entièrement impliquée dans la correction de toute vulnérabilité potentielle de nos produits et solutions Wisenet. Les membres de cette équipe ont été triés sur le volet sur la base de leur expertise en matière d’identification, d’analyse et de réponse rapides à n’importe quelle menace de cybersécurité via des contre-mesures efficaces.

Les fabricants devraient utiliser les agences de test tierces pour évaluer leurs produits face aux dernières méthodes de piratage. Il convient également de proposer des formations aux installateurs et intégrateurs système sur l’importance critique de définir une protection par mot de passe lors de la mise en service des caméras et appareils d’enregistrement.

 

 

Résumé

La capacité donnée à d’innombrables entreprises, organisations et particuliers de consulter une vidéo en direct ou en différé depuis un PC en réseau ou depuis un smartphone ou une tablette a révolutionné la manière de surveiller les biens et les propriétés à distance.  Des progrès qui vont néanmoins de pair avec l’importance de plus en plus critique que prend la question de la protection des données dans le secteur de la vidéosécurité.

La bonne nouvelle, pour les utilisateurs finaux comme pour toutes les personnes impliquées dans la chaine d’approvisionnement, c’est que les fabricants professionnels et responsables tenant la protection des données en haute estime et dont les produits respectent la norme Secure by Default ne manquent pas.

Vous avez des questions sur la protection par mot de passe ou la cybersécurité en général ? Contactez Uri Guterman à l’adresse suivante: [email protected]