Vidéosurveillance : les règles essentielles pour les entreprises

Pour de nombreuses entreprises et notamment des PME, la sécurité informatique n’est pas une priorité. Et la vidéosurveillance est le cadet de leurs soucis. Une grave erreur qui facilite des intrusions menées dans le cadre d’une opération d’espionnage économique…

 

Mal conseillées par des installateurs, des PME ne disposent pas d'un réseau de vidéosurveillance performant.
Mal conseillées par des installateurs, des PME ne disposent pas d’un réseau de vidéosurveillance performant.

 

Le mois dernier, les vidéos de milliers de caméras de surveillance ont été diffusées sur Internet par un hacker. Pour chaque caméra, il donne sa localisation approximative en données GPS, le nom du constructeur de la caméra, ainsi que le login et le mot de passe qui permet d’accéder au matériel.
Cette diffusion spectaculaire est-elle une surprise ? Non, car dans la majorité des cas, les utilisateurs ont laissé le mot de passe par défaut. Or, ce mot de passe est très simple et souvent commun à différentes marques. C’est comme si un voleur possédait un jeu de clés permettant d’ouvrir facilement des centaines de voitures !

Mais il y a plus grave : ces lacunes se retrouvent aussi dans les entreprises, quelle que soit leur taille ! Il y a trois raisons principales :
1-Un manque de compétences ces installateurs qui ne maîtrisent pas les différentes techniques vidéo
2-Un manque de professionnalisme des installateurs qui, par facilité et routine, utilisent un seul mot de passe pour tous leurs clients
3-Un manque de vigilance des entreprises qui délèguent souvent la vidéosurveillance, car elles ne considèrent pas cette problématique comme une priorité.

 

Petit flash-back : à la fin des années 90, la vidéosurveillance était analogique à 100 % et en circuit fermé (CCTV).
Avec l’avènement du numérique, la vidéosurveillance permet aux entreprises de bénéficier d’images plus nettes, d’un stockage plus facile et d’une recherche plus précise d’un moment donné (fini les défilements avant et arrière de bandes magnétiques). Les connexions Internet permettent de recevoir des alertes (visuelles et sonores) sur des terminaux mobiles s(smartphones et tablettes).
Les professionnels du secteur proposent des solutions de plus en plus performantes : caméras plus précises et sécurisées, vidéos en Full HD, vue à 360°…

Aujourd’hui, la sécurité des personnes, des locaux et des données sensibles commence à se généraliser dans les entreprises. Mais pas à n’importe quel prix ! La présence d’un agent devant les écrans devient beaucoup moins nécessaire. Ce sont désormais les logiciels qui font le travail à sa place : l’automatisation des tâches devient une tendance forte.

 

Pour deux raisons principales :
– un homme ne peut pas regarder avec attention plusieurs dizaines d’écrans à la fois
– des coûts trop élevés : une équipe en trois-huit coûte environ 15.000 euros par mois.

Résultat, de plus en plus d’entreprises externalisent en faisant appel à des sociétés de télésurveillance. Avec de tels systèmes, une poignée d’agents peut prendre en charge des centaines caméras et n’intervenir que pour lever un doute.

Mais tout n’est pas parfait et la vidéosurveillance en entreprise présente de sérieuses lacunes. Les chefs d’entreprise et les responsables de la sécurité ont tort de les minimiser, ou pire, de les ignorer.

 

Or, il est important de connaître quelques points-clés.

1-Les installateurs sont-ils des professionnels de la vidéosurveillance ?
La réponse ne souffre pas d’ambiguïté : c’est non ! «Très peu d’installations sont correctement configurées, car les installateurs ne maîtrisent pas l’installation et les différents rouages de la vidéo et des réseaux. De mauvaises installations peuvent entraîner de l’intempestif ou, pire, des vidéos pas exploitables à cause de pixels tout gris ou des flous», affirme Marc Pichaud, cofondateur et CEO de Just Do IP qui propose des formations courtes consacrées entre autres à la vidéo protection sur IP, aux déploiements d’applications IP sans nouveaux câblages et à la veille technologique.
Les logiciels des caméras sont l’une des causes d’un dysfonctionnement. Certains logiciels modifient tous les paramètres (résolution, compression…) de la caméra tandis que d’autres sont passifs.
Pourquoi une telle situation délétère ? Il y aune raison majeure : l’absence de formations. D’ailleurs, la profession n’a pas voté pour qu’il y ait des BTS !

2-La vidéosurveillance est-elle à la portée de toutes les entreprises ?
Non. La vidéosurveillance bascule vers l’IP depuis 3 ans après 25 ans d’analogique. Résultat, les caméras sont des petits ordinateurs capables d’assurer de nombreuses fonctionnalités. Par ailleurs, il y a maintenant de nombreuses technologies réseau (fibre optique, CPL, VDSL…). Les équipements réseau sont devenus très complexes. « Avant, il suffisait de savoir régler une focale et de remplacer une caméra ou un enregistreur par un autre, quelle que soit la marque. Aujourd’hui, il faut maîtriser l’informatique, les réseaux, les logiciels, le stockage et la sécurité , constate Marc Pichaud.

3-Toutes les innovations technologiques sont-elles efficaces ?
Nous ne présenterons que celles qui sont très utiles…
En premier, il y a l’Infrarouge intelligent. C’est loin d’être un gadget, car la loi impose aux entreprises de pouvoir identifier des personnes et de pouvoir exporter des images aux forces de police. “Selon l’Arrêté du 3 août 2007, il faut fournir 90 pixels vertical sur 60 pixels d’horizontal sur un visage. Pour qu’il ne soit pas flou”, rappelle notre spécialiste.
Deuxième fonctionnalité essentielle : le capteur thermique
La détection de mouvements produit trop d’intempestifs, car les caméras sont mal réglées entre la nuit et le jour. Elles ne font pas la différence être le scintillement d’un néon et une intrusion par exemple. Pour une très bonne surveillance nocturne, une installation de vidéosurveillance doit disposer d’un capteur thermique.
Troisième innovation intéressante : l’analyse vidéo
C’est un investissement, car ces équipements sont plus chers (à cause du logiciel d’analyse) et leur intégration exige que l’installateur soit un spécialiste dans ce domaine. Ils sont pour l’instant très rares. Mais le résultat est présent.
Pour Marc Pichaud, c’est la solution idéale pour surveiller un parking ou l’entrée d’un data center : deux caméras intelligentes qui réalisent de la contre mesure complétées par un système intégrant la détection de mouvements et un capteur thermique.

4-Les données stockées dans les cartes SD sont-elles bien protégées ?
Non. Les cartes SD sont un peu hors la loi, car la réglementation impose que l’accès soit protégé par un mot de passe et qu’il soit chiffré. Il ne faut pas croire que le mot de passe de la caméra empêchera de récupérer ce support de stockage. Une personne malveillance peut la récupérer facilement sauf si la caméra est blindée.

5-Votre réseau de vidéosurveillance est-il sécurisé ?
Non, dans la majorité des cas, et quelle que soit la taille de l’entreprise ! Pour faciliter les installations et leur maintenance, les professionnels se contentent d’un unique mot de passe simple pour tous leurs clients. Résultat, le binôme login/password passe entre différents prestataires… Autant de failles dans un réseau de surveillance.
La situation est encore plus délicate lorsque tout est centralisé sur le web comme c’est le cas avec les caméras de DropCam, une entreprise rachetée par Nest (et donc par Google) pour 555 millions de dollars. Si un pirate infiltre le serveur d’une société qui gère 10 000 DropCam, il a potentiellement accès à 10 000 mots de passe qui sont souvent les mêmes.

Au final, quelles sont les 3 pratiques à mettre en place pour sécuriser son réseau ?

1-Mettre des mots de passe qui soient “forts” et différents pour chaque site géographique
Étant donné que les professionnels n’utilisent que quelques mots de passe rudimentaires, les entreprises doivent exiger que les installateurs emploient différents mots de passe pour leurs différents sites géographiques. Cela implique qu’ils mettent à jour leur tableau de maintenance… Pour rappel, un mot de passe dit “fort” doit comporter une dizaine de caractères, de chiffres et de lettres. Exemple : 14*mL-!ghR70.

2-Intégrer du https au niveau des accès
L’Hypertext Transport Protocol Secure lest a combinaison du HTTP avec une couche de chiffrement comme SSL ou TLS. En intégrant ce protocole, les mots de passe ne sont transmis en “clair” sur les réseaux. Il existe encore trop de cas où il est possible d’accéder au flux d’une caméra sans avoir eu besoin d’entrer de login et de mot de passe. C’est le cas lorsque la caméra est restée configurée en mode “usine”…

3-Utiliser un système d’authentification
Pour contrôler les accès au réseau de vidéosurveillance, la solution la plus pratique consiste à s’appuyer sur la norme IEEE 802.1X et sur un serveur d’authentification de type RADIUS (Remote Authentication Dial-In User Service) qui va centraliser les données. Marc Pichaud travaille justement sur projet de solution très simple afin que la maintenance et la gestion des mots de passe soient plus faciles.